Das traute Heim ist nicht zuletzt pandemiebedingt auch zum Büro geworden. Zur Freude der Cyberkriminellen. Doch es gibt zum Glück ein paar Gegenmassnahmen, die einen Angriff aufs Home Office zumindest minimieren helfen. [...]
Die verordneten Maßnahmen zur Bekämpfung der Covid-19–Pandemie haben hierzulande und weltweit einen Home-Office-Boom sondergleichen bewirkt. Unternehmen, ob groß oder klein, sahen sich Knall auf Fall dazu gezwungen, Remote-Zugänge für die Mitarbeitenden zur Verfügung zu stellen. Beispielsweise standen Kleine und mittlere Unternehmen (KMU) einer Heim- und Telearbeitswelle gegenüber. Nachdem Anfang 2020 im Schnitt 10 Prozent der Beschäftigten vorwiegend von zu Hause aus arbeiteten, taten dies während des Lockdowns fast viermal so viele.
Nach dem Lockdown gingen die Zahlen zwar wieder zurück, mit 16 Prozent der Beschäftigten im Heimbüro ist der Anteil im Vergleich zu Anfang 2020 aber um 60 Prozent gestiegen. Zu diesem Ergebnis kam Ende 2020 eine Studie des Marktforschungsinstituts GFS-Zürich.
Home-Office-Boom vergrössert Zielscheibe
Bei einem solchen Ansturm auf Telearbeit ist nicht nur die Infrastruktur gefragt. Es eröffnen sich auch ganz neue und vergrößerte Angriffsflächen für Cyberkriminelle.
Und die mit dem Home-Office-Betrieb einhergehenden Risiken werden von vielen unterschätzt, wie die KMU-Umfrage von GFS auch zeigt. Dies, obwohl bereits ein Viertel der Schweizer KMU Opfer eines folgenschweren Cyberangriffs war. So ein Angriff kann schwerwiegende Folgen haben: So trug von den schweizweit ca. 38’250 angegriffenen KMU rund ein Drittel (12’930 KMU) einen finanziellen Schaden davon und jeder zehnte Angriff hatte einen Reputationsschaden und/oder den Verlust von Kundendaten zur Folge.
Präventive Maßnahmen werden angesichts dieser Zahlen zu selten ergriffen: Trotz der häufigen Cyberattacken hat nur jedes zweite KMU einen Notfallplan für die Sicherstellung der Geschäftsfortführung und rund zwei Drittel führen weder regelmäßige Mitarbeiterschulungen durch, noch haben sie ein Sicherheitskonzept im Unternehmen implementiert.
Die Studie zeigt schließlich, dass dem Thema «Risikofaktor Mensch» zu wenig Beachtung geschenkt wird. denn nur knapp die Hälfte (47 Prozent) der CEOs gab an, über sicherheitsrelevante Themen gut informiert zu sein. Noch drastischer ist das mangelnde Bewusstsein dafür, selbst Opfer eines Cyberangriffs zu werden: Nur gerade 11 Prozent schätzen das Risiko, durch einen Cyberangriff einen Tag außer Gefecht gesetzt zu werden, als groß ein.
In Sachen Sicherheit am Heimarbeitsplatz bleibt somit einiges zu tun. Dabei kann mit ein paar grundlegenden Security-Maßnahmen die Gefahr nicht komplett gebannt, aber eingeschränkt werden. Aus den vielen Vorkehrungen, die offizielle Stellen und IT-Sicherheitsfirmen propagieren (vgl. Kasten am Schluss), haben wir die wichtigsten und schlagkräftigsten Maßnahmen zusammengetragen – sowohl für Endanwender als auch für Unternehmen.
Nur Trennkost: Wenn immer möglich sollten separate Geräte für den Geschäfts- und Privatgebrauch verwendet werden. Viele Unternehmen haben unterdessen ihre Mitarbeitenden mit mobilen PCs ausgestattet. Zumindest beweist dies der regelrechte Notebook-Boom im vergangenen Jahr. Falls keine getrennten Geräte zur Verfügung stehen, sollte zumindest für private und geschäftliche Zwecke je ein separates Benutzerkonto auf dem Gerät eingerichtet werden. Nur so lässt sich verhindern, dass heikles Material die Seiten wechselt. Im Übrigen empfiehlt sich die Trennung der beiden Lebensbereiche auch für die Aufrechterhaltung einer gesunden Work-Life-Balance.
