Seite wählen

Im Jahr 2020 ist der digitale Arbeitsplatz l√§ngst Alltag geworden. Mobile Endger√§te wie PC, Laptop und Smartphone werden f√ľr die Erledigung der Arbeitsaufgaben genutzt, und die Arbeitsprozesse dadurch optimiert.¬†Welche Auswirkungen und Risiken resultieren, wenn die Mitarbeiter im Homeoffice t√§tig werden?¬†¬†

Der Einsatz privater Endger√§te im Job war schon vor¬†der¬†Corona-Pandemie¬†ein Trend.¬†Durch die CoronaPandemie und einhergehenden staatlichen Schutzverordnungen hei√üt es jetzt in vielen¬†Unternehmen ‚ÄěHome-Office‚Äú und¬†BYOD¬†(Bring¬†your¬†own¬†device).¬†Der Schutz der Daten und die Einhaltung der EU-DSGVO liegt aber dennoch in der Verantwortlichkeit des¬†Unternehmens. Es gibt viele Angriffspunkte¬†auf Mitarbeiter,¬†die im Home-Office T√§tig¬†sind,¬†wohlm√∂glich mehr als im B√ľro.¬†Auf einige dieser¬†bereits bekannten und neu entstandenen Risiken¬†gehen¬†wir nun im Folgenden ein:¬†

 

Arbeitsplatz: 

Der Platz¬†Zuhause ist meist limitiert und das WLAN-Signal nicht √ľberall gleich stark. Insbesondere dann, wenn die ganze Familie Zuhause ist,¬†entstehen einige Gefahren. Notebooks und¬†Mobiltelefone¬†k√∂nnen¬†durch¬†spielende¬†Kinder, umfallende Getr√§nke oder Speisereste besch√§digt werden. Neugierige Kinder versuchen sich gerne an den Ger√§ten der Eltern.¬†L√∂schen wohlm√∂glich wichtige Daten oder¬†drucken¬†sie versehentlich aus. Der Arbeitsplatz an sich birgt mit seinen lokalen Gegebenheiten einen variablen Risikofaktor.¬†¬†

Hardware: 

Wenn die¬†Mitarbeiter die¬†Integrit√§t¬†der eigenen f√ľr die Arbeit genutzten Endger√§te aufs¬†Spiel setzen, ist¬†dies f√ľr den Betrieb augenscheinlich keine¬†gro√üe Gefahr.¬†Speichermedien,¬†wie externe Festplatten und USB-Sticks k√∂nnen sensible Daten enthalten.¬†Durch¬†den¬†Verlust oder Diebstahl¬†eines oder¬†mehrere dieser Medien¬†k√∂nnten wohlm√∂glich Dritte auf diese¬†Daten zugreifen.¬†Das k√∂nnte¬†durchaus zu¬†weitreichenden Konsequenzen f√ľhren.¬†¬†

Beim¬†dezentralen Arbeiten im Home-Office sind USB-Speicherger√§te sehr praktisch, wenn es um die Weitergabe und das Speichern von gro√üen Datenmengen geht.¬†Das Einschleusen von Malware √ľber externe Datentr√§ger auf¬†einen¬†Rechner ist ein ubiquit√§res Problem. H√§ufig kommen dabei Sticks zum Einsatz, deren Ursprung nicht¬†bekannt¬†ist.¬†Grunds√§tzlich sollten daher unbekannte (Speicher)Ger√§te nicht an den Rechner angeschlossen werden.¬†¬†

 

Cloud: 

Eine enorme¬†Erleichterung¬†f√ľr das dezentrale Arbeiten bieten die Cloud-Anwendungen und¬†Collaboration-Dienste. Die Mehrzahl dieser Anbieter haben Ihren Sitz im Ausland¬†und niedrigere Schutzmechanismen,¬†als die Sicherheitsanforderungen der meisten Unternehmen verlangen. Hinzu kommt, dass die¬†gesetzlichen Regelungen im Ausland mit der Unsrigen stark divergieren k√∂nnen. So ist der ‚ÄěClarifying¬†Lawful¬†Overseas Use¬†of¬†Data Act‚Äú,¬†welcher am 23.03.2018 vom ‚Äú115th¬†United States¬†Congress‚Äú verabschiedet wurde mit der EU-DSGVO nicht vereinbar.¬†Es¬†k√∂nnen¬†Datenspionage und Compliance-Verletzungen¬†drohen.¬†¬†

 

Hacker: 

