LEITFADEN FÜR SICHERHEIT IM HOMEOFFICE
In den vergangenen zwei Jahren wurden in vielen Unternehmen die Tätigkeiten ins Homeoffice verlagert. Allerdings ist für zahlreiche dieser Firmen Homeoffice ein komplett neues Thema, dessen Umsetzung schnell erfolgen musste. Doch was bedeutet der Umstieg für die
IT-Sicherheit? In diesem Bericht wollen wir Ihnen einen Überblick über die Risiken, Lösungswege und Handlungsempfehlungen geben, die Ihnen als Leitfaden für
IT-Sicherheit beim „mobilen Arbeiten“ und Homeoffice dienen können.
Homeoffice – Risiken und Gefahren
- Höheres Risiko unbefugter Einsicht von Daten durch Dritte
- Mitarbeiter sind den gegenüber den Gefahren nicht sensibilisiert
- Andere Kommunikationswege als üblich und räumliche Distanz zu Kollegen führen zu einer erhöhten Gefahr durch Social Engineering / Phishing Attacken
- Vermehrter digitaler und telefonischer Austausch mit Kollegen führt zu einer erhöhten Gefahr durch Spionage
- IT-Bereiche stehen unter Druck die Homeoffice Infrastruktur bereitzustellen und funktional zu halten, was zur Vernachlässigung von sicherheitsrelevanten Aspekten in den IT-Systemen, sowie zur mangelhaften Sensibilisierung der Mitarbeiter im Umgang mit der neuen Infrastruktur führen kann
Besondere Schutzmaßnahmen sind notwendig um die Arbeit im Homeoffice sicher zu machen und damit das Unternehmen keiner größeren Gefahr auszusetzen.
Regeln, Lösungen und Handlungsempfehlungen für Arbeitgeber
- Bei der Arbeit außerhalb der Büroräume sollten grundsätzlich die gleichen Anforderungen an die Informationssicherheit gelten wie in den Räumlichkeiten des Unternehmens
- Die Mitarbeiter sollten zu den Themen Informationssicherheit und Datenschutz im Homeoffice unterwiesen werden und sich zur Einhaltung von Regeln verpflichten. Insbesondere Security-Awareness Trainings zur Erkennung von Social Engineering und Phishing Angriffen sind hier von Bedeutung (mehr dazu im Abschnitt „Social Engineering und Phishing Attacken in Corona-Zeiten“).
- Es sollten strikte Zugriffsbeschränkungen gelten, sodass einzelne Mitarbeiter und Mitarbeitergruppen ausschließlich Zugriff auf die Infrastruktur und Daten haben, die sie für ihre Arbeit benötigen (Need-to-Know Prinzip, Zero-Trust Strategie).
- Es sollte arbeitsrechtliche Vereinbarungen geben, die zumindest folgende Aspekte beinhalten:
- Schützenswerte Informationen sowie Geräte müssen weggeschlossen werden
- Beim Verlassen des Arbeitsplatzes müssen Geräte gesperrt werden
- Es sind nur zugelassene IT-Dienste und Infrastruktur für den Austausch von Daten und Kommunikation erlaubt.
- Es besteht Meldepflicht bei Unregelmäßigkeiten und Auffälligkeiten wie bspw. Verdacht auf eine Phishing-Attacke
- Es bestehen Kontrollrechte für den Datenschutzbeauftragten des Unternehmens
- Die Mitarbeiter sollten hinsichtlich der Wichtigkeit von Informationssicherheit im Homeoffice und den arbeitsrechtlichen Vereinbarungen sensibilisiert werden.
- Die Mitarbeiter sollten mit ausreichender Infrastruktur (Software und Hardware) versorgt sein, um Informationssicherheit und den Arbeitsalltag im Homeoffice vereinen zu können. Dazu zählt neben offiziell verkündeten Regeln und Systemen zur Datenspeicherung und dem Datenaustausch auch insbesondere eine sicherheitskonforme Backup-Strategie.
Handlungsempfehlungen für Arbeitnehmer
- Vertrauliche Informationen müssen vor der Einsicht Unbefugter (auch vor Familienmitgliedern) geschützt werden
- Geräte müssen durch ein Passwort geschützt sein
- Vertrauliche Gespräche sollten abgeschirmt von Dritten stattfinden
- Datenaustausch und -speicherung darf nur über und auf Firmengeräten und -systemen erfolgen
- Mit Vorsicht beim Öffnen und Beantworten von E-Mails agieren (Besondere Beachtung sollte hierbei der Gefahr durch Social Engineering Angriffe beigemessen werden: mehr dazu im nachfolgenden Abschnitt)
Social Engineering und Phishing Attacken in Corona-Zeiten
In den vergangenen Wochen konnte ein Anstieg von Cyber-Angriffen auf Organisationen und Einzelpersonen festgestellt werden. Es wird erwartet, dass die Attacken weiter zunehmen und besonders Homeoffice-Mitarbeiter in den Fokus nehmen werden, um über diese einen Zugang zu Firmennetzwerken zu erhalten.
