Publiziert am 24. Juni 2022 von unter:

Cyber Security im Home-Office? Geht auch die Familie an!

Working father bonding with his daughter

Im Home-Office sollte man mit besonderen Maßnahmen für IT-Sicherheit sorgen. Bild: © Pekic / Getty Images

Home-Office und Mobile Office, hybrides Arbeiten und New Work stellen die Sicherheitskonzepte von Unternehmen auf die Probe: Die Grenzen zwischen privatem Network und Unternehmensnetz verschmelzen. Mit den richtigen Maßnahmen funktionieren IT-Sicherheits- und Cyber-Security-Lösungen auch am heimischen Schreibtisch oder an jedem beliebigen anderen Ort. Und sie laufen auf allen Endgeräten reibungslos. Vorausgesetzt: Die Familie zieht mit.

 

Cyber Security im Home-Office auf dünnem Eis

Viele Beschäftigte in Deutschland möchten auch nach der Corona-Pandemie zumindest zeitweise zu Hause arbeiten können. Allgemein gilt das Home-Office inzwischen als produktiver und effizienter Arbeitsort. Dies darf jedoch nicht darüber hinwegtäuschen, dass das Arbeiten in den eigenen vier Wänden auch Gefahren birgt. So hat das Institut der deutschen Wirtschaft in einer Studie errechnet, dass den Unternehmen im Jahr 2020 ein Schaden von 52,5 Milliarden Euro durch Cyber-Angriffe im Home-Office entstand – 31 Milliarden Euro mehr als vor der Pandemie. Den möglichen Gefahren durch Cyber-Angriffe, vor allem im Home-Office, widmen einige Unternehmen offenbar noch nicht die nötige Aufmerksamkeit.

Eine mögliche Erklärung: Viele Mitarbeitende haben von einem auf den anderen Tag ohne große Vorbereitung zu Hause arbeiten müssen. Sie waren dabei im Themengebiet Cyber Security nicht ausreichend geschult. Inzwischen haben fast alle Heimarbeitende Policies unterschrieben, wie sie sich IT-sicher „out of Office“ am Rechner und im Internet verhalten müssen. Ein wesentlicher Bestandteil legt fest, dass natürlich niemand anderes als die berechtigte Person an die Firmen-Hardware darf. Aber Hand aufs Herz: Lässt sich das wirklich garantieren, wenn Kinder und Jugendliche mit im Haushalt leben? Darum: Auch für den Nachwuchs ist es heute wichtiger denn je, zu wissen, wie man sich sicher im Internet bewegt.

 

Folgenschwere Cyber-Security-Risiken im Home-Office

Sich mit dem Thema Cyber Security zu befassen, geht folglich alle an. Dies gilt insbesondere in Anbetracht der beträchtlichen IT-Sicherheitsrisiken:

  • Immer wieder im Fokus: der Verlust oder die ungewollte Veröffentlichung vertraulicher Daten durch unbefugten Zugriff.
  • Eine andere Falle: Beim Herunterladen von infizierten Dateien (wie etwa Templates für Schulaufgaben, Spiele oder Bilder zum Ausdrucken) gelangt mitunter unbemerkt Schadsoftware auf den Rechner.
  • Schon das bloße Surfen birgt eklatante Risiken. Auf infizierten Websites kann allein durch das Aufrufen der Seite ein „Driveby-Download” starten, der Schadsoftware auf den Rechner lädt.
  • Die Gefahr muss nicht sofort sichtbar werden. Kriminelle nutzen das entsprechende Gerät beispielsweise zur Platzierung eines sogenannten Persistent Threads (eines Pfades, der eine andauernde Bedrohung darstellt), um erst später aktiv zu werden. So können sie zeitversetzt und unentdeckt Zugriff zum Firmennetzwerk erhalten.
  • Eine Attacke kann auch zunächst nur der Datenbeschaffung dienen, um einem größeren Angriff zu einem späteren Zeitpunkt den Weg zu ebenen.

 

So werden Kinder und Jugendliche nicht zum „Cyber Security-Risikofaktor“ im Home-Office

Gefahren und Verhaltensweisen sollten zu Hause arbeitende Eltern frühzeitig thematisieren und ihren Nachwuchs für die Themen Cyber Crime und Datenschutz sensibilisieren. Zu den wichtigsten Botschaften zählt die Regel Nummer eins: Niemals den Arbeitsrechner von Mama und Papa anrühren!

