Nach wie vor arbeiten viele Angestellte hierzulande von zuhause aus. Das Home Office wird dabei zum Sicherheitsrisiko. Rohde & Schwarz Cybersecurity zeigt passende Lösungswege für zentrale Risiken im heimischen Büro auf.
Arbeitsplatz
Im Home Office arbeiten Mitarbeiter an Küchen- und Esstischen, in Schlafräumen oder sogar in Kinderzimmern. Der Platz ist begrenzt und das WLAN-Signal nicht überall gleich stark. Ein solcher Arbeitsplatz bringt etliche Gefahren für die Unternehmens-IT mit sich – insbesondere dann, wenn die ganze Familie zu Hause ist. Notebooks oder Tablets können durch Kleinkinder beschädigt werden, ältere Kinder versuchen sich gerne aus Neugierde an den Geräten der Eltern, löschen womöglich wichtige Daten oder drucken sie aus. Auf Küchen- und Esstischen abgestellte Getränke sind vor allem dann ein Risiko, wenn man sich den Tisch mit zwei Schulkindern teilt. Mitarbeiter müssen daher zu Hause besondere Vorkehrungen treffen. Ideal ist ein eigener – abschließbarer – Arbeitsraum. Mit einem WLAN-Verstärker lässt sich bei Bedarf das Verbindungssignal optimieren. Wer in der Küche oder im Wohnzimmer arbeitet, sollte zumindest beim Verlassen des Arbeitsplatzes, den Bildschirm sperren und das Notebook nach Feierabend in einen Schreibtisch oder Schrank einschließen.
Anzeige
Webinare zum Thema Business Software
Die Trovarit AG, Ihr Digitalisierungsspezialist, weitet ihr Webinar-Programm aus.
- Werkzeuge für die Datenmigration
- Herausforderung MES-Projekt
- ImplAiX® – Aachener Implementierungsmodell für Business Software
- Clever digitalisieren uvm.
Bring your own device
Der Einsatz privater Endgeräte im Job war schon vor Corona ein Trend. Im Home Office heißt es jetzt „Use your own device“. Wenn private Endgeräte genutzt werden, verlieren Unternehmen die Kontrolle über den Schutz ihrer Daten. Veraltete Rechner mit Update-Lücken und fehlenden Virenscannern bieten Hackern leichten Zugriff auf sensible Daten. Unternehmen müssen dafür sorgen, dass die Daten sicher sind und die EU-DSGVO nicht verletzt wird und ihre Mitarbeiter zu Schutzmaßnahmen verpflichten.
Cloud
Für das dezentrale Arbeiten von zu Hause sind Cloud-Anwendungen und Collaboration-Dienste sehr nützlich. Doch die Schutzmechanismen der kostenlosen Cloud-Angebote entsprechen nicht den Sicherheitsanforderungen der Unternehmen. Hinzu kommt: Die Mehrzahl der Cloud-Anbieter sitzt im Ausland. Viele dort geltende Regelungen – wie etwa der „Clarifying Lawful Overseas Use of Data Act“ – sind nicht mit der EU-DSGVO vereinbar. Es drohen Datenspionage und Compliance-Verletzungen. Die Lösung ist ein datenzentrischer Schutz: Dabei werden Platzhalter in die Cloud eingestellt, die nur Metadaten enthalten. Die Nutzdaten werden fragmentiert im Unternehmensnetzwerk oder an einem anderen Ort abgelegt. Selbst bei einem Angriff auf die Cloud bleiben dann die vertraulichen Inhalte für nicht befugte Personen unlesbar.
E-Mail-Anwendungen
E-Mail-Anwendungen auf mobilen Endgeräten erleichtern die Arbeit von zu Hause. Allerdings gibt es immer wieder Sicherheitslücken, die es Hackern ermöglichen, solche Anwendungen zu knacken. Aktuell ist die E-Mail-Anwendung von Apple betroffen. Die Angriffe verlaufen meist völlig unbemerkt. Unter dem Update Apple iOS 13 kann die Schad-E-Mail den Schadcode auf das iPhone aufbringen, ohne dass der Anwender die Nachricht lesen muss. Haben Hacker das Gerät gekapert, können sie diese E-Mail löschen und ihre Spuren verwischen.
Festplatte
Vor allem Organisationen mit hohen Sicherheitsanforderungen sollten die Notebooks ihrer Mitarbeiter mit einer Festplattenverschlüsselung ausstatten. Nur berechtigte Anwender können dann per Multi-Faktor-Authentifizierung ihre Daten und das Betriebssystem nutzen. Geht das Gerät verloren oder wird es gestohlen, können Dritte nicht auf die Daten zugreifen.