Cyber-Kriminelle nutzen gern das Coronavirus als thematischen Köder für ihre Social Engineering Attacken. Sie zielen damit auf die Angst der Menschen und ihr Informationsbedürfnis ab. So wurden bereits Phishing-Mails in Umlauf gebracht, die vorgaukelten, von der Weltgesundheitsorganisation (WHO) verschickt worden zu sein. Im Anhang der Mail sollten sich angeblich die neuesten Informationen über das Coronavirus befinden. Beim Downloaden der beigefügten Datei wurde jedoch Malware auf den Rechner heruntergeladen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wiederum berichtet von Phishing-Mails im Sparkassen-Design, welche die Empfänger zur Eingabe von persönlichen Daten auffordern. Die Eingabe sei für Kunden angeblich notwendig, damit man während der Corona-Krise per Chat noch miteinander in Verbindung bleiben könne.
Wichtige Signale um solche betrügerischen E-Mails identifizieren zu können sind:
- Ungewöhnlicher Schreibstil, trügerischer Betreff, Grammatik-und Orthografiefehler
- Fehlender Name / ungewöhnliche Ansprache
- Dringender Handlungsbedarf wird suggeriert
- Aufforderung zur Eingabe von Daten
- Aufforderung zur Öffnung einer Datei / Aktivierung des Bearbeitungsmodus
- Eingefügte Links oder Formulare
Um ohne Anklicken zu erkennen, wohin der Link in einer verdächtigen Mail führt, sollte der Mauszeiger über den Link bewegt werden. Nun wird im Fenster des betreffenden Programms unten links oder auch unter der Maus das echte Ziel angezeigt. Auf Mobilgeräten wird das echte Ziel sichtbar, wenn der Link für zwei Sekunden berührt gehalten wird. Das Link-Ziel sollte anschließend genau untersucht werden: Den relevanten Teil eines Links findet man im sogenannten „Wer-Bereich“. Liest man vom http(s):// zum nächsten „/“, befindet er sich um den letzten Punkt herum vor dem „/“. Der Rest des Links ist vollständig zu Vernachlässigen. In den folgenden Beispielen ist der Wer-Bereich fett markiert.
- Sicheres Beispiel: https://www.google.de/services führt auf google.de.
- Phishing-Beispiel: https://www.google.de.myaccounts.biz/services führt auf myaccounts.biz
Zero-Trust Strategie
Neben den genannten Punkten und Empfehlungen ist ein aktueller Trend im Feld der Informationssicherheit durch die aktuelle Situation noch wichtiger geworden: Die Zero-Trust Strategie.
Der Grundgedanke dessen ist Informationssicherheit nicht nur von außerhalb der Firma zu betrachten, sondern im gleichen Maße von innen. Also bei der Handhabung von Informationen gegenüber Außenstehenden, sowie auch Mitarbeitern eine „Null-Vertrauen“ Strategie zu verfolgen.
Um eine vollständige Zero-Trust Strategie für ein Unternehmen zu nutzen, ist langer Planungsaufwand und einiges an Umstrukturierung notwendig. Allerdings lassen sich wertvolle Teilaspekte auch kurzfristig nutzen:
- Einhaltung des Need-To-Know Prinzips: Um die eigenen Mitarbeitern arbeitsfähig zu halten, müssen natürlich notwendige Ressourcen und Informationen bereitgestellt werden. Dies sollte allerdings stets unter Beachtung des Need-To-Know Prinzips geschehen.
- Regelmäßige Untersuchung der firmeninternen Systeme: Die internen Systeme sollten nicht nur auf mögliche Angriffsversuche, sondern auch auf möglichen Datenmissbrauch untersucht werden.
Auf lange Sicht gesehen kann ein Umstieg auf eine Zero-Trust Strategie gerade für mittlere bis große Unternehmen sehr sinnvoll sein, da dort die Gefahr eines internen Angriffs neben Social Engineering und Phishing, auch durch eigene Mitarbeiter höher liegen kann.
Wichtig für die aktuelle Situation ist bei den vielen Empfehlungen und Regeln auch der Gedanke, die schützenswerten Informationen im Unternehmen nicht nur durch hohe Burgmauern schützen, sondern auch Augenmerk darauf zu haben, was innerhalb der Mauern passiert.
Fazit
Neben wichtigen Rahmenbedingungen wie der Einrichtung der technischen Infrastruktur mit dazugehörigen sicheren Verbindungen oder dem Abschließen einer arbeitsrechtlichen Vereinbarung ist das Bewusstsein der Mitarbeiter für Gefahren am heimischen Arbeitsplatz ein maßgeblicher Faktor für das Gelingen der „Operation Homeoffice“: Die Kollegen müssen für den verantwortungsbewussten Umgang mit Daten und auch Social Engineering Attacken in ihrer neuen Arbeitsumgebung stetig sensibilisiert werden – nicht zuletzt weil zu erwarten ist, dass das Homeoffice ein immer festerer Bestandteil der Arbeitswelt werden wird.
