Die Zukunft der digitalen Signatur: Von der Signaturkarte zur Fernsignatur
Alexander Marschall
Seit 2010 müssen die Akteure der Entsorgungswirtschaft ein elektronisches Signaturverfahren einsetzen. ...
Zum BeitragHomeoffice ist für Cyberkriminelle das gefundene Fressen, denn der leichtfertige Umgang mit E-Mail und Internet bietet ihnen oft Einfallsmöglichkeiten so groß wie Scheunentore. Cyber-Resilienz braucht daher klare Verhaltensregeln, Awareness Building und entsprechende Schulungen.
Wie Kriminalstatistiken zeigen, sind Einbrüche in Coronazeiten mit einem Großteil der Angestellten im Homeoffice erfreulicherweise zurückgegangen. Cyberkriminalität hat gleichzeitig aber Hochkonjunktur, was auch daran liegt, dass die Menschen daheim oft leichtsinniger mit der IT umgehen. Teilweise liegt es laut einem Arbeitssicherheitsreport der Prüfungsgesellschaft DEKRA von 2021 aber auch an unzureichender IT- und Arbeitsausstattung. Die Täter werden dabei immer erfindungsreicher. CEO-Fraud oder Cheftrick, vergleichbar mit dem Enkeltrick, nur wirtschaftlich wesentlich gefährlicher, ist als Mischung aus Phishing und Social Engineering eine noch relativ neue Masche, mit der Cyberkriminelle so manches Unternehmen schon um Millionenbeträge „erleichtert“ haben.
Nicht selten fallen Mitarbeitende auf solche Maschen herein, weil es dafür auch an dem nötigen Bewusstsein oder neudeutsch der Awareness fehlt. Viele machen sich im Homeoffice offenbar auch zu wenig Gedanken darüber, welche Gefahren von vermeintlich für die Arbeit nützlichen Softwareanwendungen aus dem Internet ausgehen können. Auch private Hardware, ohne die es im ersten Corona-Lockdown bei vielen Unternehmen allerdings gar nicht gegangen wäre, birgt Sicherheitsrisiken.
Dabei sind die durchschnittlichen jährlichen Kosten durch Cyberattacken in Deutschland laut einer Hiscox-Studie und Statista von 9.000 auf 72.000 Euro im ersten Coronajahr 2020 sprunghaft angestiegen. 2021 sind sie dann auf knapp 22.000 Euro wieder etwas zurückgegangen, was möglicherweise auch schon auf eine gestiegene Awareness zurückzuführen war.
Cyber-Resilienz (von lateinisch zurück- oder abprallen) sieht aber anders aus. Security Insider definiert Cyber-Resilienz als Fähigkeit, trotz Hindernissen durch Cyberattacken den erwarteten Output zu liefern. Mit Schutzmaßnahmen und Datenwiederherstellung allein sei es da nicht getan, um zu einer robusten Verteidigungsstrategie zu kommen.
Der TÜV-Verband hat Anfang 2022 Forsa mit einer Umfrage zu Homeoffice und Sicherheitslücken bei 1.507 Erwerbstätigen in Deutschland beauftragt und sieht aufgrund der Ergebnisse mangelnde Schulungen und unklare Verhaltensregeln für Mitarbeitende am Heimarbeitsplatz während der Pandemie. Arbeitgeber wären zu wenig auf Cyber-Gefahren im Homeoffice vorbereitet. Fast jede oder jeder Vierte war auch in der fünften Coronawelle im Januar noch ausschließlich im Homeoffice, weitere 21 Prozent wechselten zwischen Homeoffice und Büro hin und her. Die Gefahr von Sicherheitslücken und Hackerangriffen ist dadurch laut Dirk Stenkamp, Präsident des TÜV-Verbands, deutlich gestiegen. „Häufig fehlt es an Schulungen, klaren Verhaltensregeln im Falle eines IT-Angriffs oder an der notwendigen technischen Ausstattung“, sagte Stenkamp anlässlich des Safer Internet Day am 14. Februar 2022.
Das bestätigt auch die Umfrage, denn 14 Prozent der Beschäftigten gaben zu, dass es in ihrem Unternehmen in den zurückliegenden zwei Jahren mindestens einmal zu IT-Sicherheitsvorfällen gekommen ist. Am meisten genannt wurden dabei Phishing- und Ransomware-Attacken. Phishing ist eine reine E-Mail-Masche, Ransomware oder Erpressungssoftware kann sich zum Beispiel auch über den Besuch unsicherer Webseiten einschleichen.
41 Prozent der Befragten sagten übrigens, dass ihnen von Arbeitgeberseite keine Regeln bekannt sind, wie sie sich bei einem IT-Sicherheitsvorfall verhalten sollten. 38 Prozent der im Homeoffice Beschäftigten haben immerhin an einer Schulung zum Thema mobiles Arbeiten teilgenommen, wovon mit jeweils über 80 Prozent der Nennungen Erkennen von Cyberangriffen, Einhaltung von Datenschutz und richtiges Verhalten bei Sicherheitsvorfällen die wichtigsten Inhalte waren.
