Awareness

Home Office Risiken erkennen, reduzieren und produktiv bleiben!

Aktualisiert am

Aus aktuellem Anlass wird Home Office immer beliebter. Überall auf der Welt ergreifen Unternehmen und Regierungen rasch verantwortungsvolle Maßnahmen, um die Gesundheit ihrer Mitarbeiter und Bürger zu schützen und gleichzeitig operativ tätig zu bleiben – einschließlich der Aufforderung an die Menschen, von zuhause aus zu arbeiten.

Es reicht in der digitalisierten Welt nicht, sich einfach zu Hause an seinem Computer zu setzen um die Arbeit zu beginnen.Was müssen Sie jetzt als Nutzer*in oder Verantwortliche*r unbedingt beachten müssen, um Ihr Unternehmen im digitalen Raum abzusichern.

Aktuelle Risikoszenarien im Home Office

Es ist bedauerlich, dass wir in Zeiten humanitärer und wirtschaftlicher Krisen noch mehr über Cybersicherheit sprechen müssen als sonst. Bereits im Januar wurden Domain-Namen rund um COVID-19-Websites erworben. Cyberkriminelle verwenden diese Domains um sich als legitime COVID-19-Informationsseiten oder Fake Shops rund um Atemmasken und Schutzausrüstung auszugeben. Sie senden zusätzlich Phishing-E-Mails, die anscheinend von legitimen Organisationen wie der Weltgesundheitsorganisation stammen, aber tatsächlich böswillige Links oder Anhänge enthalten.

In einem Fall wurde den Empfängern ein Link zu einer, eigentlich legitimen Universitätswebseite mit Informationen über COVID-19 angeboten. Bei der Installation der zum Anzeigen des Dashboards erforderlichen Software wurde Schadsoftware im Hintergrund geladen und der Computer kompromittiert. Im Rahmen dieser Übernahme des Computers wurden persönliche und Unternehmensdaten wie beispielsweise Kennwörter gesammelt und an Cyberkriminelle übertragen.

Betrachten Sie die Auswirkungen von Mitarbeiter*innen, die auf eine Anzeige klicken, die ein COVID-19-Wundermittel verspricht, oder einen E-Mail-Anhang öffnen. Diese wurde von einer scheinbar legitimen Gesundheitsbehörde versendet und enthält ein Pandemie-Update in welches Schadsoftware eingebettet ist. Diese Cyberangriffe gefährden nicht nur das Heimnetzwerk Ihres Personals sondern auch Ihre Unternehmensinfrastruktur, wenn der*die Mitarbeiter*in per VPN verbunden ist.

Was passiert, wenn ein Mitarbeiter durch Social-Engineering-Techniken manipuliert wird um den Anweisungen eines Cyberkriminellen zu folgen, der behauptet vom Helpdesk oder der IT-Abteilung des Arbeitgebers zu stammen? Verfügt Ihr Unternehmen über angemessene Vorkehrungen, um zu verhindern das

  • Mitarbeiter*innen Schadsoftware herunterladen
  • Kennwörtern abfließen können
  • unauthorisierte Zugriffe auf Zahlungssysteme stattfinden
  • Personalakten und persönliche Kundendaten nicht gestohlen werden und
  • geistiges Eigentum und andere wichtige Vermögenswerte nicht zerstört

werden? Können Sie einen solchen Zugriff und Angriff aktuell erkennen und schnell in geregelte Bahnen lenken? In den meisten Fällen vermutlich nicht, daher wollen wir Ihnen nun aufzeigen was Sie definitiv implementieren sollten, wenn Sie Ihre Mitarbeiter*innen ins Home Office schicken.

Wie können Sie Ihre Mitarbeiter*innen schützen?

In Ihren Büroräumen verwendet ein Großteil der Belegschaft Desktop-Computer, die über Ethernet-Kabel oder ein kabelloses Netzwerk mit den Servern und intern verfügbaren Endpunkten des Unternehmens verbunden sind. Diese Server und Endpunkte sind unter anderem Abhängig von der physischen Sicherheit des Gebäudes. Um aus der Ferne arbeiten zu können, werden den Mitarbeitern in der Regel Laptops vom Unternehmen bereitgestellt. Im Notfall kann eine Vereinbarung über die Nutzung privater Geräte geschlossen werden. Die Verwendung privater Geräte zum beruflichen Zweck bringt ein nochmal erhöhtes Risiko mit sich.

