Sicher arbeiten: im Home-Office oder unterwegs
Die Arbeit im Home-Office oder auch unterwegs in Zug oder Café kann leicht zum Einfallstor für Cyberkriminelle werden. Die Verantwortung für Unternehmensdaten und IT-Sicherheit liegt gleichermaßen bei der IT-Abteilung des Unternehmens wie auch bei den Mitarbeitern.
Home-Office und die Arbeit unterwegs bergen große Risiken für die Datensicherheit. Foto: Shutterstock/WK1003mike
„Für E-Mail ist die Präsi mal wieder zu groß, hier der Link zum PPT in meiner Dropbox.“ Mal ehrlich: Wenn diese Mail von der Absender-Adresse eines Kollegen kommt, wer würde dem Impuls widerstehen, auf den Link zu klicken? Entpuppt sie sich dann als getarnter Angriff eines Cyberkriminellen, ist der Schaden längst angerichtet.
Gerade die durch Corona geförderte Arbeit im Home-Office, aber auch das mobile Arbeiten an anderen Orten außerhalb der gesicherten IT-Infrastruktur des Unternehmens birgt für die IT-Sicherheit große Gefahren. Informationstechnologie-Abteilungen laufen zurzeit auf Hochtouren, um die Notebooks ihrer Mitarbeiter auch dann zu sichern, wenn diese am heimischen Küchen- oder Couchtisch arbeiten und den Kontakt zum Internet über das heimische WLAN herstellen. Gerade zu Hause ist die Versuchung oft groß, Firmen-Systeme und privat genutzte Lösungen zu vermischen. „Mitarbeiter sollten darauf achten, nur den zugelassenen Rechner und nur die freigegebenen Zugänge zu nutzen“, rät Ingo Legler, Experte für Informationssicherheit bei DEKRA, und warnt: „Selbst wenn etwas anderes funktioniert und viel einfacher ist – für den Hacker ist es dann nämlich auch einfacher.“
Mitarbeiter sensibilisieren
Für Beschäftigte im Home-Office komme dem Einhalten von Mindeststandards der IT-Sicherheit essenzielle Bedeutung zu. Da kann sich schon der heimische Arbeitsplatz selbst als problematisch erweisen. Der Couchtisch, an dem der Rest der Familie spielt oder fernsieht, lässt nicht nur die Grundanforderungen an Ergonomie vermissen – sondern auch die an die IT-Sicherheit. „Mindestens sollten sich Home-Office-User angewöhnen, ihren Computer grundsätzlich zu sperren, wenn sie ihn verlassen“, rät IT-Experte Legler. Dazu dient die Tastenkombination Windows-Taste plus L oder der „Klammergriff“ STRG+ALT+ENTF.
Ingo Legler, DEKRA IT-Sicherheitsexperte. Foto: Daniel Hoffknecht/DEKRA
Ingo Legler hat eine ganze Reihe weiterer Sicherheitstipps, die Mitarbeiter im Home-Office oder Mobile-Office beherzigen sollten. Doch sein Rat geht noch weiter. Denn Bedrohungen der IT-Sicherheit haben nicht nur eine technische Ebene. „Bei der Datensicherheit ist der Mensch das größte Einfallstor für Cyberkriminelle, das auch Technik nicht zuverlässig verschließen kann“, so der Manager. Er spricht die Gefahr des sogenannten Social Engineerings an. Längst gehört es zu den überaus erfolgreichen Angriffstechniken von Cyberkriminellen, zur Umgehung von Sicherheitsmechanismen menschliche Schwächen und kollegiale Hilfsbereitschaft auszunutzen. Der eingangs genannte E-Mail-Text ist ein Beispiel für solche Techniken. Ein anderes: Wie würden Sie auf den folgenden Anruf reagieren? „Hallo, hier ist Schmidt von der IT-Abteilung. Wegen der Home-Office-Regelungen stellen wir auf stärkere Passwörter um. Ich richte das für Sie ein. Dazu benötige ich Ihr bisheriges Passwort, ich generiere damit dann gleich Ihr neues und gebe es Ihnen durch.“ Sicherheitsbewusste Nutzer ahnen: Mit dem Verraten des bisherigen Passwortes ist der Sicherheits-GAU Realität. Während etwa der Lockvogel den Mitarbeiter noch einige Minuten am Telefon beschäftigt, kann sich sein Komplize einen Schreibtisch weiter ungestört ins Firmennetz einwählen.
„Der Mensch ist das größte Einfallstor – aber er kann auch das größte Bollwerk sein. Wenn er aufmerksam ist und weiß, was er tut“, resümiert DEKRA Sicherheitsexperte Ingo Legler. Deshalb sei es gerade in der aktuellen Situation auch entscheidend, dass Unternehmen neben Richtlinien und technischen Sicherungsmaßnahmen ihre Mitarbeiter für die Risiken sensibilisieren und entsprechende IT-Sicherheits-Trainings auffrischen. „Vorsicht etwa bei neuen Bekanntschaften, die ein großes Interesse an Ihrer Arbeit zeigen“, unterstreicht Ingo Legler einen wichtigen Inhalt aus solchen Schulungen. „Je länger das letzte Training zurückliegt, umso mehr nimmt das Bewusstsein der Mitarbeiter für IT-Sicherheit rapide ab“, weiß Legler. „Arbeitgeber müssen deshalb schulen, schulen, schulen. Awareness ist das A und O.“
Sicherheits-Tipps für Home-Office-User
• Lassen Sie gesunde Skepsis walten – gegenüber E-Mails, aber auch gegenüber Anrufen vermeintlicher Kollegen, die Sie am Telefon nicht erkennen.
• Lassen Sie alles so wie vom Firmensupport eingestellt und führen Sie Änderungen nur nach Rücksprache mit dem IT-Support durch – auch wenn Sie „wissen, wie’s geht“.
• Transportieren Sie Daten nie auf nicht zugelassenen Medien (wie USB-Stick, HDD, SSD) oder mit Hilfe von Cloud-Services (Dropbox, One Drive, Amazon Drive, iCloud). USB-Sticks unbekannter Herkunft, die zum Beispiel auf Tagungen ausliegen, nicht ungeprüft an den Rechner anschließen.
• Passwörter müssen sicher aufbewahrt werden – am besten im Kopf. Besteht der Verdacht, dass eines geknackt wurde, in Abstimmung mit dem IT-Support sofort ändern.
• Vorsicht bei E-Mails unbekannter Herkunft. Fragen Sie sich vor allem bei nicht alltäglichen Mails immer: Bin ich dort Kunde? Habe ich in letzter Zeit etwas gekauft oder Kontakt gehabt? Was könnte der Absender mit den Daten von mir anfangen? Im Zweifel: besser Hilfe beim IT-Support holen.
• Am sichersten ist es, E-Mails in Plain Text anzuzeigen – also unformatiert im reinen Textformat. Das ist nicht so bunt, zeigt aber verräterische Links oder untergeschummelte HTML-Codes, die im Hintergrund auf eine gefährliche Seite führen oder Sicherheitsmechanismen aushebeln.
• Bei der Prüfung von Internetadressen diese immer von rechts nach links lesen: Die Webadresse https://amazon.payments.invoice.billig.panzerknacker.en verweist nicht etwa auf eine Seite von Amazon, sondern auf eine (erfundene) Seite der Panzerknacker in Entenhausen.
