Illustration: Absmeier

Die Corona-Pandemie sorgt dafür, dass viele Arbeitnehmer im Home Office sind und auch zahlreiche Lehrer und Schüler das sogenannte Homeschooling betreiben: Gearbeitet oder gelernt wird am heimischen Rechner. Rasch wurden neue Lösungen für das Arbeiten miteinander gebraucht, die allerdings nicht immer sicher sind.

»Videochat- und Konferenztools erleben derzeit einen Aufschwung. Nicht nur Beschäftigte im Home Office, auch Schüler und Lehrer waren in den vergangenen Wochen darauf angewiesen und sind es noch immer. Jedoch gibt es bezüglich der IT-Sicherheit dieser Tools einiges zu beachten. So wurde am Beispiel Zoom überdeutlich, dass der Schein von IT-Sicherheit anfangs trügerisch sein kann«, warnt die Expertin. Tulinska empfiehlt als für den Bildungsbereich geeignete, sichere Tools die Website www.bibliotheksportal.de, auf der Nutzer die digitalen Angebote verschiedener Büchereien nutzen können, sowie www.sofatutor.de, eine Plattform, die als virtuelles Klassenzimmer bezeichnet werden kann.

Mit Vorsicht zu genießen ist Dropbox. Die Cloud ist zu Pandemie-Zeiten ein hervorragendes Kollaborationstool. Bewusst sein muss sich jedoch jeder Nutzer, dass seine Daten auf US-Servern landen. »Hier rate ich zu ergänzenden Tools wie Cryptomator oder Boxcryptor, die die Daten verschlüsseln, die bei Cloud-Anbietern wie Dropbox, Box.de oder anderen ablegt werden«, so Tulinska.

»Das Home Office ist idealerweise ein abschließbares Arbeitszimmer. Falls dies nicht möglich ist, muss der Bildschirm gegen Blicke geschützt werden. Soft- und Hardware sind vom Arbeitgeber zu stellen. Dieser sollte zudem darauf bestehen, dass vertrauliche Telefonate nicht in Anwesenheit Dritter erledigt werden sollten«, erklärt Tulinska. Verschlüsselung und sichere Passwörter sind auch im Home Office das A und O. Dazu zählt sowohl die Verschlüsselung von E-Mails, als auch die von Daten auf dem Rechner, dem Smartphone und Tablet, falls diese Geräte für die Arbeit eingesetzt werden. Auch die WLAN-Verbindung muss verschlüsselt sein.

»Zugang zum Unternehmensnetz darf ebenfalls ausschließlich über verschlüsselte Verbindungen erfolgen. Die Anmeldung durch eine Zwei-Faktor-Authentifizierung bringt zusätzliche Sicherheit. Auch Passwörter müssen sicher sein, dürfen nicht achtlos auf Zetteln neben dem Rechner liegen und sind idealerweise selbst vor dem Zugriff durch unbefugte Dritte durch Verschlüsselung geschützt«, warnt Patrycja Tulinska. Übrigens: Sowohl Notizzettel mit sensiblen Informationen als auch Datenmüll in digitaler Form gehören zügig und sicher entsorgt.

Nicht zuletzt gilt: Eine gute Kommunikation ist viel wert. Das können regelmäßige Mitarbeiter-Gespräche sein, in denen die Beschäftigten offen positive Punkte, aber auch Negatives und Kritik ansprechen sollten und etwaige Fragen klären können. Beschäftigte müssen wissen, dass jeder Daten-Vorfall unverzüglich gemeldet werden muss, aber auch, dass sie die Software auf sämtlichen Geräten aktuell halten müssen. Insbesondere bereitgestellte (Sicherheits-) Updates sollten unverzüglich, idealerweise automatisiert, eingespielt werden.

Weitere Informationen unter: https://www.psw-group.de/blog/it-sicherheit-home-office-homeschooling-cyberangriffe-im-bildungsbereich/7522

Illustration: Geralt Absmeier, Alexandra Koch

Immer noch arbeitet eine große Zahl der Angestellten von zuhause aus. Das Home Office wird dabei zunehmend zu einem Sicherheitsrisiko für die Unternehmens-IT. Rohde & Schwarz Cybersecurity hat einige zentrale Risiken im Home Office gesammelt – von A wie »Arbeitsplatz« bis Z wie »Zero-Day-Exploit« – und Lösungswege aufgeführt.

