Cybergefahren in der Coronakrise: Das Homeoffice als signifikanter Risikofaktor
von Svenja Koch
Die weltweite COVID-19-Pandemie hat unsere Arbeitswelt massiv beeinflusst. Regierungen verhängen Lockdowns oder Ausgangsbeschränkungen und geben die Empfehlung, wenn möglich im Homeoffice zu arbeiten. Dementsprechend sind viele Arbeitsplätze vom Büro in die heimischen vier Wände gewandert. Für die Cyber Security von Unternehmen bringt diese Situation ganz neue Herausforderungen mit sich.
COVID-19 und der Wechsel ins Homeoffice
Für viele stellt die Arbeit aus dem Homeoffice heraus eine ungewohnte Lage dar, denn es sind viele Angestellte bedingt durch die Coronakrise erstmals von zu Hause aus tätig. Für zahlreiche Büromitarbeiter ist das Homeoffice aktuell - zumindest teilweise - zum Arbeitsalltag geworden. Aus diesem Grund hat das Homeoffice damit im Vergleich zu 2019 wesentlich an Bedeutung gewonnen – und ist damit auch zunehmend ins Visier von Cyberkriminellen gerückt.
Insgesamt haben die Aktivitäten von Angreifern im Cyberraum im Jahr 2020 deutlich zugenommen. Laut dem COVID-19 Cybercrime Analysis Report von Interpol aus August 2020 kam es allein in den ersten drei Monaten des Jahres 2020 zu 737 gravierenden Vorfällen mit Trojanern und ähnlicher Schadsoftware. Auch die Anzahl der manipulierten Webseiten ist deutlich angestiegen: Rund 48.000 Vorfälle listet der Bericht von Interpol. Diese Vorfälle stehen alle im Zusammenhang mit COVID-19. Laut Interpol binden die Kriminellen die Angst der Menschen vor der Pandemie sowie die gestiegene Heimarbeit in ihre Strategien ein.
Warum wird das Homeoffice zum Ziel von Cyberangriffen?
Kriminelle haben die Schwachpunkte des Homeoffice sehr schnell erkannt. Die Arbeitsplätze im Homeoffice stellen meistens eine direkte Erweiterung des internen Firmennetzwerks dar. Allerdings erreicht das IT-Sicherheitslevel häufig nicht das bisherige Niveau. Somit bilden Systeme im Homeoffice einfache Einfallstore für Kriminelle.
Die Cyberkriminellen gehen dabei auf ganz unterschiedliche Art und Weise vor. Schadsoftware wie Trojaner sind eine Möglichkeit, Zugang zu Firmennetzwerken zu erlangen. Über diesen erreichen die Angreifer zunächst Zugriff auf den Rechner des Mitarbeiters im Homeoffice. Da dieser Angestellte seine tägliche Arbeit von zu Hause aus erledigt, ist anzunehmen, dass sein Rechner mit dem Netzwerk des Unternehmens verbunden ist. Viele Unternehmen richten hierfür ein VPN ein.
Ein sicherer Übertragungsweg über geschützte Verbindungen zwischen Firmennetzwerk und Computer im Homeoffice bietet jedoch keinen Schutz mehr, sobald das Endsystem kompromittiert ist und es Hackern möglich ist, den Rechner des Homeoffice-Mitarbeiters als Zugang zum Firmennetzwerk zu nutzen. Über diese Verbindung ist einerseits der direkte Zugriff auf kritische Daten möglich. Andererseits nutzen Angreifer diesen Weg, um weitere Schadsoftware im Unternehmensnetzwerk zu platzieren. Alternativ versuchen sie, den Zugang auszuweiten und beispielsweise Zugriff auf ein Administratorkonto zu erhalten.
Eine andere Methode, an Zugangsinformationen zu gelangen, ist das Phishing. Bei dieser Methode des Social Engineering gehen Cyberkriminelle mittlerweile sehr intelligent und gezielt vor. Zu der Taktik der Angreifer gehört es beispielsweise, die Hierarchie eines Unternehmens vorher auszuspionieren. Auf Basis dieser Informationen suchen sich die Kriminellen gezielt Personen aus, die von besonderem Interesse für die Erfüllung ihrer Zwecke sein könnten. Dies sind beispielsweise Mitarbeiter in bestimmten Positionen, bei denen davon auszugehen ist, dass sie weitreichende Zugriffsrechte innerhalb der Organisation besitzen.