74 Prozent der Befragten sagten, dass man ihnen eingetrichtert habe, regelmäßig Software-Updates zu installieren, 64 Prozent, dass sie keine privaten USB-Sticks verwenden dürfen. 56 Prozent wissen von Regeln oder einem Verbot, was die private Nutzung von Firmengeräten und Anwendungen angeht. 48 Prozent dürfen offiziell keine privaten Cloud-Dienste über Firmen-Hardware nutzen, 39 Prozent haben sogar das Verbot bekommen, öffentliche WLAN-Netze zu nutzen, die als besonders anfällig für Cyberangriffe gelten. Nur 8 Prozent der Homeoffice-Jobber müssen allerdings Vorgaben befolgen, was die Konfiguration ihrer heimischen Router angeht. Als wichtigste IT-Sicherheitsmaßnahme nannten 69 Prozent der im Homeoffice Tätigen den Einsatz eines VPN-Clients für den sicheren Zugriff zum Netzwerk und den ihnen zur Verfügung stehenden Unternehmensressourcen. 21 Prozent nutzen eine im Internetbrowser integrierte Verschlüsselung, 31 Prozent wussten von bei ihnen installierten Sicherheitsvorkehrungen wie Passwortschutz, Virenscanner und Firewalls.
Der TÜV-Verband hat aus der Umfrage im Januar 2022 eine Reihe von Ratschlägen abgeleitet, wie Unternehmen und Beschäftigte die digitale Sicherheit im Homeoffice verbessern können. Diese sind:
• Privates von Beruflichem trennen, wobei es für den Arbeitgeber sinnvoll sein kann, den Beschäftigten im Homeoffice nicht nur ausschließlich Firmen-Hardware an die Hand zu geben, sondern ihnen auch daheim ein eigenes Firmen-WLAN einzurichten.
• Phishing-Mails erkennen und löschen. Dazu gehört im Verdachtsfall auch, sich die URL einer Mail genau anzuschauen und bei Spam-Mails auf keinen Fall auf die Dateianhänge zu klicken.
• Bei Social Engineering wie dem CEO-Fraud gilt besondere Wachsamkeit und, wie einem deutschen Unternehmen geschehen, im Zweifel vor dem Überweisen größerer Geldbeträge ins Ausland zu fragen, ob der oder die Betreffende tatsächlich dort gestrandet ist.
• Regelmäßig Software-Updates durchführen, um möglichst alle Sicherheitslücken zu schließen.
• Darauf achten, wer an Online-Meetings teilnimmt, im größeren Kreis eventuell auch mit Vorstellungsrunde und Aufforderung, jeweils kurz die Kamera einzuschalten.
• IT-Support beachten und einschalten, wenn es um Fragen der Sicherheit oder zu einem Sicherheitsvorfall kommt.
Social Engineering zielt laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) darauf, „menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst und Respekt vor Autorität“ auszunutzen, um Personen geschickt zu manipulieren und dazu zu verleiten, zum Beispiel Informationen preiszugeben, Überweisungen zu tätigen (sic!) oder Schadsoftware auf
den privaten Geräten oder Firmenrechnern zu installieren. Oft geben sich die Täter:innen als Mitarbeitende von Telekommunikationsunternehmen, Banken oder der Geschäftsleitung aus.
Als Tipps, sich gegen Social Engineering zu rüsten, nennt das BSI den verantwortungsvollen Umgang mit sozialen Medien und dort auf keinen Fall Informationen über den Arbeitgeber oder eigenen Verantwortungsbereich preiszugeben, Passwörter, Konto- und Zugangsdaten nie per Telefon weiterzugeben und bei E-Mails unbekannter Herkunft stets Vorsicht walten zu lassen.
Die Ergebnisse der verschiedenen Studien zeigen: Aufklärung und Awareness Building durch Schulungen oder Trainings sind so wichtig, um den vom BSI sogenannten Faktor Mensch als Unsicherheitsfaktor zu verringern. Das gilt besonders im Homeoffice, wo viele Beschäftigte vielleicht auch etwas sorgloser mit dem ihnen zur Verfügung stehenden Equipment und den Daten umgehen. Abgesehen von den Schulungsangeboten externer Beratungsunternehmen oder Dienstleister sollten die Unternehmen auch klare Regeln für den Umgang mit der IT aufstellen und kommunizieren, welche Folgen Fahrlässigkeit für den Betrieb, das jeweilige Team und die betreffenden Mitarbeitenden haben kann, die sich nicht daran halten.
Quelle Titelbild: Adobe Stock / zenzen