Gut geschützt im Homeoffice

Viele Beschäftigte, die durch die Corona-Krise aktuell im Homeoffice arbeiten müssen sich oft erst an das Arbeiten von zuhause gewöhnen. Auch die IT-Sicherheit sollte dabei ernst genommen werden. Denn Cyberkriminelle nutzen die allgemeine Verunsicherung jetzt für kriminelle Zwecke - digitale Viren und Angriffe haben gerade Hochkonjunktur.

Damit die Arbeit von zuhause aus gelingt, sind Unternehmen und Angestellte gleichermaßen gefragt. Grundsätzlich sollten die zur Verfügung gestellten Notebooks vom Arbeitgeber noch vor dem Homeoffice-Einsatz so vorkonfiguriert werden, dass bestimmte Sicherheitsvorgaben eingehalten werden können. Updates müssen regelmäßig eingespielt und die nötigen Security-Mechanismen aktualisiert werden. Sobald die Mitarbeiter ihr Notebook mit nach Hause nehmen und an ihr privates Netzwerk anschließen, sind sie in der Verantwortung und müssen sich über die vom Unternehmen definierten Nutzungs-Richtlinien im Klaren sein.

Die IT-Richtlinien des eigenen Unternehmens sollten für alle Mitarbeiter gleichermaßen als Maßstab für die Arbeit im Homeoffice oder von anderen Remote-Arbeitsplätzen aus gelten. Im Sinne der IT-Sicherheit zählt hierzu eine strikte Trennung von Beruflichem und Privatem: Tätigkeiten wie beispielsweise Online-Banking und private Recherchen sollten nie am Firmenlaptop ausgeführt werden, ebenso wenig sollten externe Speichermedien - wie USB-Sticks - angeschlossen werden. Umgekehrt gilt: Niemals Firmen-Dokumente auf dem privaten Rechner herunterladen und öffnen. Der Firmenlaptop, der mit nach Hause genommen wird, muss als isoliertes Gerät betrachtet und ausschließlich für wirklich notwendige, arbeitsbezogene Tätigkeiten genutzt werden.

Jede Verbindung mit dem Internet stellt ein potenzielles Sicherheitsrisiko für die angeschlossene Hardware dar. Das gilt insbesondere für Firmenlaptops im Homeoffice, wo der Nutzer die Verantwortung für die Sicherheit seiner privaten Netzwerkverbindung trägt. Unternehmensnetzwerke sind in der Regel in sich abgeschlossen, externe Zugriffe werden genau auf ihre Berechtigung geprüft. Bei der Arbeit im Homeoffice mit dem privaten Netzwerk entfällt dieser Kontrollmechanismus.

An dieser Stelle muss sich jeder klarmachen, dass neben dem Firmenlaptop zu Hause auch andere Geräte mit dem Internet verbunden sind, die Informationen an das Netz senden - angefangen bei Smartphones und Tablets bis hin zu Smart-Home-Anwendungen. Wird der Firmenlaptop über den privaten WLAN-Zugang verbunden, bieten insbesondere die Schnittstellen mit solchen Geräten eine erhöhte Angriffsfläche, über die sich Hacker Zugriff zum Arbeitsrechner verschaffen können.

Hier gilt: Sowohl der Router, über den die WLAN-Verbindung erfolgt, als auch sämtliche vernetzten privaten Geräte müssen stets auf dem aktuellsten Stand gehalten werden. Grundsätzlich sollten Nutzer genau abwägen, ob es tatsächlich notwendig ist, ob smarte Geräte wie z.B. Lautsprecher oder Haushaltsgeräte genau dann im WLAN aktiv sind, wenn gerade im Homeoffice gearbeitet wird.  Sicherer ist es in jedem Fall, die entsprechenden Geräte während der Arbeitszeit vom WLAN zu trennen oder ganz auszuschalten.

