· 

IT-Sicherheit im Homeoffice

1. Einführung

Auch im Homeoffice darf die IT-Sicherheit nicht vernachlässigt werden. Man sollte als Mitarbeiter hierbei sogar noch größere Vorsicht als wenn man ganz normal vor Ort im Unternehmen arbeitet. Im Büro arbeitet man nämlich an Rechnern, die vom Unternehmen zur Verfügung gestellt und aufgesetzt wurden. Zudem ist die Hemmschwelle, dort privat im Internet zu surfen und sich so potentiell unerkannt Malware auf den Rechner zu laden, weitaus höher als auf den eigenen Rechnern. 

Das ist nur eine von vielen Gefahren, die im Homeoffice auf einen lauern. Deswegen ist es wichtig, sich neben meinen Tipps zur generellen Arbeit im Homeoffice, auch mit IT-Sicherheitsthemen zu beschäftigen, falls es der verantwortliche Informationssicherheitsbeauftragte (ISB) noch nicht getan haben sollte. 


2. Angriffstechniken

Voraussetzung für Homeoffice ist natürlich, dass die entsprechende Infrastruktur im Vorfeld bereits geschaffen wurde, d. h. Mitarbeiter sollten mit entsprechenden Geräten wie Laptops, Diensthandys etc. ausgestattet und mit dem Betreten des "digitalen Arbeitsplatzes" vertraut sein. Dazu zählen insbesondere die Verwendung von VPNs und die Einwahl in Videokonferenzen.

2.1 Infektion durch Malware

Außerdem muss in einem Strategiepapier oder ähnlichem geklärt werden, welche Geräte für das Arbeiten von zu Hause aus genutzt werden dürfen. Diese Frage ist so offensichtlich, dass man sie leicht übersieht, doch sie kann unter Umständen kritisch für das Überleben des Unternehmens sein. Meiner Erfahrung nach sind viele Mitarbeiter dazu bereit, ihre eigenen Geräte für die Arbeit zu verwenden. Bring-Your-Own-Device (BYOD) lautet hier das Stichwort. Allerdings verliert der Arbeitgeber dadurch die Kontrolle über das, was auf den Geräten passiert, sofern es kein ausgeklügeltes BYOD-Konzept gibt. Dadurch riskiert man, dass Mitarbeiter mit Rechnern arbeiten, die durch Malware und Viren infiziert sind, die sie sich beim privaten Surfen eingefangen haben. Natürlich besteht diese Gefahr auch bei Firmengeräten, doch die Hemmschwelle für privates Surfen ist (wie schon erwähnt) hier weitaus höher und ggf. wurde durch kurzfristige Homeoffice-Regelungen diese potentielle Sicherheitslücke nicht bedacht. Vernachlässigt man die Sicherheit der Arbeitsgeräte, riskiert man nicht nur den Diebstahl von personenbezogenen Daten und Firmengeheimnissen, sondern auch das Infiltrieren der IT-Systeme, was bei kritischen Infrastrukturen (wie etwa Krankenhäusern) Menschenleben kosten kann. Eine Einwahl von einem Privatrechner aus ist nur nach umfangreichen Malware-Scans zu empfehlen!

Besonders kritisch sind bspw. Keylogger, die man sehr leicht implementieren kann. Selbst dann, wenn du dich über eine gesicherte Verbindung ins Unternehmen einwählst, können deine Tastatureingaben mitgeschnitten und später ausgewertet werden. Benutzernamen, Passwörter, geschäftliche E-Mails ... all das und noch vieles mehr kann der Angreifer im Klartext sehen. Da hilft die sicherste Verbindung nichts, da (mindestens) einer der beiden Kommunikationspartner kompromittiert ist. 

