Unternehmen haben ihre Belegschaften aufgrund der Pandemie ins Homeoffice geschickt. Das bringt Risiken für die IT-Sicherheit mit. Denn Kriminelle nutzen verstärkt die so entstandenen Sicherheitslücken, wie Experten beobachten. Experten wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) geben Tipps, wie sich Firmen, aber auch die Beschäftigten gegen die Cyberkriminellen schützen können.
Der Alltag in vielen deutschen Haushalten sieht in der Coronakrise wahrscheinlich so aus: Die Eltern arbeiten tagsüber zu Hause am Notebook und sind via Smartphone für Absprachen erreichbar. Schulpflichtige Kinder erledigen ihre von den Lehrern gestellten Aufgaben am Rechner oder Tablet. Abends stehen Fernsehen, Streamen von Serien, Surfen im Netz oder Gaming auf dem Programm.
Die meisten dieser Tätigkeiten sind häufige Einfallstore für Cyberkriminelle. Das Problem: In Zeiten der Pandemie wird dieses Risiko von vielen oft unterschätzt oder aufgrund von anderen drängenden Aufgaben einfach verdrängt.
Homeoffice stellt Risikofaktor dar
Das Thema stellt aber eine nicht zu unterschätzende Gefahr dar. So richtete das Bundeskriminalamt zum 1. April 2020 die Abteilung „Cybercrime“ (CC) ein, wie die Behörde kürzlich bekannt gab. Rund 280 Mitarbeiter sollen hier künftig gegen kriminelle Akteure, Netzwerke und Strukturen ermitteln.
Eine konkrete Risikoquelle stellt aktuell die Bewegung von ganzen Belegschaften Richtung Heimbüros dar. Und genau hier sehen Experten die größte Gefahr: „Für Cyberkriminelle ist das Coronavirus wie vorgezogenes Weihnachten“, titelte die Website der Zeitung „Süddeutsche“ Ende März.
Immer mehr Kriminelle nutzen das Chaos, wie auch eine Auswertung der IT-Sicherheitsspezialisten von IBM Corp. ergab. „Wir haben uns die letzten 28 Tage angeschaut. Speziell im Zusammenhang mit der Corona-Pandemie verzeichnen unsere Sensoren und Metriken im Bereich Phishing/Malware einen Anstieg von über 14.000 Prozent allein in den letzten 14 Tagen“, sagt IBM-Security-Analyst Ashkan Vila.
Firmen müssen Sicherheitsmaßnahmen anpassen
Ähnlich bewertet auch Dr. Joachim Bühler, Geschäftsführer des Verbands der TÜV e.V. (VdTÜV), die Situation: „Die Corona-Pandemie ist ein gefundenes Fressen für Cyberkriminelle. Eine hohe Besorgnis der Bürger in Kombination mit einem hohen Informationsbedürfnis ist der ideale Nährboden, um die Nutzer in die Irre zu führen.“
Mithilfe von Phishing-Mails oder schädlichen Smartphone-Apps könnten Geräte leicht mit Schadsoftware infiziert werden. Unternehmen müssten wegen der Pandemie die Risiken für ihre Organisation neu bewerten und ihre IT-Sicherheitsmaßnahmen anpassen.
„Die Beschäftigten brauchen klare Vorgaben für das Arbeiten im Homeoffice, um die Risiken für Cyberangriffe zu reduzieren“, so Bühler.
Schwachstellen von Heimbüros
Das derzeit oft verordnete Arbeiten in den eigenen vier Wänden, wenn auch notwendig, um Infektionen mit dem Coronavirus zu reduzieren, hat Schwachstellen: Dezentrale Zugriffe auf Daten und Systeme kann die Firmen-IT-Abteilung schwerer kontrollieren. Verunsicherte Mitarbeiter gehen Kriminellen und ihren Maschen wie „Phishing“ und „Fake-President“ eher auf den Leim.
Und für Firmen stellt sich in der aktuellen Situation die Frage, wie und unter welchen Umständen Cyberangriffe auf das unternehmenseigene Netzwerk eigentlich abgesichert sind, wenn die Beschäftigten zu Hause arbeiten.
