Cyberangriffe aufs Homeoffice: Wie sicher ist das Arbeiten von Zuhause?

Seit Beginn der Corona-Krise haben viele Unternehmen soweit wie möglich auf Heimarbeit umgestellt. Auch im Silicon Valley ermöglichen Branchengrößen wie Google oder Facebook, aber auch viele kleinere Firmen ihren Mitarbeitern, von zu Hause zu arbeiten. Doch diese neue Arbeitswelt, die durchaus viele Chancen bietet, unterliegt auch neuen Gefahren wie zum Beispiel Cyberangriffen.

Autor: Stefan Achleitner; Aufmacherbild: Pixabay/Alexandra Koch

Manches ist in den USA nach wie vor besser: Mitarbeiter mehrerer großer Silicon-Valley-Firmen dürfen in Corona-Heimarbeits-Zeiten die Kosten für Internet und Handy, ja teilweise sogar für neue Flachbildschirme und Bürosessel ihrem Arbeitgeber in Rechnung stellen. Vielleicht doch gar nicht so überraschend, denn ein Unternehmen spart ja auch viele Betriebskosten, wenn die Belegschaft nicht im Büro ist.

Doch bei allen Chancen, die der aktuelle Siegeszug der Heimarbeit bietet, eröffnet sie auch neue Risiken – insbesondere wenn es um die Sicherheit vor Cyberangriffen geht. Wir analysieren deshalb die wichtigsten Schwachstellen in einem Heimnetzwerk und haben einen Überblick zusammengestellt, worauf man im Homeoffice achten sollte.

Steigende Anzahl von Phishing wegen Homeoffice und Corona

Die Corona-Pandemie sowie die plötzliche Umstellung auf Heimarbeit haben eine grosse Anzahl neuer Phishing-Scams hervorgebracht – also betrügerischer E-Mails oder Anrufe. Das Ziel eines solchen Phishing Angriffs ist es, einen Nutzer dazu zu bewegen, eine bestimmte Aktion durchzuführen. Diese soll es Cyberkriminellen wiederum ermöglichen, weitere Schritte eines Angriffs auszuführen. Dass das Klicken auf einen Link in einer E-Mail kritisch ist, ist weithin bekannt. Aber würden Sie es als sicherheitskritisch einschätzen, einem Anrufer Ihre Wohnadresse bekanntzugeben? 

Das sollten Sie besser, denn damit kann er sich vor Ihrem Haus postieren und versuchen, über Schwachstellen in Ihrem WLAN in Ihr Heimnetz und somit ins Firmennetz Ihres Arbeitgebers einzudringen. Solche Vorbereitungen eines Angriffs bezeichnet man als Social Engineering. Wir haben bereits letztes Jahr in der Intelligenten Welt ausführlich darüber berichtet. Gerade jetzt sind die damit verbundenen Risiken brandaktuell.

Eine anderes aktuelles Beispiel: Seit Ausbruch der Corona-Pandemie gab es eine zunehmende Anzahl an Smartphone-Apps, die vorgaukeln, wissenschaftliche Daten bezüglich Corona zu sammeln. In Wirklichkeit installierten manche von ihnen aber Schadsoftware auf dem Gerät des Nutzers. Aktuell ist der Großteil solcher schadhaften Corona-spezifischen Apps zwar wieder aus den App-Stores verschwunden. Trotzdem sollte man bei der Installation jeder App grundsätzlich darauf achten, ob sie von einem seriösen Entwickler stammt.

Wenn das Heimnetzwerk zum Einfallstor für Cyberangriffe wird

Eine Technologie, die von den meisten Unternehmen eingesetzt wird, um ihren Angestellten das Arbeiten von zu Hause zu ermöglichen, sind Virtual Private Networks (VPNs). Eine VPN-Verbindung verlängert das Firmennetzwerk bis in Heimnetzwerk. Sie ermöglicht so den Zugriff auf speziell geschützte Services im Firmennetz, zum Beispiel auf unternehmensinterne Server oder Intranet-Applikationen. Dies birgt aber auch Gefahren, da Heimnetzwerke meistens weniger sicher sind als Firmennetzwerke. 

Daher sollten Anwender vor allem darauf achten, bei der Arbeit im Homeoffice private Geräte von beruflich genutzten zu trennen. Einen VPN-Client auf dem persönlichen Computer daheim zu installieren, um sich damit ins Firmennetz zu verbinden ist keine gute Idee – vor allem wenn auf dem privaten Computer nicht die jüngsten Sicherheitsupdates installiert sind oder er über keinen ausreichenden Malware-Schutz verfügt. Werden solche Geräte über eine VPN-Verbindung mit dem Firmennetz verbunden, können Hacker sie leicht als Einfallstor missbrauchen.

