Angetrieben durch die Corona-Krise nimmt der Trend zum Homeoffice stetig zu. Viele Arbeitnehmer arbeiten zum größten Teil – oder sogar ausschließlich – vom privaten Arbeitsplatz zu Hause. Im Homeoffice prallen Privat- und Arbeitsleben aufeinander, was ein Risiko für die IT-Sicherheit bedeutet. Unternehmen sehen sich daher zunehmend mit einer neuen Herausforderung konfrontiert: Der Gewährleistung von IT-Sicherheit im Homeoffice.
Cyber-Angriffe als Bedrohungsrisiko auch im Homeoffice
Cyber-Angriffe auf Unternehmen haben in den letzten Jahren merklich zugenommen. Laut der Cyber-Security-Studie 2020[1] gaben 78 Prozent der befragten Unternehmen an, im laufenden Jahr attackiert worden zu sein. Von 2018 bis 2019 betrug der durch Cyber-Angriffe verursachte Schaden mehr als 100 Milliarden Euro pro Jahr. Verglichen mit den Jahren 2016 und 2017 kam es sogar zu einer Verdopplung der Schadenssumme[2].
Cyber-Angriffe sind vielfältig und können nicht nur unangenehm sein, sondern auch zu erheblichen Vermögensschäden und Reputationsverlusten führen. Folgende Fallkonstellationen sollen der Verdeutlichung dienen:
- Mit DDoS (Distributed-Denial-of-Service) Attacken werden Systeme gezielt überlastet, um Dienste oder Server zeitweise lahmzulegen. Ein durch eine DDoS-Attacke verursachter temporärer Ausfall eines Onlineshops oder einer Website kann innerhalb weniger Tag zu hohen Umsatzeinbußen führen.
- Wenn Schadsoftware, wie bspw. Dateisysteme verschlüsselnde Ransomware, eindringt und die IT-Systeme eines Unternehmens lahmlegt, kann dies zu Produktionsausfällen und sogar zu einer kompletten Handlungsunfähigkeit des Unternehmens führen.
- ATP-Angriffe, bei denen Angreifer über einen längeren Zeitraum gezielt Daten ausspionieren, können zu einem Verlust sensibler Daten oder Geschäftsgeheimnissen führen und dadurch irreversible Schäden verursachen.
- Beim CEO-Fraud werden Mitarbeiter durch gezielte Video-Calls und E-Mails, bei denen sich der Angreifer als Führungskraft des Unternehmens ausgibt, veranlasst, große Geldbeträge zu überweisen. Diese Methode des sog. Social Engineerings ist zwar technisch anspruchslos, aber weit verbreitet.
- Beim Phishing versuchen Cyber-Kriminelle mithilfe von gefälschten Webseiten, E-Mails oder Kurznachrichten an sensible Informationen oder Zugriffsdaten zu kommen.
Die Nichteinhaltung angemessener Sicherheitsmaßnahmen erhöht die Gefahr, Opfer eines Cyber-Angriffs zu werden. Dies gilt nicht nur im Büro, sondern auch im Homeoffice.
Optimaler Schutz nur mittels verschlüsselter VPN-Verbindung und MFA
Bestmöglicher Schutz kann nur gewährleistet werden, wenn das Unternehmen die für das Arbeiten im Homeoffice notwendige Infrastruktur bereitstellt. Hierzu gehört neben der Zurverfügungstellung von sicheren Endgeräten (z.B. Firmen-Laptop oder Diensthandy) auch der geschützte Zugriff auf das Firmennetz via verschlüsselter VPN-Verbindung (Virtual-Private-Network). Dabei erfolgt der Verbindungsaufbau zu einer abgeschotteten Arbeitsumgebung (Terminal-Server oder Virtual-Desktop). Um eine VPN Verbindung aufzubauen, muss eine entsprechende Softwarelösung auf dem Endgerät installiert und eingerichtet werden. In der Regel gibt es vom Unternehmen hierfür Richtlinien und standardisiert genutzte Software.
