Cyberangriffe im Homeoffice verhindern

Ein Großteil der Arbeitnehmer ist aufgrund der Corona-Pandemie im Homeoffice tätig. Dieser Wechsel des Arbeitsplatzes musste sehr oft zügig vonstatten gehen, wodurch sich das Risiko von Cyberangriffen im Homeoffice deutlich erhöht hat. Wie man solche Cyber-Attacken verhindern kann, erklärt dieser Beitrag.

Tipp 1: Penetrationstest aller IT-Infrastruktur-Komponenten

Um das unternehmenseigene IT-Netzwerk einschließlich aller externen Homeoffice-Arbeitsplätze vor unberechtigtem Zugriff zu schützen, ist es zunächst einmal wesentlich, sämtliche Schwachstellen der IT-Strukturen zu kennen. Dazu tragen sogenannte Penetrationstests bei, die von Unternehmen wie der Redlings GmbH durchgeführt werden, die sich auf den Bereich Cybersicherheit spezialisiert haben und solche IT-Sicherheitsüberprüfungen vornehmen. IT-Security-Experte Dr. Ewan Fleischmann sagt zum Thema Pentest: „Der erste Schritt für ein Unternehmen zur Verbesserung der Sicherheit besteht darin, die Stärken und Schwächen der eigenen Sicherheitsarchitektur genau zu kennen.“

Bei einem Penetrationstest nutzt der ausführende IT-Sicherheitsexperte Hackerwissen und geht so vor, wie es ein Cyberkrimineller tun würde, um in ein IT-System einzudringen. In einem vorher mit dem beauftragenden Unternehmen abgesprochenen Rahmen identifiziert der Pentester zunächst sämtliche Schwachstellen, z. B. Fehlkonfigurationen bzw. Fehlprogrammierungen, schwache Verschlüsselungen oder ein mangelhaftes Session-Management. In einem weiteren Schritt nutzt er die identifizierten Sicherheitslücken aus, um so weit wie möglich ins IT-Netzwerk vorzudringen.

Auf Grundlage eines Abschlussberichtes erhält das beauftragende Unternehmen eine Übersicht aller identifizierten Schwachstellen und kann seinerseits durch eine veränderte und optimierte IT-Sicherheitsarchitektur dafür Sorge tragen, dass die Schwachstellen geschlossen werden.

Tipp 2: Optimierte IT-Sicherheitsarchitektur von Beginn an

Eine alte Weisheit besagt, dass Arbeit, die man am Anfang gut macht, später nicht teuer nachholen muss. Daher ist es für Unternehmen, Behörden oder sonstige Institutionen sinnvoll, die IT-Sicherheit von Beginn an mitzudenken und gemäß des Grundsatzes „Secure-by-Design“ zu realisieren.

Auf Cybersicherheit spezialisierte Unternehmen bieten hier auf unterschiedliche Branchen zugeschnittene Lösungen an, die sich beispielsweise an den Konzepten und Richtlinien der Cybersicherheitsnorm IEC62443 oder das SABSA Security Framework orientieren. Nach Auffassung von Dr. Ewan Fleischmann ist es für Unternehmen existenziell, das Konzept der „Defense-in-Depth“ (Tiefenverteidigung) zu nutzen und sicherzustellen, dass die IT-Infrastruktur durch mehrere Verteidigungsebenen geschützt wird. Die Umsetzung dieser Konzepte erhöht letztlich auch das Sicherheitsniveau im Homeoffice.

Tipp 3: Trennung zwischen privat und geschäftlich

Um die unternehmenseigene Hardware und das gesamte Firmennetzwerk auch im Homeoffice optimal zu schützen, ist es wesentlich, dass die im Homeoffice tätige Person strikt zwischen privat und geschäftlich trennt, sobald sie mit dem Firmennetzwerk verbunden ist. Jede Aktivität, die außerhalb der vom Unternehmen ausgegebenen Verhaltensrichtlinien liegt, kann zu einer Kompromittierung der Hard- und Software führen.

Aus dem Internet heruntergeladene Anwendungen, die nichts mit der Tätigkeit zu tun haben und nicht für die Arbeit benötigt werden, können beispielsweise Schadsoftware in Form von Viren oder Trojanern beinhalten, die dann unbemerkt ins Firmennetzwerk gelangen und dort immensen Schaden anrichten können.

An dieser Stelle sei darauf hingewiesen, dass es eine wichtige Aufgabe des Unternehmens ist, Verhaltensregeln für das Homeoffice zu erarbeiten und sie den Mitarbeitenden zu übergeben. Sehr oft wissen im Homeoffice Tätige gar nicht genau, was vom Unternehmen erlaubt ist und was sie nicht tun dürfen. Je klarer hier die Handlungsanweisungen sind, desto niedriger ist das Risiko, Opfer einer Hackerattacke zu werden.