Ob diese Person aktuell im Homeoffice tätig ist, ist nur selten ein Geheimnis. Teilweise veröffentlichen Unternehmen diese Information direkt auf ihrer Webseite. Eine alternative Möglichkeit ist ein harmloser Anruf im Büro. Sehr oft geben die Mitarbeiter die Information gedankenlos raus, dass ein bestimmter Kollege aktuell nicht vor Ort, sondern im Homeoffice zu erreichen ist.
Herausforderung Homeoffice für die Cyber Security
Zu Hause fällt die Trennung zwischen Beruflichem und Privatem häufig schwer, zumindest was die Hard- und Software angeht. So nutzen 28 Prozent der Arbeitnehmer in Deutschland nicht nur ihre privaten Geräte, sondern auch die private E-Mail-Adresse für dienstliche Zwecke - etwa jeder Dritte nun sogar öfter als zuvor. Auch beliebte Messenger-Dienste wie WhatsApp oder der Facebook Messenger werden zu Hause von 24 Prozent der Deutschen dienstlich verwendet, ohne dass eine explizite Genehmigung des Arbeitgebers vorliegt.
Darüber hinaus hat Corona das Bedürfnis nach Informationen massiv erhöht. Etwa die Hälfte (51 Prozent) der befragten Arbeitnehmer rufen vermehrt Nachrichtenseiten auf. 18 Prozent verwenden dafür vom Arbeitgeber gestellte, jedoch 43 Prozent eigene Geräte, mit denen auch gearbeitet wird. Dadurch steigt die Gefahr von Malware-Infektionen im Unternehmensnetzwerk. Selbst vor der Nutzung für heikle und private Themen sind Leihgeräte des Arbeitgebers offenbar nicht gefeit: 17 Prozent surfen damit auf Seiten, deren Inhalt eindeutig nur für Erwachsene bestimmt ist.*
*Quelle: it-daily.net/it-sicherheit, 05_2020
Verstärkt in den vergangenen Monaten haben daher Cyberkriminelle das Homeoffice als Schwachpunkt in der IT-Sicherheit identifiziert – insbesondere, weil es für sie häufig einfacher ist, auf diesem Weg Zugang zu Unternehmensnetzwerken zu erhalten. Mit jedem Mitarbeiter im Homeoffice wächst das Unternehmensnetzwerk und erhält zusätzliche Schnittstellen, die außerhalb des direkten Kontrollbereichs der IT-Sicherheitsteams liegen.
Konkrete Beispiele zeigen auf, welche Herausforderungen für die IT-Sicherheit durch ein Homeoffice entstehen. Das WLAN kann zu einem dieser kritischen Punkte werden. Innerhalb eines Unternehmensnetzwerks ist es vergleichsweise einfach, ein WLAN zu sichern. Die Trennung von kritischen Bereichen des Firmennetzwerks liegt im Verantwortungsbereich des IT Security Teams. Im Homeoffice hingegen liegt die Verantwortung für das WLAN bei dem jeweiligen Mitarbeiter. In den meisten Fällen ist diese Person weniger affin mit Themen aus der IT und der Cyber Protection im Speziellen. Der Rechner, der von dem Mitarbeiter im VPN des Unternehmens genutzt wird, ist möglicherweise ausreichend geschützt. Jedoch verbindet diese Person den PC oder seinen Laptop durch die Homeoffice-Tätigkeit auch mit seinem privaten WLAN, in dem sich darüber hinaus weitere Geräte befinden - Systeme von Familienmitgliedern, wie beispielsweise Spielkonsolen oder Mobiltelefone. Außerdem besteht die Möglichkeit, dass der Mitarbeiter seinen Laptop transportiert und mit anderen, eventuell sogar öffentlichen Netzwerken verbindet. Dies sind Szenarien, die innerhalb eines Firmennetzwerkes bei einem lokalen System nicht vorkommen und die zusätzliche brisante Gefahrenquellen bergen. Systeme, die mit dem Unternehmensnetzwerk verbunden sind, laufen so verstärkt Gefahr, kompromittiert zu werden. Da versierte Cyberkriminelle heutzutage sehr geschickt vorgehen, gelingt es IT-Sicherheitsteams in Unternehmen häufig erst mit größerem Zeitverzug, solch befallene Systeme zu identifizieren. Ziel der Cyberkriminellen ist es nicht, das System des betroffenen Mitarbeiters lahm zu legen - für sie ist ein solcher Rechner das perfekte Einfallstor in ein Unternehmensnetzwerk.