Zudem könnte auf dem verwendeten Rechner auch ein Schadprogramm laufen, das Mikrofone abhört oder periodisch Screenshots erstellt und diese an den Angreifer sendet. Dadurch kann in die Softwarelandschaft des Unternehmens geschaut werden. Wenn man z. B. weiß, welche Microsoft-Produkte oder Softwarelösungen von anderen Herstellern verwendet werden, kann man gezielt nach Exploits suchen, die dann wiederum Schwachstellen ausnutzen. Wenn das Mikrofon abgehört wird, können Team-Meetings und quasi alle sprachbasierten Kommunikationen mit Kollegen belauscht werden.

Wenn man zusätzlich seine Smartphones, Smartwatches und alle anderen smarten Geräte, die man sonst noch so besitzt, mit den Arbeitsgeräten koppelt, lassen sich umfangreiche Profile von Mitarbeitern erstellen, die Angreifer dazu nutzen können, um gezielt Personen abzuwerben oder sie für die eigenen Zwecke zu instrumentalisieren.

Es gibt eine Vielzahl weiterer Angriffe, doch du siehst bereits, in welche Richtung die potentiellen Schadprogramme abzielen: Daten ausspähen. In meinem Artikel zu den 5 Phasen eines Hacking-Angriffs habe ich beschrieben, wie Hacker vorgehen. Die Zeit im Homeoffice ist eine sehr gute Gelegenheit, um alle Phasen, also die Reconnaissance, das Scanning, Gaining Access, Maintaining Access und Covering Tracks zu durchlaufen. Es kann sein, dass die Angreifer erstmal nur eindringen und sich die Übernahme des Unternehmens bis für die Zeit nach Corona aufheben. Deshalb sollte nach der Rückkehr ins "echte" Office ein sehr sorgfältiger Scan der IT-Systeme stattfinden und im Internet nach potentiellen Leaks gesucht werden.

2.2 Social Engineering

Gerade in Zeiten großer Unsicherheit sind Menschen anfällig für Social Engineering, da die Über- oder Unterforderung in Quarantäne die natürlichen Abwehrmechanismen der Psyche herunterfahren. Man sollte tunlichst davon absehen und seine Mitmenschen davor warnen, Anhänge mit angeblichen Informationen zum Corona-Virus zu öffnen. Phishing-Angriffe sind in Zeiten großer Unsicherheit sehr effektiv. Die öffentlichen Stellen versenden keine E-Mails an Privatpersonen und schon gar nicht mit der Aufforderung, Anhänge zu öffnen. Wenn solche Maßnahmen ergriffen werden sollten, dann wird das über die öffentlichen Stellen kommuniziert. Bis dahin sollte man unbedingt Vorsicht walten lassen!

Da dieses Thema für die gesamte Bevölkerung relevant ist, können Angreifer die aktuelle Unsicherheit ausnutzen, um Menschen dazu zu verleiten, Anhänge mit angeblichen Handlungsanweisungen zu öffnen oder nicht für die Öffentlichkeit bestimmte Informationen preiszugeben. Da überall die Dringlichkeit konsequenter Maßnahmen beschrieben wird, lassen sich leicht Stories fingieren, die den Eindruck erwecken, es handele sich bei Phishing-Mails um seriöse Mitteilungen offizieller Stellen. Übliche Vorwände für derartige Mails betreffen nur selten einen sehr großen Teil der Bevölkerung, wodurch breit gestreute Corona-Mails schon fast zum Spear-Phishing werden.

Auch fernab von Corona ist Social Engineering im Homeoffice viel leichter als am Arbeitsplatz möglich. Da man auf dem Firmengelände für gewöhnlich nur wenige Ausreden findet, um mit den Targets ins Gespräch zu kommen, gibt es zahlreiche Kontaktpunkte im Homeoffice. Man könnte sich als Postbote, Handwerker, Lieferdienst usw. ausgeben und so kreative Wege finden, um an Informationen zu kommen oder Personen dazu zu verleiten, getarnte Überwachungsprogramme zu installieren oder infizierte USB-Sticks in den Rechner zu stecken. Ein Büro abzuhören ist weitaus schwieriger als eine Wohnung, wenn man einen triftigen Grund hat, diese zu betreten und mit entsprechenden Spionagegeräten auszustatten.