Im Home Office arbeiten Mitarbeiter an Küchen- und Esstischen, in Schlafräumen oder sogar in Kinderzimmern. Denn der Platz ist begrenzt und das WLAN-Signal nicht überall gleich stark. Ein solcher Arbeitsplatze bringt allerdings etliche Gefahren für die Unternehmens-IT mit sich – insbesondere dann, wenn die ganze Familie zu Hause ist. Notebooks oder iPads können durch Kleinkinder beschädigt werden, ältere Kinder versuchen sich gerne aus Neugierde an den Geräten der Eltern, löschen womöglich wichtige Daten oder drucken sie versehentlich aus. Auf Küchen- und Esstischen abgestellte Getränke sind ebenfalls ein Risikofaktor – vor allem dann, wenn man sich den Tisch mit zwei Schulkindern teilt. Mitarbeiter müssen zu Hause daher besondere Vorkehrungen treffen. Ideal ist ein eigener – abschließbarer – Arbeitsraum. Mit einem WLAN-Verstärker lässt sich bei Bedarf das Verbindungssignal optimieren. Wer in der Küche oder im Wohnzimmer arbeitet, sollte zumindest beim Verlassen des Arbeitsplatzes, den Bildschirm sperren und das Notebook nach Feierabend in einen abschließbaren Schreibtisch oder Schrank einschließen.

Cloud

Für das dezentrale Arbeiten von zu Hause sind Cloud-Anwendungen und Collaboration-Dienste sehr nützlich. Doch die Schutzmechanismen der Cloud-Anbieter entsprechen nicht den Sicherheitsanforderungen der meisten Unternehmen. Hinzu kommt: Die Mehrzahl der Cloud-Anbieter sitzt im Ausland. Viele dort geltende Regelungen – wie bspw. der »Clarifying Lawful Overseas Use of Data Act« – sind nicht mit der EU-DSGVO vereinbar. Es drohen Datenspionage und Compliance-Verletzungen. Die Lösung ist ein datenzentrischer Schutz: Dabei werden Platzhalter in die Cloud eingestellt, die nur Metadaten enthalten. Die Nutzdaten werden fragmentiert im Unternehmensnetzwerk oder an einem anderen Ort abgelegt. Selbst bei einem Angriff auf die Cloud, bleiben die vertraulichen Inhalte für nicht befugte Personen unlesbar.

E-Mail-Anwendungen

E-Mail-Anwendungen auf mobilen Endgeräten erleichtern die Arbeit von zu Hause ungemein. Allerdings gibt es immer wieder Sicherheitslücken, die es Hackern ermöglichen, solche Anwendungen zu knacken. Aktuell ist die E-Mail-Anwendung von Apple betroffen. Die Angriffe verlaufen meist völlig unbemerkt. Unter dem Update iOS 13 kann die Schad-E-Mail, ohne dass sie gelesen werden muss, den Schadcode auf das iPhone aufbringen. Haben Hacker das Gerät gekapert, können sie diese E-Mail wieder löschen und ihre Spuren verwischen.

Festplatte

Vor allem Organisationen mit hohen Sicherheitsanforderungen sollten die Notebooks ihrer Mitarbeiter mit einer Festplattenverschlüsselung ausstatten. Nur berechtigte Nutzer können dann per Multi-Faktor-Authentifizierung ihre Daten und das Betriebssystem nutzen. Geht das Gerät verloren oder wird es gestohlen, ist es für Dritte nicht möglich, auf die Daten zuzugreifen.

Hacker

Hacker nutzen die Corona-Krise aus. Mit einer Flut an Phishing-E-Mails, neu entwickelter Malware und gefälschten Informationen versuchen sie, aus der Krise Kapital zu schlagen. Für Unternehmen kann sich dadurch die bereits angespannte wirtschaftliche Lage weiter verschärfen. Ein umfassender Schutz der IT ist für jedes Unternehmen daher jetzt wichtiger denn je.

Internet

Bereits vor der Corona-Krise galt: 70 Prozent der Hackerangriffe kommen aus dem Internet. Der aktuelle Informationsbedarf verschärft diese Gefahr noch weiter. Über gefälschte Webseiten, E-Mails oder Grafiken, die aus scheinbar vertrauensvollen Quellen stammen, wird Malware auf Rechner geschleust. Der beste Schutz vor Angriffen aus dem Internet ist ein virtueller Browser, wie der R&S®Browser in the Box. Kommt dieser zum Einsatz, haben Cyberkriminelle keine Chance.

