eit der Corona-Pandemie haben sich Homeoffice-Arbeitsmodelle immer weiter durchgesetzt. Doch Mitarbeiter im Homeoffice sind besonders gefährdet, Opfer von Cyberangriffen zu werden. Während der Krise waren es vor allem die spontan eingerichteten Heimarbeitsplätze, die hinter den Anforderungen an die IT-Sicherheit zurückblieben. In vielen Betrieben haben sich die Homeoffice-Regelungen gehalten, doch die Sicherheitsmaßnahmen wurden noch nicht angepasst. Dieser Artikel beleuchtet die häufigsten Cyberbedrohungen bei Remote-Work und was Unternehmen tun können.
Anstieg der Cyberattacken im Homeoffice
Die Corona-Pandemie hat in vielen Unternehmen einen Digitalisierungsschub ausgelöst, was grundsätzlich positiv ist. Allerdings wurden die veränderten Anforderungen an die IT-Sicherheit dabei vernachlässigt. Ein effektives IT-Sicherheitsmanagement für Unternehmen muss dem Homeoffice und seinen spezifischen Bedrohungen Rechnung tragen.
Die abrupte Umstellung auf mobiles Arbeiten stellte viele Unternehmen vor die Herausforderung, trotz der kurzfristigen Maßnahmen die erforderlichen IT-Sicherheitsvorkehrungen zu treffen. Dies gelang nicht allen Unternehmen, wodurch zahlreiche Sicherheitslücken entstanden.
Diese Schwachstellen wurden ausgenutzt. Laut einer Statistik des Bundesamts für Sicherheit in der Informationstechnik (BSI) waren 24 Prozent der Großunternehmen während der Homeoffice-Phase von Cyberangriffen betroffen. Somit hat die Cyberkriminalität seit der Pandemie zugenommen.
Der richtige Umgang mit heimischen Netzwerken
Im Homeoffice untersteht das heimische Netzwerk der Mitarbeiter nicht der Kontrolle des Unternehmens und bringt daher Risiken mit sich. Deshalb ist es umso wichtiger, dass beim Zugriff auf das Unternehmensnetz Sicherheitsvorkehrungen getroffen werden.
Das heimische WLAN ist oft nur durch ein allgemeines Passwort geschützt, das auch Familienmitglieder oder Mitbewohner kennen. Wenn der Router über ein verbundenes Gerät gehackt wird – zum Beispiel über das Smartphone des Kindes – können auch Dienstgeräte zur Zielscheibe der Hackerangriffe werden.
Um dieses Risiko zu minimieren, wird eine sichere, ende-zu-ende-verschlüsselte Verbindung ins Unternehmensnetzwerk über ein Virtual Private Network (VPN) empfohlen. Bei einer VPN-Verbindung werden Daten durch einen verschlüsselten IP-Tunnel übertragen, sodass externe Zugriffe während der Übertragung unmöglich sind. Die Geräte müssen sich beim Verbindungsaufbau identifizieren und authentifizieren, was die Sicherheit deutlich erhöht.
Sicherheitsmaßnahmen für Endgeräte
Wie das BSI meldet, sind nur bei 42 Prozent der Unternehmen mit Homeoffice-Regelungen ausschließlich firmeneigene Geräte im Einsatz. Doch die privaten Geräte der Angestellten bedeuten ein großes Risiko für die IT-Sicherheit des gesamten Unternehmens. Bei privaten Endgeräten kommt die Überwachung im Homeoffice an ihre Grenzen, denn auf diese hat die IT-Administration des Unternehmens hat keinen Zugriff.
Die Empfehlung lautet daher, keine privaten Geräte im Homeoffice zu verwenden.
Falls dies unvermeidbar ist, sollte die Nutzung der privaten Geräte mit der Unternehmens-IT abgestimmt sein.
Zu den wichtigsten Maßnahmen gehören:
- Bestandsaufnahme und Dokumentation aller genutzten Geräte
- Definition von Zugriffsberechtigungen
- Verschlüsselung von Daten auf den Geräten
- Implementierung von Mobile Device Management zur einfachen Verwaltung der Endgeräte durch die IT-Abteilung.
Unwissende Mitarbeiter als Sicherheitslücke
Die Sensibilisierung der Mitarbeiter ist eine der wichtigsten Maßnahmen für die IT-Sicherheit. Der Menschen vor dem PC stellt meist das Hauptziel für Cyberattacken dar. Trotz fortschrittlicher Technologien zum Schutz vor Cyberangriffen bleibt das Sicherheitsbewusstsein der Mitarbeiter der entscheidende Faktor.
Unwissenheit kann bereits durch einen Klick auf einen schädlichen Link in einer E-Mail Ransomware ins Unternehmensnetzwerk bringen. Im Homeoffice wird dieses Risiko verstärkt, da Mitarbeiter allein am Laptop arbeiten und sich tendenziell nicht direkt mit Kollegen über verdächtige E-Mails austauschen.
Besonders raffiniert sind inzwischen die folgenden Betrugsmaschen:
- Phishing: Beim Phishing werden Nutzer meist per Mail aufgefordert, Links zu folgen oder Daten einzugeben. Phishing-Mails können zu Geldmacherei und Datendiebstahl führen oder über Links und Anhänge Malware übertragen.
- Social Engineering: Cyberkriminelle nutzen menschliche Schwächen zur Informationsbeschaffung. Beim Social Engineering schreiben Täter beispielsweise gefälschte Mails im Namen des Vorgesetzten und bitten um die Herausgabe von Daten.
Auf die neuen Bedrohungen reagieren
Das Homeoffice bringt neue Herausforderungen für Cybersicherheit und Datenschutz mit sich, auf die Unternehmen dringend reagieren sollten. Wie Statistiken zeigen, werden Remote-Arbeitnehmer besonders oft zur Zielscheibe von Cyberkriminellen. Eine wichtige Grundlage ist, für die Arbeit im Homeoffice unternehmenseigene Geräte und Software zur Verfügung zu stellen. Da heimische WLAN-Netzwerke unsicher sind, sollten Mitarbeiter idealerweise über ein VPN auf das Unternehmensnetz zugreifen. Die wohl wichtigste Maßnahme ist die Sensibilisierung der Mitarbeiter. Denn selbst bei einer guten IT-Infrastruktur können unwissende Menschen Angriffsfläche bieten.