Mit einer Flut an Phishing-E-Mails, neu entwickelter Malware und gef√§lschten Informationen versuchen sie, aus der Krise Kapital zu schlagen.¬†Die Angriffspunkte sind vielseitig.¬†Jedes m√∂gliche Einfallstor wird genutzt: E-Mail-Anwendungen, Passw√∂rter, gef√§lschte¬†Websites, Grafiken, WLAN-Zugang (Router), Videokonferenzen,¬†Onlinetelefonate,¬†Ausnutzen von Updates¬†und¬†Patchvers√§umnisse. Auch der Mensch als nat√ľrliche Person ist¬†ein¬†Angriffsziel (Social¬†Engineering).¬†

Im Juni 2020, war die E-Mail-Anwendung von Apple betroffen. Solche Angriffe verlaufen meist völlig unbemerkt. Unter dem Update iOS 13 konnte die Schad-E-Mail, ohne dass sie gelesen werden muss, den Schadcode auf das iPhone aufbringen. Nachdem die Hacker das Gerät gekapert hatten, konnten sie diese E-Mail wieder löschen und ihre Spuren verwischen. 

 

Social Engineering: 

Beim¬†Social¬†Engineering werden menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorit√§ten¬†ausgenutzt, um Personen geschickt zu manipulieren. Das Zentrale Merkmal der Angriffe besteht in der T√§uschung,¬†√ľber die Identit√§t und die Absicht des T√§ters. Ob als Systemadministrator, Techniker, Mitarbeiter von PayPal/Facebook/Bank oder ein vermeintlicher ‚ÄěFreund/Freundin‚Äú welche(n) man √ľber¬†Social-Media-Kan√§le¬†kennengelernt hat. Die Angreifer nutzen die pers√∂nlichen Schwachstellen der Zielperson aus und verleiten Sie auf diese Weise beispielsweise dazu, vertrauliche Informationen preiszugeben, Sicherheitsfunktionen auszuhebeln, √úberweisungen zu t√§tigen oder Schadsoftware auf dem privaten Ger√§t oder einem Computer im Firmennetzwerk zu installieren. In einer realen Gespr√§chssituation m√ľsste der Angreifer seinem¬†Gegen√ľber √ľber alle Sinne¬†hinwegt√§uschen, aber¬†durch die technisch vermittelte Kommunikation¬†gepaart mit Sprachbarrieren¬†und sozialen Normen ist es deutlich einfacher √ľber private und berufliche Netzwerke die Zielperson zu t√§uschen oder sogar eine vertrauliche Beziehung zu¬†ihr aufzubauen. Eine Person,¬†welche¬†auf die T√§uschung hereinf√§llt, handelt im guten Glauben, das Richtige zu tun. Tats√§chlich spielt es dem realen Motiv des T√§ters in die H√§nde, Zugangsdaten abzugreifen oder Schadsoftware einzuschleusen, die einem Angreifer im schlimmsten Fall als Einfallstor zum Eindringen in ein ansonsten gut gesch√ľtztes Unternehmensnetzwerk dienen kann.¬†

Die¬†bekannteste Form des¬†Social¬†Engineering ist das ‚ÄěPhishing‚Äú:¬†

√úber E-Mail Anh√§nge oder Hyperlinks wird Malware eingeschleust, Passw√∂rter verlangt oder ein ‚Äěnotwendiges Update‚Äú heruntergeladen. Um die Trefferquote zu erh√∂hen wird¬†meistens eine¬†Recherche √ľber eine spezielle Person oder Personengruppe betrieben, um¬†eine zugeschnittene E-Mail¬†zu¬†verfassen¬†(‚ÄěSpear¬†Phishing‚Äú). Das ‚ÄěSpear¬†Phishing‚Äú kann in einem¬†CEO-Fraud m√ľnden,¬†bei dem der Angreifer zum¬†Beispiel versucht¬†f√ľr Zahlungsvorg√§nge befugte Mitarbeiter oder Mitarbeiterinnen in Unternehmen so zu manipulieren, dass diese vermeintlich im Auftrag des Top-Managements √úberweisungen von hohen Geldbetr√§gen veranlassen.¬†

 

Tipps f√ľr Homeoffice:¬†

Software auf dem neuesten Stand halten: 

  • Einige¬†Sicherheitsl√ľcken¬†k√∂nnen¬†durch Software-Updates geschlossen¬†werden. Deshalb ist es wichtig, die Programme auf Arbeitsplatzrechnern, Mobilger√§ten und Servern auf dem neuesten Stand zu halten und zeitnah¬†die¬†Updates einzuspielen.¬†¬†
  • Ignorieren Sie Hinweise auf Updates nicht und schieben Sie diese nicht lange vor sich her.¬†

