Sicherheit im Homeoffice: Gefahren und Gegenmaßnahmen

Seit Beginn der Corona-Pandemie ist der Homeoffice-Anteil vieler Beschäftigter deutlich gestiegen. Und das hat auch Hacker auf den Plan gerufen: „Seither ist die Zahl der Cyberangriffe nochmal deutlich angestiegen. Corona ist womöglich die größte Herausforderung für die Datensicherheit, die es jemals gab“, warnt Joe Gerdes, Senior Awareness Specialist bei der Kölner SoSafe GmbH.

Gerdes hielt im Rahmen unserer ersten KölnBusiness-Expert Sessions den Vortrag zum Thema Datenschutz im Homeoffice. Er stellt klar: Einzelne Hacker, die tief verborgen im dunklen Keller zwischen Kilometern von Kabeln und Türmen wild blinkender Geräte sitzen und sichins Netzwerk der NATO oder der EZB hinein fressen, stellen das Klischee dar. Die Wirklichkeit sieht anders aus. Hochprofessionelle Banden suchen gezielte Schwachpunkte: „Hacker wissen, wo es wehtut!“ Die Gefahren werden durch Corona und vermehrtes Homeoffice verschärft.

Die vier größten Fallen

1. Der Faktor Mensch

Hochprofessionelle Banden greifen Unternehmen oder Organisationen an, indem sie in aller Regel einzelne Rechner bestimmter Mitarbeiter*innen attackieren. 92 Prozent der Cyberangriffe erfolgen über Phishing-Mails. „Der Mensch ist nach wie vor das schwächste Glied in diesem System, neun von zehn Angriffen laufen über Mitarbeiterinnen und Mitarbeiter“, berichtet Gerdes. Die weiteren Zahlen klingen beunruhigend: 156 Millionen Phishing-Mails würden täglich versandt, seit Beginn der Pandemie ein Anstieg um 700 Prozent. Davon kämen zehn Prozent durch den Spam-Filter, und die Hälfte davon wiederum werde tatsächlich geöffnet. Also 7,8 Millionen Mails mit Schadsoftware, die wirklich Schaden anrichten können – jeden Tag.

2. Unbekannte, unsichere Tools

Gerade die Kommunikations- und Kollaborationstools, die seit Beginn der Pandemie um ein Vielfaches mehr genutzt werden, sind nach Einschätzung von Gerdes „Einfallstore für Hacker“. Besonders die beliebte Software Zoom sei kritisch zu betrachten, aber auch andere häufig genutzte Tools wie Microsoft Teams oder GoTo müsse man vorsichtig nutzen: „Sie sind jedenfalls nicht dazu geeignet, vertrauliche Daten zu übermitteln!“

3. Scheinbar seriöse Websites

Allein im ersten Quartal 2020 wurden 16.000 neue Internet-Domains registriert, die einen Corona-Bezug haben, berichtet Gerdes. Davon sei etwa ein Fünftel als potenziell schädlich einzustufen. Und die Gefahr ist real, weil die Urheber oft seriös erscheinende Websites mit scheinbar wichtigen Informationen erstellen und so viele Menschen auf der Suche nach Neuigkeiten anlocken. Auf diese Weise haben zum Beispiel Betrüger im Sommer eine Website des Landes NRW nachgestellt und damit Corona-Soforthilfen abgegriffen, die eigentlich kleinen Unternehmen zugutekommen sollten.

4. Geringeres Sicherheitslevel im Homeoffice

Mitarbeiter*innen im Homeoffice nutzen nicht selten private Endgeräte für berufliche Datenverarbeitung und -übermittlung. Mitunter tun sie das sogar in einem nicht passwortgeschützten WLAN-Netzwerk. Spamfilter, Firewalls, Verschlüsselung – all diese Faktoren sind häufig nicht auf dem aktuellen Stand und bieten so Sicherheitslücken für Hacker. „Wir haben schon erlebt, dass Privatrechner, die noch Windows 7 installiert haben, für die Arbeit im Firmennetz genutzt wurden“, berichtet Gerdes.

Die Attacken, die Hacker aktuell lancieren, nutzen ganz besonders die emotionale Betroffenheit der Adressaten aus. Bei besonders dramatischen, dringend wirkenden und auch noch scheinbar intern versandten Phishing-Mails liege die Klickrate nach Tests bei über 80 Prozent, warnt der Awareness-Experte. Deshalb sei es gerade jetzt so wichtig, Mitarbeiter*innen zu schulen und zu sensibilisieren.

Die wichtigsten Corona-Homeoffice-Maßnahmen

• Die Technik auf dem neuesten Stand halten: Regelmäßige Updates durchführen, Spamfilter und Firewalls aktualisieren, Verschlüsselung nutzen.
• Stellen Sie Ihren Mitarbeiter*innen eine VPN-Verbindung (Virtual Private Network) zur Verfügung, mit der sie sich anonym im Netz bewegen können, sowie eine verschlüsselte Cloud-Software.
• Stellen Sie klare Regeln für den Schutz von Daten und Geräten im Homeoffice auf, wie sie teils auch im Büro gelten müssten, und kommunizieren Sie diese mehrfach. Dazu sollte zum Beispiel gehören:
  • Keine vertraulichen Dokumente und externen Datenträger herumliegen lassen
  • Bildschirm bei Abwesenheit immer sperren
  • Geschäftliche Dokumente nicht einfach in den Papierkorb werfen, sondern schreddern
• Stellen Sie sicher, dass Ihre Mitarbeiter*innen verdächtige E-Mails und Vorgänge auch melden. Nennen Sie ihnen klare Ansprechpartner*innen und Kontaktwege.
• Kommunizieren Sie die Vorgaben nicht bloß über einmalige E-Mails o.ä., sondern regelmäßig, dauerhaft. Die Inhalte einer einzelnen Schulung seien nach 14 Tagen bereits zu 70 Prozent vergessen, erklärt der IT-Spezialist. Nutzen Sie deshalb auch Learning by doing, indem Sie beispielsweise immer wieder „Phishing-Mails“ einschleusen und so Angriffe simulieren.
• Achten Sie aber unbedingt darauf, diese Maßnahmen immer gemeinsam mit den Beschäftigten durchzuführen sind und nicht gegen sie. Sie sind kein Mittel der Überwachung.
• Fördern Sie gerade in Corona-Zeiten die informelle Kommunikation unter Ihren Beschäftigten. „Flurfunk schützt! Ein Vergleich ergab, dass die Klickrate auf Phishing-Mails von 30 auf 12 Prozent sank, wenn darüber nebenbei gesprochen wird“, berichtet Gerdes.

Eine Checkliste zum Thema Homeoffice und Datenschutz finden Sie hier.