Viele Mitarbeiter gehen davon aus, dass sie im Homeoffice durch die VPN-Verbindung am Rechner geschützt sind. Das gilt jedoch nur für die Kommunikation zwischen den einzelnen Remote-Arbeitsplätzen und dem Unternehmen, die durch die VPN-Verbindung verschlüsselt wird. Der Zugriff über VPN auf unternehmensinterne Dokumente ist demnach sicher, es können ausschließlich autorisierte Nutzer darauf zugreifen. Dass die Kommunikation verschlüsselt ist, bedeutet jedoch nicht, dass zugleich der Rechner geschützt ist: Er ist nach wie vor angreifbar, daher müssen hier stets alle sicherheitsrelevanten Updates eingespielt und Anti-Malware-Programme aktualisiert werden.

Hacker haben sich schnell auf die neue Situation eingestellt und nutzen das hohe Informationsbedürfnis der Menschen zum Thema Covid-19 und Corona für ihre Zwecke: Insbesondere Phishing-E-Mails haben Hochkonjunktur. Im Fokus der Angriffe stehen dabei ganz klar Mitarbeiter im Homeoffice, die aufgrund der nach wie vor ungewohnten Situation und wenig Vorerfahrung besonders angreifbar sind. Wachsamkeit und ein gesundes Misstrauen sind deshalb jetzt wichtiger denn je. Verdächtige E-Mails unbekannter Absender sollten zum Beispiel am besten ungelesen gelöscht werden, keinesfalls sollte man darin enthaltene Links oder Dokumente öffnen.

Aktuell kursieren beispielsweise gefälschte E-Mails, die im Namen des Gesundheitsministeriums verschickt werden und einen gefährlichen Trojaner enthalten. Viele Firmen berichten auch von E-Mails, die sich als unternehmensinterne Information zur Entwicklung des Coronavirus tarnen und gezielt an Angestellte im Homeoffice versendet werden. Sie enthalten schadhafte Links, über die sich die Mitarbeiter angeblich über die neuesten Maßnahmen im eigenen Unternehmen informieren können.

Vorsicht geboten ist auch bei gefälschten Informationsseiten im Internet zu den aktuellen Infektionszahlen sowie vor schadhaften Smartphone-Apps, die vorgeben, aktuelle Informationen zu Covid-19 zu liefern, in Wirklichkeit aber Malware enthalten. Bei Verdachtsfällen sollten sich Mitarbeiter an den unternehmensinternen Richtlinien orientieren und sich mit ihrer IT-Abteilung in Verbindung setzen, um das weitere Vorgehen zu besprechen.

Online-Meetings und Videokonferenzen erleben zurzeit einen Boom, Meetings jeglicher Art verlagern sich zunehmend in den virtuellen Raum. In den sozialen Netzwerken kursieren bereits zahlreiche Screenshots, mit denen Nutzer zeigen wollen, wie gut die digitale Zusammenarbeit funktioniert. Was viele jedoch nicht bedenken: In solchen Screenshots sind zum Teil Firmeninterna sichtbar oder - schlimmer noch - die Meeting-URL in der Browserleiste. Mit solchen unbedacht geteilten Informationen ist es für Hacker ein Leichtes, vertrauliche Informationen zu bekommen.

Die zunehmenden Angriffe auf einzelne Mitarbeiter im Homeoffice, aber auch auf zurzeit besonders wichtige Infrastrukturen wie E-Learning-Plattformen und Krankenhäuser zeigen: Gerade wenn sich viele Aktivitäten - ob berufliche oder private - in der digitalen Raum verschieben, ist es umso wichtiger, dass sich jeder seiner Verantwortung für die IT-Sicherheit des eigenen Unternehmens bewusst ist. Natürlich ist das Bedürfnis nach Austausch und Informationen in Krisenzeiten besonders hoch. Ein verantwortungsbewusster Umgang mit der zur Verfügung gestellten IT im Homeoffice sollte jedoch gewährleistet werden. Im Zweifelsfall also lieber einmal zu vorsichtig sein, als einmal zu wenig. Die aktuelle Situation bringt viele Unternehmen in eine schwierige Lage, aber durch ein verantwortungsbewusstes Verhalten kann jeder Mitarbeiter auch aus dem Homeoffice dazu beitragen, zumindest zusätzlichen Schaden durch IT-Sicherheitsvorfälle zu vermeiden.