Ob am Küchentisch, vom Sofa oder im privaten Arbeitszimmer, seit einem Jahr arbeiten viele Menschen, sofern dies möglich ist, von Zuhause aus. Dadurch hat sich allerdings auch die Angriffsfläche für Cyberkriminelle drastisch vergrößert. Im Homeoffice lauern viele Risiken. Worauf müssen Unternehmen bei IT-Sicherheit im Homeoffice achten und wie sichert man die Remote-Arbeit richtig ab?
Im ersten Lockdown schickten viele Unternehmen ihre Mitarbeitenden fast über Nacht ins Homeoffice. Jedoch geschah dies in den meisten Fällen ohne für eine sichere IT-Infrastruktur oder Schulungen zur Cybersicherheit zu sorgen. Die letzten Monate haben gezeigt, dass Cyberkriminelle die Coronakrise ganz gezielt für ihre Zwecke ausnutzen.
Die Cyber-Angriffsszenarien im Homeoffice unterscheiden sich nicht maßgeblich von denen im Unternehmen. Am häufigsten kommen Phishing- und Malware-Attacken vor. Die Cyberkriminellen manipulieren die Menschen emotional. Sie spielen in Phishing-Mails etwa auf vermeintliche neue Corona-Regelungen an oder geben sich als Vertreter offizieller Institutionen aus. So provozieren sie Klicks auf schadhafte Links. Aber auch das sogenannte Spear-Phishing verzeichnet in letzter Zeit einen starken Zuwachs. Dabei suchen sich Cyberkriminelle gezielt Opfer oder Opfergruppen aus und versuchen sie mit individuell abgestimmten Inhalten zu täuschen, um so gezielt nicht autorisierten Zugriff auf vertrauliche Daten zu erhalten. Die Mitarbeitenden sind im Homeoffice anfälliger für solche Attacken. Meistens halten sie die übliche Vorgehensweise für derartige Unsicherheiten bei einer erhaltenen E-Mail zu Hause nicht so ein, wie vor Ort im Büro.
IT-Sicherheit im Homeoffice: Darauf sollten Sie achten
Das ortsunabhängige Arbeiten bietet neue Angriffsflächen für Kriminelle. So ist zum Beispiel die Hälfte aller Cyberbedrohungen mittlerweile cloudbasiert. So bequem webbasierte Filesharing-Tools wie Office365 oder Google Drive auch sein mögen. Sie bringen neue Gefahren mit sich. Laut einer aktuellen Studie von Netskope zielen 44 Prozent aller bösartigen Bedrohungen auf die Cloud. Deshalb ist ein sauber aufgesetztes Rechte- und Zugriffsmanagement unerlässlich, um die sensiblen Firmendaten zu schützen.
Die Verbindungen, über die aus dem Homeoffice gearbeitet wird, sind oft nicht oder unzureichend gesichert. Die übertragenen Daten sind dadurch potenziell stärker bedroht. Daher sollten VPN-Zugänge (Virtual Private Network) genutzt werden, um eine sichere Verbindung zu gewährleisten.
Weiterhin haben Unternehmen, oder eher die IT-Abteilungen, weniger Kontrolle über die von den Usern im Homeoffice genutzten Netzwerke und Endgeräte. Deshalb sollten sich Arbeitgebende rechtlich absichern, etwa durch eine schriftliche Bestätigung der Mitarbeitenden, dass auch außerhalb der regulären Arbeitsstätte die Datenschutzrichtlinien eingehalten werden. Außerdem ist es elementar, bei allen Mitarbeitenden das Bewusstsein für die Gefahren, die bezüglich der Arbeit im Homeoffice entstehen, zu schärfen.
Außerdem sollten Unternehmen die Endgeräte der Belegschaft mit den gängigen Cyber-Security-Techniken schützen, um Risiken im Homeoffice zu verringern. Dazu gehören beispielsweise eine Anti-Viren-Lösung, eine Firewall sowie Portkontrolle und Media-Encryption. So wird kein beliebiger USB-Stick angesteckt, welcher mit Schadsoftware infiziert sein könnte. Außerdem schützt eine Festplattenverschlüsselung vor unbefugten Zugriffen, wenn ein Laptop einmal verloren geht. Hilfreich ist auch ein URL-Filter, der sicherstellt, dass Anwender keine gefährlichen Webseiten aufrufen. Auch ein Cloud Access Security Broker (CASB), der die Nutzung von Cloud-Services kontrolliert und eine Data-Loss-Protection-Lösung, die vor unerwünschtem Datenabfluss schützt, sind sinnvoll. Zusätzlich kann eine Lösung für Endpoint Detection und Response die Sicherheit erhöhen. Sie erkennt verdächtige Verhaltensweisen und kann Prozesse aus der Ferne beenden.
Doch auch die physikalische Sicherheit spielt eine große Rolle im Homeoffice. Während am Arbeitsplatz im Büro meist kein Publikumsverkehr herrscht, kann zu Hause oder unterwegs auch schnell einmal ein Unbefugter einen Blick auf den Bildschirm erhaschen. Dabei können sensible Informationen preisgegeben werden oder gar der Laptop verloren gehen. Zudem gibt es häufig Geheimhaltungsvereinbarungen oder Richtlinien bezüglich der sicheren Aufbewahrung von Dokumenten. Diese sind auch im Homeoffice einzuhalten. Das bedeutet zum Beispiel auch bei einem gemeinsam genutzten Netzwerkdrucker für sichere Ausdrucke zu sorgen. Dokumente mit sensiblen Informationen dürfen nicht offen herumliegen, im Altpapier entsorgt und auch nicht auf Geräten wie Multifunktionsdruckern gespeichert werden.
Die Möglichkeit im Homeoffice zu arbeiten, bringt für Mitarbeitende und Unternehmen viele Vorteile und sorgt in Krisenzeiten für Geschäftskontinuität. Doch Remote-Arbeitsplätze richtig abzusichern, erfordert eine sorgfältige Planung. Heute, nach einem Jahr Pandemie und Homeoffice, scheinen viele Unternehmen ihre Hausaufgaben in Hinblick auf die IT-Sicherheit erledigt zu haben. Laut einer Umfrage des TÜV SÜD geben 39 Prozent der befragten Unternehmen an, alle Mitarbeitenden im Homeoffice mit einer sicheren IT-Infrastruktur und einem VPN-Zugang ausgestattet zu haben. 19 Prozent gaben an, dass dies überwiegend der Fall ist und nur wenige Mitarbeitende mit privaten Geräten arbeiten oder sich ohne sicheren VPN-Zugang ins Firmennetzwerk einwählen. Aber immer noch 9 Prozent sagten, dass in ihrem Unternehmen weiterhin noch viele Mitarbeitende mit privaten Geräten beziehungsweise ohne sicheren VPN-Zugang von Zuhause aus tätig sind.