Und weil man sich darauf nicht verlassen sollte, gilt:

  1. Nur auf sicheren Seiten surfen: Geprüfte Seiten sind am „https://“ oder dem Schlosssymbol in der Adressleiste des Browsers erkennbar.
  2. Unpersönliche E-Mail-Adressen verwenden: Ist für eine Anmeldung eine E-Mail-Adresse notwendig, sollten Eltern mit Kindern einen E-Mail-Account ohne vollständigen Namen und persönliche Informationen einrichten, zum Beispiel email hidden; JavaScript is required. Auf diesem Wege gibt man durch die E-Mail-Adresse keine persönlichen Informationen preis.
  3. Sichere Passwörter wählen: Auch bei der Vergabe eines Passworts sollten Eltern unterstützen: Das ideale Passwort ist lang, hat keinen Bezug zu persönlichen Daten, bildet einen Mix aus Klein- und Großbuchstaben sowie Zahlen und Sonderzeichen und muss regelmäßig geändert werden. Achtung: Die Nutzung eines Passwort Safes ist sowohl beruflich als auch privat empfehlenswert.
  4. Suchprofile deaktivieren: Viele Suchmaschinen sammeln persönliche Informationen und erstellen aus eingegebenen Anfragen Suchprofile. Diese sollten Eltern deaktivieren und ein Tracking somit vermeiden. Ohnehin ist es empfehlenswert, dass Kinder nur altersgerechte Suchmaschinen ohne Werbung nutzen – wie beispielsweise fragfinn.de, duckduckgo.com und andere. Ein weiterer Vorteil: Die vielen Alternativen zu Google oder Bing speichern nicht das Suchverhalten.
  5. Datenschutz bei Online-Spielen und Gewinnspielen: Die Angebote für Online-Spiele sollten Eltern genau prüfen und die Anmeldung gemeinsam mit ihren Kindern übernehmen. Bei Online-Gewinnspielen gilt: Keine Formulare ausfüllen, die mehr Informationen als eine unpersönliche E-Mail-Adresse erfordern.

Hilfreiche Tipps für Eltern und Kinder bietet auch das Portal schauhin.info.

Daten im Fokus von Cyber-Security-Angriffen

Haben Unbefugte Zugriff zu den Unternehmensdaten, wird es schnell teuer. Es drohen neben dem Diebstahl der Daten auch deren Verschlüsselung durch eine sogenannte Ransomware-Attacke: Im Stile einer Erpressung lassen sich die Daten dann nur durch Zahlung horrender Geldforderungen entschlüsseln.

Noch viel größer kann der Schaden über die sogenannte Double Extortion (doppelte Erpressung) oder sogar eine Triple Extortion (dreifache Erpressung) werden. Dies ist etwa dann der Fall, wenn die Attacke an interne Systeme angebundene Partner und Kunden einbezieht.

Bei alledem sind der ungeschützte Computer der Kolleg:innen im Home-Office oder ihr allzu sorgloses Verhalten im Internet willkommene Einflugschneisen. Kapern Kriminelle den Computer, haben sie in der Regel auch schnell Zugang zur VPN-Verbindung. Sie führt direkt ins Herz der jeweiligen Organisation. Die Mitarbeitenden merken davon in der Regel zunächst wenig: Sie sollen – so das Kalkül der Angreifer – arbeitsfähig bleiben und sich remote mit dem Firmennetzwerk verbinden. So kann der Angriff gelingen, ohne Aufmerksamkeit zu erregen.

 

Schutzmaßnahmen für Cyber Security im Home-Office

Mit bewährten Schutzmaßnahmen für das Home-Office können Unternehmen und Mitarbeitende die IT-Sicherheit spürbar erhöhen:

Moderne Arbeitsmodelle (auch “New Work” genannt) verlangen eine neue Risikobewertung in der Informationssicherheit. Durch sich ändernde Arbeitsumstände und -plätze sind neue Bedrohungen und dadurch neue Risiken entstanden.  Diese gilt es dementsprechend aufzunehmen, sorgfältig zu dokumentieren und zu bewerten. Dadurch lassen sich einzelne Risiken mit bewährten Maßnahmen reduzieren. So gelingt eine Balance zwischen der Risiko-Toleranz und Risiko-Akzeptanz. Die Toleranz-Grenze markiert hierbei die Linie, bis zu der ein Unternehmen keinen Ruin erleidet. Die Akzeptanz-Grenze hingegen zeigt, womit die Organisation bewusst rechnet.