Mitarbeiter

Ein Sicherheitskonzept noch so ausgeklügelt sein: Als Schwachpunkt bleibt der Mensch. Mitarbeiter öffnen Phishing-E-Mails und laden gefährliche E-Mail-Anhänge herunter, sie verraten nichts ahnend ihre Zugangspasswörter an Unbefugte, die sich am Telefon als IT-Dienstleister ausgeben, und sie verbummeln wichtige Sicherheits-Updates. Im Home Office – wenn der IT-Administrator weit weg ist – ist die Verantwortung jedes Einzelnen besonders groß. Neben der richtigen IT-Sicherheitstechnik ist eine Schulung und Sensibilisierung der Mitarbeiter daher ausschlaggebend für die IT-Sicherheit im Unternehmen.

Passwörter

Passwörter schützen Anwendungen vor unberechtigtem Zugriff. Doch Standardpasswörter sind einfach zu knacken. Und »1234« oder »Password« bieten gar keinen Schutz vor Hackern. Gute Passwörter sind Passphrasen, wie »Wir verschlüsseln Datenträger!« oder »keine-Zellen-in-Excel-verbinden«. Solche Sätze sind leicht zu merken und zu tippen, aber schwierig zu knacken. Ergänzt werden sollten sie um Symbole, Zahlen oder Großbuchstaben. Um nicht den Überblick zu verlieren, ist es hilfreich, einen Passwort-Manager zu nutzen.

USB-Stick

USB-Speichergeräte sind praktisch, wenn es um die Weitergabe von großen Datenmengen geht. Auch beim dezentralen Arbeiten im Home Office ist der USB-Stick beliebt. Häufig kommen allerdings Sticks zum Einsatz, deren Ursprung niemand mehr kennt. Auf diese Weise kann Malware auf die Firmenrechner gelangen. Mitarbeiter sollten daher grundsätzlich keine USB-Speichergeräte an Firmenrechner anschließen.

Videokonferenzen

Videokonferenzen boomen in der Corona-Krise. Sie bieten Hackern allerdings häufig ein Einfallstor in die Unternehmens-IT. Beispiel Zoom: Der Zugang zu einer Zoom-Konferenz ist für Unbefugte relativ einfach. Eindringlinge können auf diese Weise nicht nur Zugriff auf sensible Informationen erhalten; über die Chatfunktionen können sie auch Links weiterleiten, um Malware auf die Geräte zu schleusen. Unternehmen sollten stattdessen auf Konferenzsysteme setzen, die über den Browser geöffnet werden. Angreifer lassen sich dann mit Hilfe eines virtuellen Browsers isolieren.

W-LAN

Eine WLAN-Verbindung erleichtert die Arbeit im Home Office ungemein. Sie ist allerdings auch ein Sicherheitsrisiko. Denn WLAN-Netzwerke bieten Hackern die Möglichkeit, auf Daten zuzugreifen. Hacker können zudem Computerviren und Trojaner über schlecht oder nicht gesicherte WLANs in ein System einspeisen. Wichtigste Sicherheitsmaßnahmen: Zum einen sollte das Standard-Administrator-Passwort durch ein neues, starkes Passwort ersetzt und zum anderen die WPA2-Verschlüsselung aktiviert werden.

Zero-Day-Exploits

Ein wichtiger Schutz vor Hackerangriffen sind Patches und Updates. Diese stehen allerdings erst bereit, wenn die Sicherheitslücke bereits vom Hersteller erkannt wurde. Die größte Gefahr stellen daher Angriffe dar, die eine Sicherheitslücke ausnutzen, noch bevor sie entdeckt und geschlossen wurde. Einen solchen »Zero-Day-Exploit« kann Antiviren-Software nicht aufhalten. Der einzige mögliche Schutz bietet eine Isolierung der eingeschleusten Malware in einem virtuellen Browser. (7.800 Zeichen)

Weitere Informationen: https://www.rohde-schwarz.com/de/loesungen/cybersicherheit/about-us/news-media/news/20200411-news-working-securely-from-home-iii-tips-for-more-security-productivity_253102.html