Anstatt über ein internes Telefonsystem mit den IT- und Cybersicherheits-Helpdesks zu sprechen, werden die Mitarbeiter ihre Mobiltelefone oder Festnetzanschlüsse benutzen. Der Wandel zum Home Office findet aktuell disruptiv statt. Ihre Infrastruktur muss getestet werden. Im Fokus steht insbesondere die hohe Last, die nun auf die Infrastruktur zukommt. Diese plötzliche Welle muss aber auch in Bezug auf IT-Sicherheit bewältigt werden.

Sie als Verantwortliche*r müssen jetzt drei Kategorien Ihrer Infrastruktur dringend bewerten: Endpunkte, Konnektivität sowie Unternehmensarchitektur und -infrastruktur:

  • Endpunkte: Wenn Sie Ihren Mitarbeiter*innen Geräte zum Arbeiten mit ins Home Office geben, müssen Sie sicherstellen, dass diese nur genehmigte Anwendungen und Software zur Sicherstellung der IT-Sicherheit installiert haben. Dies können Sie beispielsweise über die Microsoft Gruppenrichtlinien konfigurieren. Inventarisieren Sie Ihre Geräte unbedingt und halten Sie nach, welche Geräte zur Verbindung mit Ihrem Unternehmensnetz autorisiert sind.
  • Konnektivität: Sollten Sie Ihre Infrastruktur nicht in der Cloud sondern im Unternehmen haben, müssen Sie für Ihre Mitarbeiter*innen sicherstellen, dass das Unternehmensnetzwerk über ein VPN erreichbar ist. Am besten erzwingen Sie für die Verbindung auch Zwei-Faktor-Authentifizierung, um einen Angriff auf Ihr VPN nicht von Passwörtern abhängig zu machen.
  • Unternehmensarchitektur und -infrastruktur: Sollten Sie bislang kein Home Office angeboten haben, müssen Sie jetzt Firewalls, Netzwerke, Kollaborationstools und Server so konfigurieren, dass Fernverbindungen möglich und abgesichert sind. Es kann auch nötig sein, dass Sie neue lokale Systeme benötigen um die erhöhte Last zu stemmen oder zu einem Cloud Provider wechseln müssen.

Zusätzlich zu diesen drei Kategorien sollten Sie sich zudem mit folgenden essentiellen Punkten beschäftigen. Zwei dieser Punkte sind weniger technisch sondern adressieren Ihre Fähigkeiten als Verantwortliche*r. Sie müssen einen kühlen Kopf bewahren und Ihr Unternehmen durch diese Krise führen. Daher sollten Sie auf klare Kommunikation und Flexibilität achten. Gestehen Sie in Krisenzeiten Fehler an den richtigen Stellen ein und kommunizieren Sie klar und transparent.

  • Backups: Wo werden diese nun gespeichert? Bieten Sie eine Cloudlösung an oder verpflichten Sie Ihre Mitarbeiter*innen Offline Backups zuhause anzufertigen? Sie sollten hier die für Sie am schnellsten umzusetzende Lösung nutzen. Wenn Sie ein Backup per Cloud anbieten, denken Sie daran wichtige Daten auch Offline abzuspeichern, damit diese im Falle eines Angriffs irgendwo abgetrennt von Ihrer Cloud Infrastruktur liegen.
  • Kommunikation: Seien Sie noch deutlicher und klarer in Ihrer Kommunikation. Mitarbeiter*innen brauchen alternative Kommunikationswege als leicht zu fälschende E-Mails wenn es um geschäftskritische Prozesse geht. Wie können Ihre Mitarbeiter*innen das Helpdesk oder die IT-Abteilung und Verantwortliche erreichen? Diese Frage müssen Sie klären und eindeutig kommunizieren.
  • Flexibilität: Wenn die letzten Wochen eins klar gemacht haben, dann das die Coronakrise hohe Anforderungen an die Flexibilität und Adaptierbarkeit stellt. Verfolgen Sie die Krise und evaluieren Sie in regelmäßigen Intervallen welche Maßnahmen Sie implementiert haben. Berücksichtigen Sie, dass Fehler in neuen Situationen und Umgebungen unweigerlich passieren. Erhöhen Sie Ihre Toleranz gegenüber potenziellem Fehlverhalten, zeigen Sie stattdessen proaktiv und positiv wie es besser geht.