Sicherer Umgang mit Passwörtern: 

  • ¬†Notieren Sie Ihre Passw√∂rter keinesfalls auf Zetteln oder Post-its¬†am Monitor, auch nicht an vermeintlich diskreten Stellen,¬†wie unter der Tastatur.¬†
  • Tragen Sie Sorge daf√ľr, dass Sie bei der Eingabe Ihres Passworts nicht beobachtet werden.¬†
  • Nutzen Sie f√ľr jedes Ger√§t und jede Anwendung jeweils verschiedene Passw√∂rter und wechseln Sie diese in regelm√§√üigen Abst√§nden.¬†
  • Falls Sie Ihre Passw√∂rter selbst festlegen k√∂nnen und diese nicht durch die IT-Abteilung vorgegeben werden, w√§hlen Sie ein m√∂glichst sicheres Passwort, dass sich nicht leicht erraten l√§sst ‚Äď also nicht Ihren Geburtstag oder den Namen Ihres Kindes oder Haustiers.¬†Eine Kombination aus Buchstaben, Zahlen und Sonderzeichen ist dabei zu empfehlen.¬†

Vorsicht mit externer Hardware und Software: 

  • USB-Sticks sind praktisch und erleichtern den Datentransport. Leider k√∂nnen sie dabei aber auch Computerviren √ľbertragen, wenn sie beispielsweise zuvor¬†auf schlecht gesicherten¬†Ger√§ten¬†im Einsatz waren. Wenn m√∂glich also lieber darauf verzichten oder den eingesetzten USB-Stick mit der Antiviren-Software √ľberpr√ľfen.¬†¬†
  • Seien Sie auch vorsichtig, wenn Sie andere USB-Ger√§te wie E-Zigaretten, oder Spielzeug zum Aufladen an ihren PC anschlie√üen¬†
  • Sperren Sie den Zugriff auf Ihr Ger√§t, sobald Sie Ihren Arbeitsplatz verlassen ‚Äď auch wenn es sich nur um eine kurze Abwesenheit von wenigen Minuten handelt.¬†
  • Schlie√üen Sie keine Wechseldatentr√§ger unbekannter Herkunft, wie beispielsweise als Werbegeschenk erhaltene USB-Sticks, an Ihren Arbeitsplatzrechner an. Es besteht die Gefahr einer Infektion mit Schadcodes.¬†
  • Setzen Sie keine private Hardware im Unternehmensnetz ein und speichern Sie keine Unternehmensdaten auf privaten Datentr√§gern.¬†In einigen F√§llen ist dies aber jedoch vom Unternehmen erlaubt.¬†Bei Unklarheiten sollte man sich am besten mit der IT-Abteilung in Verbindung setzen.¬†
  • Nutzen Sie nur die offiziell von der IT-Abteilung freigegebene Software auf Ihren Arbeitsger√§ten.¬†
  • Geben Sie auf USB-Sticks mit Arbeitsdokumenten acht und sch√ľtzen Sie diese ggf. ebenfalls mit einem Passwort.¬†

 

Lösung Cloudspeicherdaten: 

  • Die L√∂sung ist ein datenzentrischer Schutz: Dabei werden Platzhalter in die Cloud eingestellt, die nur Metadaten enthalten. Die Nutzdaten werden fragmentiert im Unternehmensnetzwerk oder an einem anderen Ort abgelegt. Selbst bei einem Angriff auf die Cloud¬†bleiben die vertraulichen Inhalte f√ľr nicht befugte Personen unlesbar.¬†

Umgang mit E-Mails: 

  • ¬†Geben Sie Obacht bei E-Mails von externen Kontakten,¬†sowie von Kollegen/innen.¬† Urheber von Phishing-Mails¬†k√∂nnen mittlerweile¬†seri√∂se Absender immer besser nachahmen.¬†
  • Pr√ľfen Sie¬†den¬†Absender, Betreff und¬†den¬†Anhang vor dem Anklicken.¬†
  • Um unerw√ľnschte Mitleser auszuschlie√üen, empfiehlt es sich E-Mails vor dem Versand zu verschl√ľsseln. Auf diese Weise kann nur der rechtm√§√üige Empf√§nger oder die Empf√§ngerin die Nachricht lesen. Kl√§ren Sie mit Ihrer IT-Abteilung, wie Sie verschl√ľsselt kommunizieren k√∂nnen.¬†

Internet: 

  • Nutzen Sie zum √Ėffnen von Hyperlinks einen¬†virtuellen¬†Browser.¬†

 

