IT-Sicherheitsrisiken im Homeoffice

Mitarbeiter im Homeoffice (Bild: Shoretel)

Zuhause am Computer arbeiten zu können, ist für viele Beschäftigte ein Vorteil. Doch die Remote-Arbeit macht IT-Sicherheit nicht einfacher.

Nachdem sie nun auf den Geschmack gekommen sind, zieht es Mitarbeiter*innen immer mehr in das Homeoffice. Die Vorteile aus deren Sicht sind klar:  kürzere Pendelzeiten und mehr Freiheit rund um die Tagesgestaltung. Für die Sicherheit hat es aber Nachteile. In einem Heimnetzwerk gibt es nicht die mehrschichtige Netzwerksicherheit wie in einer Unternehmensumgebung. Dazu kommen  menschliche Fehler. Die Mitarbeiter*innen arbeiten in Umgebungen, die sie stärker ablenken und in denen sie möglicherweise an die Hausttür gehen müssen oder gleichzeitig Hausarbeiten erledigen. Das erhöht die Fehlerwahrscheinlichkeit, zum Beispiel das Senden einer E-Mail an den falschen Empfänger oder ein bösartiger E-Mail-Angriff. So stellen IT-Führungskräfte fest, dass es seit der Umstellung auf Arbeit aus dem Homeoffice  einen Anstieg der Sicherheitsprobleme gibt .

Die größten Sicherheitsbedrohungen der Remote-Arbeit?
Nicht sichere Internet-Konnektivität

Mitarbeiter, die von zu Hause aus arbeiten, dürfen oft ihre eigene Computerausrüstung und Internetverbindung nutzen – getrennt von der Computer- und Netzwerkinfrastruktur des Unternehmens und unter Umgehung der von der Sicherheitsinfrastruktur des Unternehmens bereitgestellten Schutzmaßnahmen. Ehepartner und Kinder nutzen dasselbe Netzwerk. Ist ein Gerät infiziert, kann der Virus auf die anderen Systeme übergreifen. Dies wird als Cross-Traffic-Kontamination bezeichnet und kann zum Verlust wichtiger Unternehmensdaten führen.

Es gibt Möglichkeiten, diese Risiken zu minimieren. Die beste Option ist die Zwei-Faktor- oder Mehr-Faktor-Authentifizierung. Außerdem empfiehlt sich der Einsatz von VPNs oder einem Zero-Trust-Netzwerk. Das bedeutet, dass jeder, der versucht Zugriff auf Netzwerkressourcen zu erhalten, seine Identität nachweisen  muss.

Endpunkte lassen sich nicht überwachen

Einige Unternehmen überwachen den Datenverkehr zwischen dem Remote-Benutzer und dem Unternehmen und analysieren ihn auf Anomalien. Der Computer, den der Remote-Mitarbeiter verwendet, arbeitet mit EDR-Funktionen (Endpoint Detection and Response), um Bedrohungen zu identifizieren, die es möglicherweise auf den Desktop geschafft haben. Wenn Remote-Benutzer jedoch überwiegend ihre eigene Infrastruktur nutzen und nicht im System des Unternehmens angemeldet sind, steigt die Gefahr erheblich, dass Vorfälle ohne das Wissen der Incident-Response-Teams auftreten.

Unternehmensumgebungen verfügen über Playbooks für den Umgang mit Bedrohungen. Bei Remote-Mitarbeiter*innen ist die Kontrolle aber schwierig. Wer kontrolliert schon, ob jemand wirklich ein Passwort ändert, obwohl man  dazu aufgefordert wurde? Sicherheitsvorfälle können länger unbemerkt bleiben oder nicht gemeldet werden und richten dann mehr Schaden an. 

Kommunikation und Schatten-IT

Wenn Außendienstmitarbeiter miteinander kommunizieren, nutzen sie oft Kanäle von Drittanbietern wie Slack, Teams und Discord, die nicht vom Arbeitgeber kontrolliert oder überwacht werden. Das größte Risiko besteht hier darin, dass Mitarbeiter*innen auf diese Anwendungen zugreifen und durch einen neugierigen Klick auf einen Link einen Virus oder Malware herunterladen. 