Zusätzlich zu allen technischen Überlegungen und Maßnahmen sind auch Ihre Mitarbeiter*innne zu stärken. Dies kann mit Hilfe von Cybersicherheitsschulungen und Initiativen zur Awarenessbildung geschehen. Dies ist entscheidend für die Risikominimierung von Bedrohungen aus dem digitalen Raum. Hier sind einige der Schritte, die Sie unternehmen sollten:

  • Schulen Sie Ihre Mitarbeiter*innen: Viele Mitarbeiter*innen sind überfordert mit der Situation und müssen sich auf diese neue Art zu arbeiten erst einstellen. Stellen Sie sicher, dass Ihre Mitarbeiter*innen wissen, wie Sie die neuen Werkzeuge und Technologien nutzen können. Ihre Mitarbeiter*innen müssen zudem geschult werden, dass es aktuell Bedrohungen rund um das Thema COVID-19 gibt (z.B. Phishing Mails, Telefonanrufe oder falsches Websites). Dabei können Sie nicht nur auf vorgefertigte eLearnings setzen, da diese die aktuelle Situation meist nicht berücksichtigen. Eine Live Präsentation, beispielsweise durch Live-Hacking oder Awarenessschulungen, kann aktuelle Themen gut aufgreifen.
  • Protokolle für die Authentifizierung von Mitarbeiter*innen im Home Office: Ihre Mitarbeiter*innen sollten im Home Office nur Methoden verwenden, die eine sichere Authentifizierung gewährleistet. Insbesondere bei der Kontaktaufnahme zum Helpdesks oder anderen unbekannten Stellen die mit dem Unternehmen zusammenarbeiten. Das Geburtsdatum oder andere persönliche Datenpunkte gehören nicht dazu, Angriffe sind auch hier möglich und bereits geschehen. Durch die Einhaltung von Protokollen wird verhindert, dass Mitarbeiter*innen versehentlich Informationen an falschen Stellen preisgeben, die zu einem späteren Zeitpunkt für einen erfolgreichen Social Engineering Angriff genutzt werden.
  • Bereiten Sie eine Bibliothek mit Anleitungen, Videos und anderen Materialien vor: Das Management von Wissen ist essentiell für die Arbeit im Home Office. Einmal damit erledigte Arbeiten nicht doppelt durchgeführt werden, aber vor allem auch, damit alle Mitarbeiter*innen denselben Kenntnisstand haben oder zumindest nach kurzer Recherche Ihren Wissensstand aktualisieren können. Hier kann Ihnen ein internes Wiki weiterhelfen. Vorgefertigte Videos können den Zugang zu Wissen erleichtern. Wenn möglich holen Sie auch Entscheider*innen vor die Kamera, die Ihre Mitarbeiter*innen motivieren und an die IT-Sicherheit appellieren.

Zusätzlich dazu sollten Sie auf Ihre Mitarbeiter*innen im Home Office Rücksicht nehmen und auf eine gute und eine regelmäßige Kommunikation achten. Das britische HSE weist darauf hin, dass das isolierte Arbeiten bei Mitarbeiter*innen unterschiedliche Auswirkungen auf Ihre Mitarbeiter*innen haben kann. Home Office kann arbeitsbedingten Stress verursachen und die psychische Gesundheit der Menschen beeinträchtigen.

Wie können sich Ihre Mitarbeiter*innen schützen?

Während digitale Tools Remote-Mitarbeitern eine hervorragende Unterstützung bieten, kann eine derart massive Verschiebung von Arbeitsmustern schwerwiegende unerwartete Auswirkungen auf die IT und die Cybersicherheit haben. Ist Ihr Unternehmen angemessen auf die Änderungen Ihres Cybersicherheitsrisikos vorbereitet?

Während es im Unternehmen mitunter strenge Vorschriften gibt, ist man zu Hause dazu geneigt diese Regeln über Bord zu werfen. Zu Hause fühlen sich viele Mitarbeiter*innen sicher. Welchen Computer nutze ich im Home Office? Nach Möglichkeit sollte ein Computer von der Arbeit auch im Home Office verwendet werden. Dort ist sicherzustellen, dass die Applikationen und auch das  Betriebssystem aktuell gehalten werden müssen. Des weiteren ist darauf zu achten, dass man berufliche und private Dokumente nicht vermischt und kein weiteres Familienmitglied auf dem Arbeitsgerät seinen Hobbys nachgeht. Damit sich niemand unfreiwillig Zugang zum Arbeitsrechner verschaffen kann, sollte dieser mit einem sicheren Passwort versehen werden.

Sobald der Schreibtisch verlassen wird, muss der Computer gesperrt werden. So verhindern Sie den Zugang von Dritten zu sensiblen Daten. Üben Sie dieses Sperren des Rechners immer, auch wenn Sie alleine zuhause sind. So entwickeln Sie eine Routine und vergessen es in wichtigen Situationen wie z.B. beim Bahnfahren, seltener.