  • Beschr√§nken Sie die private Internetnutzung am Arbeitsplatz auf ein Minimum. Auf diese Weise k√∂nnen Sie die Gefahr einer Schadsoftware-Infektion Ihres Systems oder wom√∂glich sogar des gesamten Unternehmensnetzwerks¬†reduzieren.¬†¬†

 

  • Erkundigen¬†Sie sich bei Ihrer‚ÄĮIT-Abteilung, ob weitere Schutzma√ünahmen zur Trennung privater und beruflicher Daten m√∂glich sind.¬†

 

  • Konfigurieren Sie Ihren Browser so, dass Pop-up-Meldungen unterdr√ľckt werden. Wenn Sie unsicher sind wie, fragen Sie in Ihrer‚ÄĮIT-Abteilung nach.¬†

 

  • Achten Sie auf Hinweise bez√ľglich ung√ľltiger und/oder abgelaufener Sicherheitszertifikate von Web-Diensten. Fragen Sie im Zweifel bei Ihrer‚ÄĮIT-Abteilung nach.¬†

 

  • Grunds√§tzlich sollten Sie mit Ihren pers√∂nlichen Daten in sozialen Medien sparsam umgehen. Dies gilt umso mehr im beruflichen und betrieblichen Zusammenhang, da Internet-Betr√ľger auch hier nach Informationen suchen, die sie zum Beispiel f√ľr die Gestaltung von unechten E-Mails im Namen Ihrer Kollegen und Kolleginnen nutzen.¬†

 

 Tipps zum Hardwareschutz: 

  • Vor allem Organisationen mit hohen Sicherheitsanforderungen sollten die Notebooks ihrer Mitarbeiter mit einer Festplattenverschl√ľsselung ausstatten. Nur berechtigte Nutzer k√∂nnen dann per Multi-Faktor-Authentifizierung ihre Daten und das Betriebssystem nutzen. Geht das Ger√§t verloren oder wird es gestohlen, ist es f√ľr Dritte nicht m√∂glich, auf die Daten zuzugreifen.¬†

 

Tipps zum Arbeitsplatz: 

  • ¬†Ideal ist ein eigener ‚Äď abschlie√übarer ‚Äď Arbeitsraum. Mit einem WLAN-Verst√§rker l√§sst sich bei Bedarf das Verbindungssignal optimieren. Wer in der K√ľche oder im Wohnzimmer arbeitet, sollte zumindest beim Verlassen des Arbeitsplatzes, den Bildschirm sperren und das Notebook nach Feierabend in einen abschlie√übaren Schreibtisch oder Schrank einschlie√üen.¬†

 

Tipps zum Anti Social Engineering: 

  • Gehen Sie verantwortungsvoll mit sozialen Netzwerken um. √úberlegen Sie genau, welche pers√∂nlichen Informationen Sie dort offenlegen, da diese von Kriminellen gesammelt und f√ľr T√§uschungsversuche missbraucht werden k√∂nnen.¬†

 

  • Geben Sie in privaten und beruflichen sozialen Netzwerken keine vertraulichen Informationen √ľber Ihren Arbeitgeber und Ihrer¬†Arbeit preis.¬†
  • Teilen Sie Passw√∂rter, Zugangsdaten oder Kontoinformationen niemals per Telefon oder E-Mail mit. Banken und seri√∂se Firmen fordern ihre Kunden nie per E-Mail oder per Telefon zur Eingabe von vertraulichen Informationen auf.¬†

 

  • Lassen Sie bei E-Mails von unbekannten Absendern besondere Vorsicht walten: Sollte auch nur ansatzweise der Verdacht bestehen, dass es sich um einen Angriffsversuch handeln k√∂nnte, reagieren Sie im Zweifelsfall besser √ľberhaupt nicht¬†und informieren Ihre¬†IT-Abteilung umgehend. Wenn es sich um¬†einen¬†falschen Alarm handeln sollte, wird sich ein Absender ggf. noch √ľber einen anderen Kanal bei Ihnen melden.¬†¬†

 

  • Sollte eine Reaktion zwingend erforderlich sein, vergewissern Sie sich durch einen Anruf beim Absender oder der Absenderin, dass es sich um eine legitime E-Mail handelt.¬†

 

Falls Sie weitere Informationen oder Beratungen zum Thema Sicherheit im Homeoffice oder zu¬†unseren¬†anderen¬†Sicherheitsl√∂sungen nutzen wollen, schauen Sie sich auf unserer Website um¬†oder kontaktieren sie uns √ľber contact@eagle-sc.de.¬†Unser Team aus Experten steht Ihnen gerne beratend zur Seite.¬†