Tipp 4: Sichere Leitung zum Unternehmen nutzen

So segensreich das Internet auch sein mag, in Sachen Sicherheit könnte es wesentlich besser aufgestellt sein. Aus diesem Grund sollte im Homeoffice ausschließlich mithilfe von VPN (Virtual Privat Network) auf das Firmennetzwerk bzw. den Unternehmensserver zugegriffen werden.

Unter VPN versteht man ja sozusagen eine besonders gesicherte Leitung innerhalb des öffentlich zugänglichen Internets. Sämtliche Daten und Informationen, die über VPN gelenkt werden, sind speziell abgesichert und verschlüsselt. Durch diese Verschlüsselung entsteht quasi eine nicht aufzubrechende „Datenautobahn“, die von außen nicht „angesteuert werden kann. Das nimmt Hackern jegliche Möglichkeit, Daten abzufangen und zu lesen.

Wie ein VPN funktioniert? Es verbirgt die IP-Adresse dadurch, dass das Internet sie über einen speziell konfigurierten Remote-Server umleitet. Dieser wird von einem eigenen VPN-Host ausgeführt. Bei der Verwendung von VPN wird also der VPN-Server zum Ursprung der Daten und die eigentliche IP-Adresse bleibt unerkannt.

Wer vom Unternehmen keinen VPN-Zugang erhalten hat, der sollte zumindest seinen Router im heimischen Büro optimal absichern. Im Idealfall steht einem ein Passwortgenerator zur Verfügung. Ist dies nicht der Fall, ist es sinnvoll, ein möglichst sicheres Passwort zu wählen, z. B. sollte es mindestens 18 Zeichen lang sein und auch Zahlen und Sonderzeichen enthalten.

Tipp 5: Vorsicht vor Phishing-Mails

Immer mehr Cyberkriminelle versuchen, über sogenannte Phishing-Mails Zugang zu Firmennetzwerken zu erhalten. Unter solchen Phishing-Mails verstehen IT-Sicherheitsexperten „gefakte“ E-Mails, die täuschend echt wirken und die man nicht sofort als Fälschungen erkennen kann. In diesem Mail wird der Empfänger, in diesem Fall der im Homeoffice Arbeitende, aufgefordert, bestimmte Daten preiszugeben oder auf einen eingefügten Link zu klicken.

Abgesehen davon, dass man niemals irgendwelche privaten Daten (Kontaktdaten, Anschrift, Passwörter oder gar Bankdaten) preisgeben sollte, ist es zudem nicht ratsam, auf Links zu klicken. Tut man es doch, startet nicht selten unbemerkt und vollkommen automatisch der Download irgendeiner Schadsoftware, die dann eventuell ins Firmennetzwerk gelangt.

Unternehmen sind hier gut beraten, ihren Mitarbeitenden regelmäßig Schulungen anzubieten, in denen diese erfahren, wie man Phishing-Mails erkennt und wie man sich korrekt verhält, wenn man solche E-Mails in seinem Homeoffice-Postfach vorfindet. Wie dringlich das Thema Phishing-Abwehr für Unternehmen ist, zeigt die Statistik. Im September 2021 gab es weltweit mehr als 214.000 bekannte Phishing-Websites und es wird vermutet, dass es darüber hinaus eine nicht geringe Zahl von noch unbekannten Seiten gibt.

Fazit: Homeoffice als Teil der gesamten IT-Sicherheitsarchitektur denken

Was immer Unternehmen auch tun, um ihre IT-Sicherheit zu stärken, sie sollten den Bereich Homeoffice immer mitdenken und entsprechende passive und aktive Sicherheitsmaßnahmen ergreifen. Das beginnt bei gut verständlichen und klaren Verhaltensregelarien von Seiten der Unternehmensführung, erstreckt sich über die Bereitstellung optimal geschützter Hardware in Form von PCs, Laptops oder Tablets und reicht bis zur Sicherung der IT-Infrastruktur im Unternehmen selbst, etwa durch regelmäßig durchgeführte Penetrationstests. Ein solch umfassender Schutz ist im ureigendsten Interesse der Unternehmen, denn der Diebstahl von Daten oder die Behinderung laufender Geschäfts- bzw. Produktionsprozesse kann nicht abschätzbare Schäden verursachen, sowohl finanziell als auch hinsichtlich der Reputation.

Lesen Sie auch : Angriffsziel Krankenhaus