Wenn Sie zu Hause genug Platz haben, ist es sinnvoll den Home Office Bereich vom restlichen Wohnraum zu trennen. So hat auch spontaner Besuch keinen direkten Einblick in Ihre Arbeit und Dokumente die Sie aktuell bearbeiten. Wenn der Raum zudem abschließbar ist, können Sie Ihre Dokumente und Arbeiten ebenfalls gut vor Unbefugten schützen. Sowohl als Schutz als auch für die eigene Arbeitsweise, ist es empfehlenswert den Arbeitsplatz nicht in einem Berg aus Dokumenten versinken zu lassen. Hier helfen die Regeln der Clean Desk Policy.

Denken Sie zudem daran, keine Bilder Ihres Home Offices in sozialen Netzwerken zu posten. Insbesondere nicht mit angeschaltetem Bildschirm und Dokumenten die auf Ihrem Schreibtisch liegen. Hier kam es bereits zur Veröffentlichung von vertraulichem Material in den sozialen Netzwerken. Im folgenden ein Screenshot(mit Unschärfefilter), aufgenommen auf einem sozialen Medium, ist eine Konfiguration auf dem rechten Bildschirm zu sehen der belastende Informationen enthält.

Home Office als Informationsleck - auch zu Hause sollte auf den Datenschutz geachtet werden!
Home Office als Informationsleck – auch zu Hause sollte auf den Datenschutz geachtet werden!

Dokumente sollten zeitnah abgeheftet und verräumt werden. Somit wird verhindert, dass der Überblick verloren geht und sensible Daten von Unbefugten eingesehen werden können. Am Ende eines Arbeitstages sollten unwichtige Papiere nach den Richtlinien der Firma vernichtet werden. Firmendokumente gehören nicht in den Hausmüll. Hierfür benötigen Sie eventuell einen Schredder. Solche Anschaffungen  können Sie beim Unternehmen beantragen. Eine für die Zerstörung von Dokumenten notwendige Sicherheitsstufe wird Ihnen dann bereitgestellt. Dabei darf man Dokumente aus dem Drucker oder Scanner nicht vergessen. Erfahrungsgemäß bleibt hier gerne etwas liegen. Achten Sie auch darauf, dass Richtlinien wie z.B. das Verbot USB Sticks in Firmenlaptops zu stecken, auch im Home Office gelten.

Für die Arbeit im Home Office ist eine Internetverbindung unabdingbar. Aber auch hier müssen Sicherheitsregeln beachtet werden. Denn wer sein Heimnetzwerk ungesichert lässt, bietet Angreifern eine sehr einfache Möglichkeit an Unternehmensdaten zu kommen. Vergeben Sie als erstes ein neues Passwort für Ihr kabelloses Netzwerk und den Router. Verwenden Sie nicht das automatisch vergebene Passwort. Zusätzlich sollte das WLAN einen individuellen Namen bekommen, der nicht auf den Hersteller des Routers zurückzuführen ist. Ebenso sollte der Rechner durch ein sicheres Passwort geschützt sein.

Fazit

Der Ausbruch der weltweiten Pandemie hat nicht nur die Schwachstellen im weltweiten Gesundheitssystem aufgedeckt, sondern hat auch disruptive Prozesse in unserer Arbeitswelt. Dies stellt viele Infrastrukturen vor neue, ungeahnte Herausforderungen – Rund um die Verfügbarkeit und angewendeten Sicherheitsmaßnahmen. Die abgesicherten Unternehmensnetzwerke und -infrastrukturen haben von heute auf morgen eine ganz anders funktionierende Sicherheits- und Prozesskette. Abteilungen die gestern noch völlig isoliert waren, brauchen heute eine Anbindung von zu Hause an die Infrastruktur. Dadurch werden viele neue digitale Risikogruppen geöffnet. Überprüfen Sie die Positionierung Ihres Unternehmens nach außen kontinuierlich mit RISKREX – Digital Risk Managment. Damit finden Sie ressourceneffizient falsch konfigurierte Systeme, die 2019 für den Großteil der gestohlenen Daten verantwortlich war. Decken Sie aus dem Internet erreichbare Systeme frühzeitig auf und schließen Sie Social Engineering Risiken.

Stellen Sie sicher, dass Ihr Unternehmen abgesichert ist. Vermeiden Sie Störungen im digitalen Raum, indem Sie Cyberattacken genau wie dem Virus keine Chance geben. Distanzieren Sie so viel Infrastruktur wie möglich vom frei verfügbaren Internet. Dafür müssen Sie Ihre Exposition erfassen und messen. Ein funktionierendes Patchmanagement ist so essentiell wie das Hände waschen zum Schutz vor dem Virus. Die Mitarbeiter*innen die nicht auf Phishing Mails klicken sind so als würden Sie Ihr Gesicht nicht mit den Händen berühren.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.