14.11.2020 | Datenschutz & IT | ID: 1076827

Home-Office und IT-Sicherheit: Neue Chancen, aber auch Gefahren

Árpád Geréd

Home-Office ist seit dem Lockdown fester Bestandteil des Berufsalltags. Doch diese Arbeitsform bietet auch Cyberkriminellen neue Angriffsmöglichkeiten. Die Methoden werden immer ausgefeilter und damit steigen die Anforderungen an die IT-Sicherheit.

„Homeoffice“ oder „Telearbeit“ genannt (nicht zu verwechseln mit „Heimarbeit, worunter der Gesetzgeber etwas anderes versteht) hatte in Österreich eine eigenartige Entwicklung. Lange Zeit sowohl von Dienstgebervertretern („Zu Hause geht nichts weiter“), als auch Dienstnehmervertretern („Ein Zwang, ständig erreichbar zu sein“) heruntergespielt bis verteufelt, hat es sich in den letzten Jahren in größeren und zunehmend auch in mittleren Unternehmen als legitime Arbeitsweise etabliert. Wenn auch primär als Mittel zum Zweck der Arbeitszeitflexibilisierung und in der Regel nur für einzelne Mitarbeiter.

Homeoffice und COVID-19

Mit dem Lockdown wurde Homeoffice plötzlich Realität für die allermeisten Dienstnehmer und Dienstgeber und von der Ausnahme zur Regel. Und auch im Anschluss ist Homeoffice Teil des Alltags geblieben, da viele Unternehmen nach wie vor, aus COVID-19-Präventionsgründen, eine fixe Anzahl an Homeoffice-Tagen pro Woche und manche, vor allem Internationale Unternehmen, sogar bis ins Jahr 2021 ausschließlich Homeoffice vorsehen.

Dies trotz aller rechtlichen Unsicherheiten und Erschwernisse. Denn gesetzliche Regeln zum Homeoffice, zB Kostentragungsgrundsätze, gibt es bis heute nicht. Die Sozialpartner sollen voraussichtlich im März 2021 Empfehlungen für gesetzliche Regelungen präsentieren. Auch der Unfallversicherungsschutz war ursprünglich reduziert. Während nämlich im Büro auch zB Unfälle in den Pausen als „im Zusammenhang mit der versicherten Beschäftigung stehend“ versichert sind, war das zu Hause nicht der Fall. Umso wichtiger war daher die genaue Festlegung des Arbeitsplatzes in der Wohnung. Zumindest dieses Manko ist vorerst bis März 2021 behoben.

IT-Sicherheit im Homeoffice

Doch neben der organisatorischen und (arbeits-)rechtlichen Seite hat Homeoffice auch einen wichtigen IT-Sicherheits-Aspekt. Denn wo Dienstnehmer bisher gewöhnlicher Weise physisch wie technisch in der Infrastruktur des Dienstgebers gearbeitet haben, auf den vom Dienstgeber eingerichteten Geräten und hinter einer Firewall, arbeiten sie im Homeoffice teils auf eigenen, teils auf fremden Geräten, teils offline, teils online und mit den verschiedensten Systemen.

Hinzu kommt, dass aufgrund der neuen Situation, bei der oft große Teile der Belegschaft darauf angewiesen ist, ständig von außen auf die Systeme des Unternehmens zugreifen zu können, Ausfallssicherheit signifikant an Bedeutung zugenommen hat. Dies haben auch Cyberkriminelle erkannt und es ist daher kein Zufall, dass Distributed-Denial-of-Service (DDoS) Angriffe, mit denen Server in die Knie gezwungen oder Internetverbindungen überlastet werden sollen, seit März 2020 stark zugenommen haben. Natürlich in Verbindung mit Zahlungsaufforderungen, um diese abzustellen. Zugleich haben Angriffe auf das Windows-Remote-Desktop-Protokoll (RDP), also auf die (ungeschützte) Verbindung zwischen dem Gerät im Homeoffice und dem Server, um 127 % zugenommen.

Ein weiterer Aspekt, den man nicht vernachlässigen darf, ist der psychische. Die COVID-19-Pandemie erzeugt nicht nur Unsicherheit, sondern auch das Bedürfnis nach mehr Informationen. Ein Umstand, den Cyberkriminelle insbesondere zu Beginn der Pandemie, mit passenden E-Mails ausgenutzt hatten. Mitarbeiter im Homeoffice sind aber auch allgemein einer höheren Gefahr durch manipulierte E-Mails ausgesetzt. Dies einerseits durch mehr Ablenkung im Homeoffice (insbesondere, wenn Partner und Kinder auch von zu Hause Arbeiten müssen), andererseits aber auch durch die mangelnde Möglichkeit, Kollegen kurz zu mehr oder minder verdächtigen E-Mails zu befragen, welche diese angeblich geschickt haben. Ziel solcher E-Mails ist es, über diese Schadcode zunächst auf den PC des Mitarbeiters und dann in die Systeme des Unternehmens einzuschleusen. Besonders brisant dabei: Immer öfter ist beabsichtigt, mit einer kombinierten Erpressungstaktik mehrfach „Lösegeld“ zu verlangen. So kopieren Cyberkriminelle mittlerweile, nachdem sie Zugriff auf die Systeme des Unternehmens erlangt haben, zunehmend die als sensibel angesehenen Daten des Unternehmens auf die eigenen Geräte. Danach werden diese Daten verschlüsselt und von Unternehmen ein Lösegeld verlangt, das sich nach der Unternehmensgröße und dem angenommenen Wert der Daten richtet. Später wird gedroht, die kopierten Daten zu veröffentlichen, sofern nicht erneut gezahlt wird.