Mit organisatorischen Schutzmaßnahmen für das sichere Arbeiten am heimischen Schreibtisch schaffen Unternehmen einen wichtigen Schritt hin zu Cyber Security im Home-Office. Dabei gilt es auch, Sicherheitsrichtlinien regelmäßig zu überprüfen, anzupassen und die Mitarbeitenden für moderne Angriffsstrategien zu sensibilisieren. Social Engineering ist dabei ein wichtiges Stichwort: Hier versuchen Hacker auf geschickte Weise, das Vertrauen des Nachwuchses zu gewinnen. Auch gefährlich: Shoulder Surfing, also das unbemerkte Ausspähen von Zugangsdaten über die Schulter des Opfers. Die Täter missbrauchen hierbei das Kind als Boten und beschaffen sich so vollkommen unentdeckt die gewünschten Daten. Ein Kind kann so auch schnell in die Rolle eines Erpressungsopfers gelangen. Entsprechend hart sollten darum die Anforderungen an den Arbeitsplatz im eigenen Heim konzipiert sein. In Frage kommen unter anderem Lockscreens (gesperrte Bildschirme) und strenge Regeln, wie etwa ein Arbeitsverbot an öffentlichen Plätzen und im ÖPVN.

 

Ganzheitlicher Schutz schafft Cyber Security

Durch Schulungen der Mitarbeitenden und des Managements schaffen es Unternehmen, das Bewusstsein aller für die Cyber Security im Home-Office zu schärfen. Die Risiken lassen sich mit Hilfe grundlegender Security Awareness, also einem hohen Maß an Sensibilität gegenüber existenten Bedrohungen, deutlich abschwächen und spürbar eindämmen.

Was ist Endpoint Detection?
Endpoint Detection ist der Schutz der Endgeräte im Netzwerk. Oft wird es mit Windows, Mac und Unix Betriebssystemen assoziiert.

Was ist Response (EDR)?
Endpoint Detection and Response (EDR) ist die Weiterentwicklung des klassischen Anti-Viren-(AV) Programms. Hier stehen die Aktivitäten auf den Endgeräten im Fokus. In Kombination mit KI (Künstliche Intelligenz) lassen sich Cyber-Bedrohungen eindämmen. Helfen kann dabei das Mitre Attack Framework – eine innovative Methodik für Cyber-Sicherheit.

Was ist ein WebProxy?
Ein WebProxy oder Proxy Server ist ein System, das die Datenverbindung zwischen Nutzer und Internet sicherstellt.

Was ist ein Mailgateway?
Ein Mailgateway ist eine Maschine, die mindestens zwei unterschiedliche E-Mail-Systeme verbindet und den Nachrichtenaustausch zwischen ihnen gewährleistet.

Auch durch technische Schutzmaßnahmen minimieren sich die Cyber-Security-Risiken im Home-Office: Hier hilft es, die Schutzziele und das -niveau auf allen eingesetzten Endgeräten anzuheben. Dabei unterstützen Sicherheitslösungen wie Endpoint Detection and Response (EDR), WebProxy und Mailgateway. Unternehmen sollten sich dabei eng am Nutzerverhalten und allen gängigen Aktivitäten an einem Computer orientieren. Relevant sind beispielsweise Web und Browsing, E-Mail oder End-User-Computing – also Computersysteme und Plattformen, die es auch IT-fernen Menschen ermöglichen, Applikationen zu nutzen.

 

Cyber-Security-Lösungen helfen Kindern, Eltern und Unternehmen

Beziehen Unternehmen in ihre Cyber-Security-Strategie für das Home-Office auch Kinder und Jugendliche als “Risikofaktoren“ ein, gehen sie auf Nummer sicher und beugen unkontrollierbaren Risiken vor. Die Geschäftsführung sollte hier sensibilisieren, klar kommunizieren und Eltern konkrete Leitfäden an die Hand geben. Darüber hinaus gilt es, die Vertraulichkeit, Integrität und Verfügbarkeit der Daten entsprechend den Schutzzielen der Informationssicherheit jederzeit zu gewährleisten (engl. Confidiality, Integrity, Availability – CIA).

 

Weiterlesen zum Thema Cyber Security

Drucken

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*

Um die Diskussionsqualität zu wahren, veröffentlichen wir nur noch Kommentare mit nachvollziehbarem Vor- und Nachnamen sowie authentischer E-Mail-Adresse.