Bei der Cyber Protection kommt es daher maßgeblich auf ein zügiges Handeln an. Nur durch eine schnelle Reaktion verhindert die IT eine weitläufige Ausbreitung der Angreifer im eigenen Netzwerk. Dies ist wichtig, um zu verhindern, dass Angreifer ihren Aktionsradius im Netzwerk ausbauen und kritische Datensätze entwenden bzw. sich auf Systemen festsetzen. Viele wichtige IT-Sicherheitstools stehen bei der Suche nach Eindringlingen für Systeme im Homeoffice jedoch nicht zur Verfügung. Moderne Sicherheitsstrategien arbeiten beispielsweise mit der Analyse von Log-Daten von zentralen Systemen, wie u.a. Firewalls, Proxies und Anmeldediensten. Für die Systeme im Homeoffice stehen diese nur in eingeschränkter Form zur Verfügung, da häufig die Logs der Client Systeme nicht zentral analysiert werden. Im Homeoffice kommt häufig die private Netzwerktechnik zum Einsatz, die nicht für den gewerblichen Einsatz gedacht ist und deshalb auch nicht an die zentralen Systeme angebunden ist. Hinzu kommt, dass Angreifer auch Systeme wie z.B. Router oder Smarthome Geräte im privaten Netzwerk infizieren und über diese auf das Endgerät des Mitarbeiters im Homeoffice zugreifen. Dies erschwert die Identifizierung von erfolgreichen Angriffen weiter.
Den Verantwortlichen aus der IT-Sicherheit fehlt somit eine vergleichbare Kontrolle über die Geräte im Homeoffice wie über die Arbeitsplätze im Büro.
Die Sicherheit im Homeoffice verbessern
Aufgrund der angesprochenen Gefahren ist das Thema IT-Sicherheit im Homeoffice für Unternehmen aktuell von besonderer Bedeutung. Es gibt jedoch eine Reihe von Maßnahmen, mit denen ein effektiver Schutz vor Bedrohungen durch Cyberkriminelle möglich ist.
Sicherheits- und Verhaltensregeln sowie Awareness-Schulungen für das Homeoffice bekommen eine zentrale Bedeutung. Um ein Gleichgewicht zwischen Nutzerfreundlichkeit, Geschäftsanforderungen und Sicherheit herzustellen, sollten Unternehmen Zugriff auf Dienste nur mit den wirklich erforderlichen Berechtigungen gewähren. Zudem sollten sie ein VPN implementieren sowie nur sichere und genehmigte Unternehmenssysteme verwenden. Diese Arten von Software können zwar bestimmte Einschränkungen in Bezug auf die Nutzerfreundlichkeit aufweisen, sie bieten allerdings mehr Sicherheit.
Ein weiterer wesentlicher Aspekt ist der Aufbau der IT-Infrastruktur und damit ein konsequentes Rechte- und Zugriffsmanagement im Unternehmensnetzwerk. Gerade im Fall des Homeoffice, wenn ein Mitarbeiter von außen auf die internen Bereiche zugreift, ist dieser Punkt von zentraler Bedeutung. Es ist darauf zu achten, dass die betreffenden Mitarbeiter nur exakt die für die Arbeit von zu Hause aus notwendigen Zugriffsrechte besitzen. Alle weiteren Rechte, die der Mitarbeiter aktuell nicht benötigt, sind konsequent einzuschränken. Dies verhindert, dass Angreifer über den Rechner im Homeoffice und die VPN-Verbindung weitreichende Befugnisse im internen Netzwerk vorfinden.