Eine interessante Zusammenfassung der aktuellen IT-Sicherheitslage hat das deutsche Bundeskriminalamt mit seiner Publikation „Cybercrime in Zeiten der Corona-Pandemie“ am 30.09.2020 herausgegeben (https://www.bka.de/SharedDocs/Downloads/DE/Publikationen/JahresberichteUndLagebilder/Cybercrime/cybercrimeSonderauswertungCorona2019.html?nn=28110).

Best Practices für mehr IT-Sicherheit

Standen zu Beginn der COVID-19-Pandemie noch verstärkt kritische Infrastrukturen, insbesondere Gesundheitseinrichtungen im Fokus der Cyberkriminellen, weitet sich deren Tätigkeitsfeld nun mehr und mehr aus. Die gute Nachricht ist, dass sich Unternehmen bereits seit 9 Monaten, manche sogar schon länger, mit diesen Problemen befassen mussten und es daher für all diese Herausforderungen Lösungen oder zumindest „Best Practices“ gibt.

• Ausfallssicherheit erhöhen:
  Je mehr Mitarbeiter im Homeoffice arbeiten, umso essenzieller ist es, die Verfügbarkeit der eigenen Server zu gewährleisten. Redundanzen von zB Geräten und Internetleitungen sind die klassischen Maßnahmen. Heutzutage empfiehlt es sich aber auch, in DDoS-Schutztechnologie zu investieren. Und natürlich muss auch sichergestellt sein, dass die Disaster-Recovery-Pläne aktuell sind und wirklich kurzfristig umgesetzt werden können. Im Falle des Falles.

• Zugriff nur über VPN und Zweifaktorauthentifizierung:
  Auch wenn RDP für einen Fernzugriff auf den Unternehmensserver genügt, so ist diese Verbindung ungeschützt. Abhilfe schafft die Verwendung einer Virtual Private Network-Lösung (VPN). Diese kann man, je nach Anbieter, mit einer Zweifaktorauthentifizierung kombinieren, sodass auch bei Ausspähen der Zugangsdaten Angreifer nicht einfach auf die Unternehmenssysteme zugreifen können.

• Unternehmensgeräte für alle Mitarbeiter:
  Auch wenn es günstiger und bequemer ist (und während des Lockdowns im März oft erforderlich war), bereits bei den Mitarbeitern vorhandene Geräte für den Fernzugriff auf das Büro zu verwenden, so stellen diese doch ein Sicherheitsrisiko dar, wie immer, wenn es um „Bring your own device“ (BYOD) geht. Denn private Geräte müssen immer auch die private Nutzung ermöglichen und können daher niemals so gut abgesichert werden, wie unternehmenseigene.

• Offline-Nutzung ermöglichen:
  Mit ordnungsgemäß abgesicherten unternehmenseigenen Geräten kann über Installation der entsprechenden Software auch die Möglichkeit geschaffen werden, dass Mitarbeiter nicht ständig auf dem Unternehmensserver zugreifen müssen, sondern auch lokal am Gerät arbeiten können. Das schont nicht nur Ressourcen, insbesondere die Bandbreite, sondern schafft auch zusätzliche Ausfallssicherheit.

• Schulung und Unterstützung der Mitarbeiter:
  Ein wesentlicher Faktor in jedem IT-Sicherheitskonzept ist der Mensch. Cyberkriminelle versuchen besonders Mitarbeiter im Homeoffice über geschicktes Social Engineering dazu zu verleiten, manipulierte Dateien und Links von angeblich namhaften Institutionen, oder von Vorgesetzten oder Kollegen stammende E-Mails zu öffnen. Dagegen schützen eine entsprechende Sensibilisierung und Schulung der Mitarbeiter. Als besonders hilfreich hat sich erwiesen, wenn die Ressourcen dies zulassen, den IT-Support auch auf solche Fälle auszudehnen. Mitarbeiter sollen daher nicht nur anrufen, wenn es technische Probleme gibt, sondern auch, wenn sie sich bezüglich einzelner E-Mails unsicher sind. Alternativ helfen auch kurze Kommunikationswege und die Möglichkeit, bei Vorgesetzten und Kollegen kurzfristig nachzufragen, ob eine Nachricht wirklich von ihnen stammt.