Eine wichtige Voraussetzung für Sicherheit im virtuellen Raum ist, das Arbeiten in einem VPN, das steht für virtuelles privates Netzwerk. Das führt unter anderem auch IBM-Security-Analyst Vilan als zwingend notwendig an, um Cyberschutz zu Hause zu gewährleisten.
Sicherheitstipps für das Homeoffice
Ein weiteres Risiko ist laut Experten, dass zahlreiche Unternehmen die Mitarbeiter nicht oder nicht rechtzeitig mit gesicherten mobilen Endgeräten für die Homeofficetätigkeit ausgestattet haben und daher viele Mitarbeiter ihre privaten Endgeräte zum Arbeiten verwenden. Doch nicht alle diese privaten Notebooks, PCs und Tabletts sind zum Beispiel ausreichend mit einem aktuellen Virenschutz gesichert und stellen daher einen erheblichen Risikofaktor für die IT-Sicherheit eines Firmennetzes dar.
Ausführliche IT-Sicherheitstipps und Präventionsmaßnahmen für das Homeoffice enthalten die Webportale des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sowie des Vereins „Deutschland sicher im Netz e.V.“ (DsiN). Auch für Mitarbeiter und sonstige Privatpersonen gibt es vom BSI im Webportal www.bsi-fuer-buerger.de entsprechende Ratschläge, um das Risiko, Opfer von Cyberkriminellen zu werden, zu minimieren.
Tipps für Firmen und Mitarbeiter zur IT-Sicherheit im Homeoffice enthält zum Beispiel zudem der kostenlos online herunterladbare Flyer „Tipps für sicheres mobiles Arbeiten“ des BSI. Unter anderem sind hier folgende fünf folgende Empfehlungen genannt:
- „Klar geregelt: Treffen Sie deutliche, unmissverständliche und verbindliche Regelungen zur IT-Sicherheit und zur Sicherheit Ihrer Daten in Papierform. Kommunizieren Sie diese schriftlich an alle Beteiligten.
- Hier gibt es nichts zu sehen: Ergreifen Sie an Ihrem Heimarbeitsplatz Maßnahmen, mit denen sich ein Sicherheitsniveau erreichen lässt, das mit einem Büroraum vergleichbar ist. Verschließen Sie Türen, wenn Sie den Arbeitsplatz verlassen, und geben Sie Dritten keine Chancen durch einsehbare oder gar geöffnete Fenster.
- Eindeutige Verifizierung: Sorgen Sie für eindeutige Kontaktstellen und Kommunikationswege, die von den Beschäftigten verifiziert werden können.
- Vorsicht Phishing: Es können vermehrt Phishing-E-Mails auftreten, die die aktuelle Situation ausnutzen und versuchen werden, Ihre sensiblen Daten mit Hinweis auf Remote Zugänge, das Zurücksetzen von Passwörtern etc. abzugreifen.
- VPN: Idealerweise greifen Sie über einen sicheren Kommunikationskanal (zum Beispiel kryptografisch abgesicherte Virtual Private Networks, kurz: VPN) auf interne Ressourcen der Institution zu. Sofern Sie bisher keine sichere und skalierbare VPN-Infrastruktur haben, informieren Sie sich über mögliche Lösungen.“
Schadenminimierung mit einer Cyberpolice
Trotz aller Sicherheitsmaßnahmen gibt es allerdings bisher keinen 100-prozentigen Schutz vor Cyberkriminellen. Um die Folgen eines Cyberangriffs für ein betroffenes Unternehmen abzusichern und damit möglichst klein zu halten, bietet die Versicherungswirtschaft sogenannte Cyberversicherungen an.
Eine solche Cyberpolice übernimmt je nach Vertragsvereinbarung laut Gesamtverband der Deutschen Versicherungswirtschaft e.V. (GDV) „nicht nur die Kosten durch Datendiebstähle, Betriebsunterbrechungen und für den Schadenersatz an Dritte, sondern steht den Kunden im Ernstfall mit einem umfangreichen Serviceangebot zur Seite“.
„Nach einem erfolgreichen Angriff schickt und bezahlt die Versicherung Experten für IT-Forensik, vermittelt spezialisierte Anwälte und Krisenkommunikatoren. So hilft sie, den Schaden für das betroffene Unternehmen so gering wie möglich zu halten“, wie der GDV weiter ausführt.