Hacker
Hacker nutzen die Corona-Krise aus. Mit einer Flut an Phishing-E-Mails, neu entwickelter Malware und gefälschten Informationen versuchen sie, aus der Krise Kapital zu schlagen. Für Unternehmen kann sich dadurch die bereits angespannte wirtschaftliche Lage weiter verschärfen. Ein umfassender Schutz der IT ist für jedes Unternehmen daher unverzichtbar.
Internet
Bereits vor der Corona-Krise kamen 70 Prozent der Hackerangriffe aus dem Internet. Der aktuelle Informationsbedarf verschärft diese Gefahr. Über gefälschte Webseiten, E-Mails oder Grafiken, die aus scheinbar vertrauensvollen Quellen stammen, wird Malware auf Rechner geschleust. Der beste Schutz vor Angriffen aus dem Internet ist ein virtueller Browser, wie beispielsweise R&S Browser in the Box. Kommt dieser zum Einsatz, haben Cyberkriminelle keine Chance.
Mitarbeiter
Ein Sicherheitskonzept, noch so ausgeklügelt es sein mag – als Schwachpunkt bleibt der Mensch. Mitarbeiter öffnen Phishing-E-Mails und laden gefährliche E-Mail-Anhänge herunter, sie verraten ihre Zugangspasswörter an Unbefugte, die sich am Telefon als IT-Dienstleister ausgeben, und sie verbummeln wichtige Sicherheits-Updates. Im Home Office – wenn der IT-Administrator weit weg ist – ist die Verantwortung jedes Einzelnen besonders groß. Neben der richtigen IT-Sicherheitstechnik ist eine Schulung und Sensibilisierung der Mitarbeiter daher ausschlaggebend für die IT-Sicherheit im Unternehmen.
Passwörter
Passwörter schützen Anwendungen vor unberechtigtem Zugriff. Doch Standardpasswörter sind einfach zu knacken. Und „1234“ oder „Password“ bieten gar keinen Schutz vor Hackern. Gute Passwörter sind Passphrasen wie „Wir verschlüsseln Datenträger!“ oder „keine-Zellen-in-Excel-verbinden“. Solche Sätze sind leicht zu merken und zu tippen, aber schwierig zu knacken. Ergänzt werden sollten sie um Symbole, Zahlen oder Großbuchstaben. Um nicht den Überblick zu verlieren, ist ein Passwort-Manager hilfreich.
USB-Stick
USB-Speichergeräte sind praktisch, wenn es um die Weitergabe von großen Datenmengen geht. Auch beim dezentralen Arbeiten im Home Office ist der USB-Stick beliebt. Häufig kommen allerdings Sticks zum Einsatz, deren Ursprung niemand kennt. So kann Malware auf die Firmenrechner gelangen. Mitarbeiter sollten daher grundsätzlich keine fremden USB-Speicher an Firmenrechner anschließen.
Videokonferenzen
Videokonferenzen boomen in der Corona-Krise. Sie bieten Hackern allerdings ein Einfallstor in die Unternehmens-IT. Beispiel Zoom: Der Zugang zu einer Zoom-Konferenz ist für Unbefugte relativ einfach. Eindringlinge können auf diese Weise nicht nur Zugriff auf sensible Informationen erhalten; über die Chatfunktionen können sie auch Links weiterleiten, um Malware auf die Geräte zu schleusen. Unternehmen sollten stattdessen auf Konferenzsysteme setzen, die über den Browser geöffnet werden. Angreifer lassen sich dann mit Hilfe eines virtuellen Browsers isolieren.
W-LAN
Eine WLAN-Verbindung erleichtert die Arbeit im Home Office. Sie ist allerdings auch ein Sicherheitsrisiko. Denn WLAN-Netzwerke bieten Hackern die Möglichkeit, auf Daten zuzugreifen. Hacker können zudem Computerviren und Trojaner über schlecht oder nicht gesicherte WLANs in ein System einspeisen. Wichtigste Sicherheitsmaßnahmen: Zum einen sollte das Standard-Administrator-Passwort durch ein neues, starkes Passwort ersetzt und zum anderen der Verschlüsselungsstandard WPA2 aktiviert werden.
Zero-Day-Exploits
Ein wichtiger Schutz vor Hackerangriffen sind Patches und Updates. Diese stehen allerdings erst bereit, wenn der Hersteller die Sicherheitslücke erkannt hat. Die größte Gefahr stellen Angriffe dar, die eine Sicherheitslücke ausnutzen, bevor sie geschlossen wurde. Antiviren-Software hält einen solchen „Zero-Day-Exploit“ nicht auf. Den einzigen Schutz bietet eine Isolierung der eingeschleusten Malware in einem virtuellen Browser. Jürgen Frisch