VPN nutzen: Der Zugriff auf Unternehmensressourcen – aber natürlich auch das private Surfen im Web – sollte über ein virtuelles privates Netz (VPN) erfolgen. Dabei wird ein verschlüsselter «Kommunikationstunnel» zwischen dem Endgerät und dem Firmennetz oder den Webdiensten erstellt. Größere Unternehmen betreiben das VPN in der Regel serverseitig und stellen den Mitarbeitenden eine Client-Software zur Verfügung. Ist das nicht der Fall, gibt es eine Reihe von VPN-Anbietern. Kritisch sollte man in diesem Zusammenhang kostenlose Dienste betrachten. Diese Angebote haben meistens einen Haken: Im besten Fall bieten sie die Gratisvariante mit ungenügender Bandbreite an, im schlechtesten Fall werden die Anwender vom Serviceanbieter regelrecht ausspioniert, indem etwa das Surfverhalten aufgezeichnet wird.
Mehrfache Authentifizierung: Die Anmeldung nur mit Benutzername und Passwort birgt viele Risiken, zumal vielerorts nach wie vor einfachste und zum Teil repetitive Passwörter verwendet werden. Solche Kombinationen können Hacker meist in Sekunden knacken. Deshalb sollte wenn immer möglich eine Zwei-Faktor-Authentifizierung (2FA) verwendet werden, die oft auch als Multi-Faktor-Authentifizierung (MFA) bezeichnet wird. Das zugrunde liegende Prinzip: Zusätzlich zum Benutzernamen und Passwort wird ein Einmal-Code für die Anmeldung am Unternehmens- oder Webdienst benötigt. Dieser Einmal-Code kann per SMS verschickt, in einer entsprechenden App auf dem Smartphone des Nutzers generiert oder als Push-Nachricht mit Ja/Nein-Abfrage auf dieses verschickt werden. Außerdem kann noch Authentifizierungs-Hardware, die per USB am Rechner angeschlossen ist, eingesetzt werden.
Verschlüsseln: Nicht nur bei der Verbindung nach aussen sollten die Unternehmensdaten verschlüsselt werden, auch die lokal gespeicherten Files sind mit Vorteil chiffriert abzulegen. Bei Windows-Rechnern kann hierfür das mitgelieferte Programm BitLocker verwendet werden, bei Macs erfüllt die Anwendung FileVault den gleichen Zweck.
Updaten: Was für den privaten Rechner gilt, ist erst recht für den im Home Office verwendeten Geschäfts-PC wichtig: Das Betriebssystem und alle verwendeten Programme sollten stets mit den neusten Updates versehen sein. Sowohl beim OS als auch bei den meisten verwendeten Programmen wie etwa dem Browser lässt sich dieser Vorgang übrigens automatisieren, sodass die Systemkomponenten in der Regel auf dem aktuellsten Stand sind.
Regelmässige Backups: Gerade in Zeiten grassierender Ransomware-Angriffe ist es umso wichtiger, dass die Daten sowohl aufseiten des Mitarbeitenden als auch beim Unternehmen regelmäßig auf weiteren Datenträgern gespeichert werden. Endanwender können hier auch auf Cloud-Speicherdienste zurückgreifen, die meist über die Möglichkeit verfügen, die Files zwischen Rechner und Datenwolke zu synchronisieren. Aber auch dann sind regelmäßige Backups etwa auf einen USB-Stick oder eine externe Festplatte empfehlenswert. Dabei sollte darauf geachtet werden, dass der Datenträger nach dem Sicherungsvorgang vom System getrennt wird. Denn Ransomware verschlüsselt in den meisten Fällen alle vom System aus erreichbaren Speichermedien mit.
Wachsam bleiben: Im Heimbüro ist man zwar bei sich zu Hause. Trotzdem sollte auch hier darauf geachtet werden, dass keine Firmendaten und -informationen preisgegeben werden. So sollte bei der Einrichtung des Arbeitsplatzes darauf geachtet werden, dass der Bildschirm nicht von Nachbarn oder Passanten eingesehen werden kann. Falls dies nicht geht, empfiehlt sich der Einsatz einer speziellen Bildschirmfolie, die dessen Inhalt vor fremden (Seiten-)Blicken schützt. Dies ist auch hilfreich, wenn man öfters mit öffentlichen Verkehrsmitteln unterwegs ist.
Daneben sollte auch im Home Office der Bildschirm beim Verlassen des Arbeitsplatz gesperrt werden. Selbst Dokumente und Ausdrucke sollten nicht herumliegen, will man vermeiden, dass diese nicht aus Versehen im Schulthek des Kindes verschwinden. Schließlich ist auch Wachsamkeit bei Telefonaten und Videokonferenzen angesagt. Diese sollte niemand mithören können, sei es ein Familienmitglied oder der neugierige Nachbar.
Fazit
Auch im Home Office lässt es sich durchaus sicher arbeiten. Zumindest kann man mit ein paar einfachen Kniffen den Security Level so weit erhöhen, dass Hacker sich lieber jemand anderes vorknöpfen, der ebenfalls im Heimbüro arbeitet und weniger Sicherheitsvorkehrungen getroffen hat.
Be the first to comment