Darüber hinaus besteht überall dort, wo Menschen sensible Daten über E-Mail oder über nicht überwachte Anwendungen austauschen, das Risiko eines Datenverlusts, steigt. Dies kann durch menschliche Fehler geschehen – zum Beispiel durch das Teilen einer Datei im falschen Teams-Chat – oder jemand nutzt diese Kanäle absichtlich, um Daten zu exfiltrieren. Als Schutzmaßnahme sollten sichere Kommunikationskanäle verwendet werden und Daten verschlüsselt ausgetauscht werden. 

Ungesicherte Dateien

Genauso wie die Kommunikation über ungesicherte Kanäle zu erhöhten Sicherheitsrisiken führen kann, gilt dies auch für die gemeinsame Nutzung und Speicherung von Dateien über unverschlüsselte Kanäle. Die meisten Leute wissen nicht, wo die Daten tatsächlich gespeichert sind. Sie sind ständig mit Daten unterwegs. Daher sollten alle Daten  verschlüsselt werden. damit die Daten unabhängig vom Speicherort sicher sind.

Riskantes Verhalten

Viele Mitarbeiter bevorzugen die Arbeit aus der Ferne, weil sie bequem ist und keine Einschränkungen mit sich bringt. Aber genau diese Faktoren können zu Risiken für die Cybersicherheit führen, wenn sie nicht richtig gehandhabt werden. Zu Hause ist man entspannter, was strenge Sicherheitsmaßnahmen angeht. Daher geht man mehr Risiken ein und besucht eher zweifelhafte Websites, die man normalerweise im Büro nicht besuchen würde, weil niemand die Aktivitäten zu Hause überwacht.

Hinzu kommt die größere Ablenkung, die Mitarbeiter dazu führen, mitten in einer Aufgabe vom Computer aufzustehen. Ohne eine vom Unternehmen kontrollierte Zeitüberschreitung von Anwendungen und Netzwerksitzungen steigt die Wahrscheinlichkeit, dass jemand Daten oder Informationen einsehen kann, die sensibel sind oder einem besonderen Schutz unterliegen.

Es sollten daher regelmäßige und obligatorische Cybersicherheitsschulungen durchgeführt werden. Die Mitarbeiter sollten die Cybersicherheitsrichtlinien kennen und sich verpflichten, diese einzuhalten. Sie müssen die möglichen Konsequenzen einer versehentlichen oder vorsätzlichen Verletzung dieser Richtlinien verstehen.

Phishing-E-Mails auf dem Vormarsch

Seit der Pandemie gibt es eine Versechsfachung  von Phishing-E-Mails – Tendenz weiter steigend. Phishing-Angriffe machen keinen Unterschied zwischen Mitarbeitern im Büro und im Homeoffice. Aber in einem Homeoffice verschwimmt die Grenze zwischen Arbeit und Privatleben, was bedeutet, dass die Mitarbeiter oft länger arbeiten. Müde, abgelenkte Menschen sind die perfekte Zielscheibe für Cyberkriminelle, und deshalb ist Phishing eine größere Bedrohung für Unternehmen mit Remote- oder Hybrid-Mitarbeitern.

Bei Phishing-Angriffen geben sich die Angestellten als Marken, Mitarbeiter oder Lieferanten aus, um sie zu falschen oder bösartigen Handlungen zu verleiten.  Arbeitet jemand in einem Büro lässt sich die Absicht einer anscheinend internen, aber bösartigen E-Mail schnell erkennen. Mitarbeiter kann sich leichter vergewissern, ob die E-Mail tatsächlich vom Kollegen kommt. Unternehmen können diese Risiken mindern, indem sie ihre Mitarbeiter entsprechend schulen, damit sie Phishing-E-Mails erkennen und die richtigen Schritte zur Meldung und Kontrolle solcher Probleme unternehmen. Ein effektiverer Ansatz kann auch die Verwendung einer Zero-Trust-Architektur sein. Eine Zero-Trust-Umgebung behandelt Insider und Outsider gleich. Jeder  Zugriff wird durch kontinuierliche Autorisierung und Authentifizierung überprüft.