Gerade in größeren Heimnetzwerken verliert man zudem schnell den Überblick, wer und was alles mit dem WLAN verbunden ist.  Deshalb sollten Anwender darauf achten, dass für alle WLAN-Verbindungen eine sichere Verschlüsselung nutzen (mindestens WPA-2, wenn möglich das neuere und stärkere WPA-3). Außerdem sollte man sich von Zeit zu Zeit vergewissern, ob man auch wirklich alle verbundenen Geräte kennt. Nachschauen lässt sich dies über die Konfigurationsoberfläche des Routers. Dabei stellt man aber schnell fest, dass Heimnetzwerke ziemlich unübersichtlich werden können: Neben Laptops und Smartphones sind meistens auch Spielkonsolen, Fernseher und vielleicht sogar Kühlschrank, Spülmaschine und Kaffeeautomat mit dem WLAN verbunden. Sie alle haben potenzielle Schwachstellen, über die Cyberkriminelle ins Netzwerk eindringen können.

Sensible Daten werden vermehrt über das Internet geteilt

Trotz dieser möglichen Angriffspunkte sind VPNs nach wie vor eine der sichersten Technologien, um eine Verbindung von zu Hause zum Netzwerk des Arbeitgebers aufzubauen. Wichtig ist, dass die verwendeten Komponenten (Client und Zugangs-System im Firmennetz) von einem zuverlässigen und bekannten Hersteller stammen. Darum kümmert sich aber in der Regel die IT-Abteilung des Unternehmens. 

Auch verschiedene Cloud Services kommen im Homeoffice vermehrt zum Einsatz, um mit Kollegen zusammenarbeiten zu können. Dabei sollte man aber nicht ganz aus dem Blick verlieren, dass möglicherweise sensible Firmeninformationen auf den Servern der Cloud-Anbieter landen. Nicht nur, dass die Neugier der Anbieter keineswegs immer sicher auszuschließen ist – auch Cyberkriminelle haben dort oft leichteres Spiel. Nicht umsonst untersagen viele IT-Abteilungen die Nutzung von Diensten wie Dropbox. An solche Vorgaben sollte man sich unbedingt halten. Fragen Sie im Zweifel bei der IT-Abteilung nach, welche sicheren Wege zum Teilen großer Datenmengen sie unterstützt beziehungsweise empfiehlt.

Hinzu kommt ein Aspekt, den man auf den ersten Blick trivial finden könnte – der in der Praxis aber dennoch eine große Rolle spielt: Das Umfeld zu Hause ist per se nicht so sicher wie das in einem Unternehmen. Da kann es schon mal vorkommen, dass sich ein berufliches Telefonat oder eine Videokonferenz, in denen sensible Informationen diskutiert werden, bei offenem Fenster oder von WG-Mitbewohnern mithören lässt. Oder dass firmeninterne Dokument auf Speichermedien oder Cloud-Diensten landen, die man mit Familienmitgliedern, Freunden oder Bekannten teilt. Hier sind Mitarbeiter zu erhöhter Sensibilität und Vorsicht aufgefordert.

Klare Vorgaben der IT-Abteilungen sind gefragt

Um sicheres Arbeiten von zu Hause zu gewährleisten, sind die IT-Abteilungen der Unternehmen stark gefordert. Neben der Bereitstellung der bereits genannten technischen Bausteine wie VPN-Zugängen oder sicheren Cloud-Speichern, müssen sie angesichts der neuen Homeoffice-Realität auch organisatorisch weiterdenken. Beispielsweise durch klare Vorgaben und Richtlinien.

Folgende Punkte sollten IT-Experten dabei unbedingt beachten:

  • Strikte Trennung von privaten und beruflichen Geräten
  • Falls persönliche Geräte beruflich verwendet werden, muss sichergestellt werden, dass diese alle sicherheitstechnischen Vorgaben gewährleisten
  • Klare Vorgaben, welche Services von Drittanbietern, etwa Cloud Speicher, verwendet werden dürfen, um berufliche Daten mit Kollegen zu teilen
  • Verwendung von sicheren VPN-Verbindungen
  • Schulungen der Mitarbeitern, um sie für bestimmte Cyber-Bedrohungen, beispielsweise. Phishing, vorzubereiten
  • Erstellung von Notfallplänen, die im Fall eines erfolgreichen Angriffs schnell angewendet werden können

 

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.