Mit der Einrichtung eines VPN sind die Vorbereitung für die Integration eines Homeoffice in die Unternehmensstrukturen jedoch nicht abgeschlossen. Die Fernarbeit erfordert in vielen Bereichen spezielle Anwendungen, um die tägliche Arbeit auszuführen. Dies betrifft beispielsweise auch die Kommunikation. Unternehmen sind gut beraten, eine zentrale und sichere Plattform für alle unternehmensinternen Kommunikationen vorzugeben. Geeignet ist beispielsweise Teams von Microsoft. Ansonsten nutzen Mitarbeiter eventuell unterschiedliche Plattformen für die Kommunikation, was zu einer uneinheitlichen Struktur und für neue IT-Sicherheitsrisiken sorgt. Die IT verliert in diesem Fall leicht den Überblick, wer welche Systeme nutzt und hat keine Möglichkeit, die Cyber Security umfassend zu gewährleisten. Auch bei anderen Anwendungen trifft dies zu, insbesondere bei cloudbasierten Apps. Und gerade Anwendungen in der Cloud stehen im Fokus von Cyberkriminellen.
Mindestens genauso wichtig ist die rechtliche Absicherung als Arbeitgeber. Bevor die Mitarbeiter die Arbeit aus dem Homeoffice beginnen, ist eine schriftliche Bestätigung der Datenschutzrichtlinien notwendig. In diesem Zusammenhang informieren die Arbeitgeber die Angestellten nochmals über die internen Compliance-Vorgaben, den Umgang mit Unternehmensdaten sowie den IT- und Informationssystemen im Allgemeinen. In Verbindung damit stehen auch spezielle Schulungen. Eine rechtzeitige Planung solcher Fortbildungen ist wichtig, denn auf diese Weise bereiten die Unternehmen die Mitarbeiter frühzeitig auf die selbstständige Arbeit im Homeoffice vor. In Zeiten von Corona bieten sich Webinare und ähnliche Schulungen auf digitalem Weg an.
Des Weiteren ist es wichtig, die Mitarbeiter auf den korrekten physischen Umgang mit Systemen im Homeoffice vorzubereiten. Dies betrifft einerseits den eigentlichen Arbeitsplatz, andererseits geht es auch um den Umgang mit digitalen Datenträgern, wie beispielsweise USB-Sticks. Zu den Grundregeln gehört, dass Familienmitglieder keinen Zugang zu den Systemen haben dürfen, die der Mitarbeiter für die Arbeit nutzt. Zum einen verletzt dies die Datenschutzgrundverordnung, zum anderen steigt so die Gefahr, dass Schadsoftware wie Trojaner auf dem PC eingeschleust werden. Externe Speichermedien sind eine weitere Gefahrenquelle. Von USB-Sticks und externen Festplatten geht die Gefahr aus, dass sich Schadsoftware auf diesen befindet. Deshalb dürfen Mitarbeiter nur eigene Geräte mit dem Homeoffice-PC verbinden. Ebenfalls ist eine Überprüfung auf Viren unbedingt erforderlich. Durch diese Maßnahmen wird das Bewusstsein für die IT-Bedrohungen, die im Homeoffice warten, geschärft.
Fazit:
Unternehmen sind gut beraten, Cyber Security Strategien für das Homeoffice und externe Systeme zu entwickeln. Die aktuell durch die COVID-19-Pandemie verstärkte Inanspruchnahme von Homeoffice-Arbeitsplätzen ist nach Expertenmeinungen ein Modell, das auch die Zukunft der Arbeitswelt weiter maßgeblich beeinflussen wird. Die fortschreitende Digitalisierung sowie die technischen Möglichkeiten durch flächendeckendes Breitbandinternet werden zu einer nachhaltigen Veränderung der Arbeitswelt führen. Damit einhergehen wird ein nicht zu unterschätzender Anstieg von Cyber Bedrohungen, denen nur mit Hilfe von nachhaltigen und effektiven Cyber Security Strategien angemessen begegnet werden kann. Threat Hunting- und Incident Response Services werden weiter eine zunehmende Bedeutung für die Cyberabwehr von Unternehmen bekommen.