Idealerweise wird die Verbindung erst dann aufgebaut, wenn sich der Mitarbeiter zuvor mittels einer MFA (Multi-Faktor-Authentifizierung) erfolgreich legitimiert hat. Hierzu ist neben der Eingabe von Login-Daten auch die Freigabe durch einen Hardware-Token (elektronisches Gerät zur Erzeugung eines Einmalpassworts) oder eine Smartphone-App erforderlich. Ist die Verbindung zum Unternehmensnetzwerk einmal aufgebaut, genießt der Mitarbeiter dank Firewall und Echtzeitüberwachung den gleichen Schutz, wie an seinem Arbeitsplatz im Büro. Das technische Konzept wird mittels einer Sicherheitsrichtline ergänzt, die das Unternehmen zur Verfügung stellen sollte. Diese sollte regeln, welche Informationen (auf Papier und auf IT-Systemen) aus dem Unternehmen transportiert und im Homeoffice bearbeitet werden dürfen, wer hierzu befugt ist und welche Sicherheitsvorkehrungen zu treffen sind.
7 praktische Tipps zur Verbesserung der IT-Sicherheit im Homeoffice
Insbesondere aus Kostengründen wird es vielen Betrieben jedoch nicht möglich sein, das beschriebene Konzept umsetzen zu können. Kommen im Homeoffice private Rechner zum Einsatz, besteht ein grundlegendes Sicherheitsrisiko, da der durchschnittliche PC-Anwender nicht über die erforderlichen Kenntnisse verfügt, um ausreichende IT-Sicherheitsmaßnahmen umsetzen zu können.
Mitarbeiter, die ihre privaten Rechner zu Arbeitszwecken nutzen, sind jedoch für die Sicherheit ihrer Geräte verantwortlich und mithin einem Haftungsrisiko ausgesetzt. Grundsätzlich sollte daher jeder Arbeitgeber, der seine Mitarbeiter auf privaten Endgeräten arbeiten lässt, erforderliche Sicherheitsmaßnahmen finanziell und organisatorisch unterstützen.
Nachfolgend werden 7 einfache und leicht umzusetzende Tipps aufgezeigt, wie die IT-Sicherheit am heimischen PC verbessert werden kann:
1. Hard- und Software auf dem neusten Stand halten
Zu einer soliden Arbeitsumgebung gehört, dass ausschließlich Software verwendet wird, die auf dem aktuellsten Stand ist. Nichts macht es Angreifern leichter, als unbekannte Schwachstellen im Programmcode (sog. Zero-Day-Exploits) zu nutzen, um Zugriff auf das Endgerät und damit auf Firmendaten zu bekommen. Notwendig ist es, stets die neuesten Software-Aktualisierungen zu installieren. Das Installieren von Updates und Patches betrifft jedoch nicht nur das Betriebssystem, sondern auch die verwendeten Software Programme, die Gerätetreiber der Hardware sowie den WLAN-Router.
2. Trennung von privaten und geschäftlichen Daten
Die private und geschäftliche Nutzung eines Geräts birgt ein großes Gefahrenpotenzial. Es ist daher empfehlenswert, die beiden Bereiche so gut es geht zu trennen. Die beste Möglichkeit stellt dabei die Nutzung von sogenannten Containern dar. Dabei handelt es sich um Anwendungen, die einen geschützten Bereich auf dem Endgerät abtrennen. Nur innerhalb dieses Containers ist ein Zugriff auf Unternehmensdaten möglich.
Steht keine Container-Software zur Verfügung, so kann eine Trennung der Daten zumindest über separate Benutzerkonten erfolgen. Wird der private Computer für die Arbeit im Homeoffice genutzt, dann sollte hierfür ein separates Konto erstellt werden. Hierdurch können private von geschäftlichen Daten getrennt werden. Das Arbeitskonto sollte selbstverständlich mit einem eigenen Passwort versehen werden.
Was den Zugriff auf das E-Mail-Postfach angeht, sollte dieser via Exchange-Client oder Webmail erfolgen, damit E-Mails nicht auf dem privaten Rechner gespeichert werden.
3. Nutzung aktueller Sicherheitssoftware
Sicherheitsprogramme, die nicht nur vor Computerviren schützen, sondern auch einen Phishing-Schutz und eine Firewall bieten, gibt es bereits für kleines Geld. Virenschutz ist nicht nur empfehlenswert, sondern fast schon obligatorisch. Der Befall des PCs im Homeoffice durch Malware kann sich schnell im gesamten Firmennetzwerk ausbreiten und erhebliche Schäden verursachen.
4. Verschlüsselung der Festplatte sowie portabler Speichermedien
Ein weiterer Tipp besteht darin, die Festplatte des Geräts und externe Speichermedien – wie USB-Sticks, Speicherkarten oder mobile Festplatten – zu verschlüsseln. Hierdurch kann auch im Homeoffice gewährleistet werden, dass Daten geschützt bleiben. Dieser Schutz hilft insbesondere dann, wenn das Notebook oder das Speichermedium verloren geht. Die Verschlüsselung des Datenspeichers ist meist mit den vorhandenen Mittelns des Betriebssystems möglich und verursacht keine zusätzlichen Kosten.
5. Sicheres Ablegen von Daten und regelmäßige Erstellung von Backups
Sofern das Unternehmen über ein Firmennetzwerk verfügt, sollte der Zugriff vom Homeoffice über eine verschlüsselte VPN-Verbindung erfolgen. Dateien sollten dabei nur auf dem Firmenserver bzw. der Firmendatenbank abgelegt werden. Regelmäßige Backups seitens des Arbeitgebers sind selbstverständlich Pflicht.
Wenn kein Firmennetzwerk vorhanden ist, müssen Daten lokal gespeichert werden. Damit es nicht zu einem Datenverlust kommt, sollten auch in der heimischen Umgebung Datensicherungen erstellt werden. Dies erfolgt am einfachsten mittels einer Backup-Software, welche die Datensicherung auch gleich verschlüsselt. Sofern häufiger größere Datenmengen im Heimnetzwerk gesichert werden müssen, sollte der Erwerb eines unabhängigen Dateienservers (sog. NAS = Network Attached Storage) erwogen werden.
Grundsätzlich sollte darauf verzichtet werden, Dokumente auf USB-Sticks und externen Platten zwischen Büro und Homeoffice hin- und herzutragen. Eine Alternative zum Datentransport kommt Cloud-Speicher in Frage. Zahlreiche Dienstleister bieten entsprechende Lösungen für Firmen an. Bei der Auswahl des passenden Anbieters sollte unbedingt auf DSGVO-Konformität sowie Ende-zu-Ende-Verschlüsselung geachtet werden.
6. Sicherheitsmaßnahmen bei Video-Chats
Video-Chats können von Cyber-Kriminellen genutzt werden, um sensible Unternehmensdaten auszuspähen. Hinter einem Videochat-Teilnehmer ohne aktivierte Kamera könnte auch ein Angreifer stecken. Sollte ein Verdacht bestehen, empfiehlt es sich, den Teilnehmer zunächst aufzufordern, die Kamera zu aktivieren. Auch kann das Meeting neu gestartet werden. Im Zweifel sollte telefonisch nachgefragt werden.
Die Teilnahme an Video-Chats von zu Hause ist zudem mit der Einsicht in die Privatsphäre verbunden. Dieses Risiko kann mit der Nutzung eines virtuellen Hintergrunds oder spezieller Kameraausrichtungen jedoch verringert werden.
7. Homeoffice-Richtline und Notfallplan
Um den Cyber-Bedrohungen im Homeoffice effektiv zu begegnen, empfiehlt es sich, Mitarbeiter für das Thema zu sensibilisieren. Diese müssen die Gefahren kennen, die mit der Telearbeit verbunden sind. Hier kann bereits ein einfaches Merkblatt helfen, welches über mögliche Risiken informiert und Auskunft darüber gibt, welche Sicherheitsmaßnehmen zu treffen sind.
Auch im Homeoffice kann es zu Pannen und technischen Schwierigkeiten kommen. Es ist daher ratsam, auch aus der Ferne stets mit den Administratoren des Unternehmens oder dem externen IT-Dienstleister in Verbindung zu bleiben.
Damit es im Ernstfall (Datenverlust, Geräteverlust oder Cyberangriff) nicht zu einem unnötigen Zeitverlust kommt, sollte ein Notfallplan bereitstehen, der Verhaltensvorgaben und eine Liste mit den Kontaktdaten der wichtigsten Ansprechpartner beinhaltet.
[1] https://www.computerwoche.de/a/die-it-sicherheit-braucht-eine-neuorientierung,3549665
[2] https://www.telefonkonferenz.de/blog/rekordschaeden-durch-cyberangriffe-2019/
- Stärkung der Cybersicherheit in Unternehmen: Das neue NIS-2-Umsetzungsgesetz - Mai 25, 2023
- Landgericht Ravensburg: Nutzung von Fingerabdrücken zur Entsperrung beschlagnahmter Mobiltelefone ist rechtmäßig - Mai 15, 2023
- EU Cyber Resilience Act: Ein Schritt in Richtung stärkere digitale Sicherheit - April 5, 2023