In 75 Prozent der Unternehmen in Deutschland ist die remote-Arbeit seit März 2020 ein Bestandteil. Ob an einzelnen Tagen, vorübergehend oder dauerhaft – das mobile Arbeiten gehört für viele inzwischen zum Arbeitsleben dazu. Das bringt zahlreiche Vorteile mit sich, für alle Beteiligten. Aber es erhöht auch die Möglichkeiten für Cyber-Kriminalität.
Einer Umfrage des TÜV Süd zufolge sind lediglich 39 Prozent der im Home Office Tätigen mit einer sicheren Infrastruktur und einer VPN-Leitung ausgestattet.
Bei 19 weiteren Prozent ist das nur überwiegend der Fall und bei 9 Prozent der Unternehmen arbeiten die Angestellten sogar ohne sicheren VPN-Zugang oder an privaten Endgeräten.
In jedem vierten Unternehmen finden keine oder kaum Schulungen zum Thema Cybersicherheit statt.
Anders ausgedrückt: Nur in zwei von fünf Unternehmen wird IT-Sicherheit im Home Office wirklich gelebt.
Wenn nur zwei von fünf Unternehmen eine gesicherte IT-Infrastruktur aufweisen, etwa mit Hilfe eines virtual-private-Networks (VPN-Zugang), bleiben Cyberkriminellen enorm viele Unternehmen, um ihr Unwesen zu treiben. Dazu gehören etwa Phishing-Mails, Malware oder CEO-Fraud. Gehört Ihr Unternehmen auch dazu?
Nicht nur eine Frage der Technik
IT-Sicherheit ist nicht nur eine Frage der technologischen Absicherung. Natürlich sind die richtige Software, eine gesicherte VPN-Leitung und regelmäßige Updates erforderlich, aber auch die Nutzer:innen tragen maßgeblich zur Sicherheit oder der Lücke in dieser bei.
Wir fassen Ihnen daher hier die wichtigsten Punkte zusammen, so dass Sie auch im Home Office gut geschützt sind.
Des Cyberkriminellen liebstes Spielzeug: Phishing Mails
Eine Phishing-Mail ist eine Nachricht, über die die Kriminellen in das System des Empfängers eindringen wollen. Ziel ist es, an sensible Daten zu kommen, um Geld oder gar die gesamte Identität stehlen zu können.
Dabei werden die Vorgehensweisen immer perfider. Konnte man vor einigen Jahren derartige Nachrichten noch schnell und einfach identifizieren, sind diese heutzutage zum Teil hochprofessionell vorbereitet. Selbst als vermeintliche Arbeitsanweisung aus dem eigenen Unternehmen können sie getarnt sein.
Vielleicht weisen sie auch eine unbekannte Absenderadresse oder einen Ihnen seltsam vorkommenden Betreff auf und sind dadurch leichter zu erkennen.
Eines aber ist allen Phishing Mails gemein: Sie enthalten eine konkrete Handlungsaufforderung.
In jeder dieser schadhaften Nachrichten befinden sich Links oder Dateien, die geöffnet werden sollen. In manchen sollen direkt Daten eingegeben werden oder es wird zur Zahlung aufgefordert. Hinzu kommt häufig eine kurzfristige Deadline, gerne wird auch mit negativen Konsequenzen bei Nichtbeachtung gedroht.
Daher:
- Haben Sie ein komisches Gefühl bei einer empfangenen Nachricht, dann prüfen Sie sie genau, bevor Sie der Handlungsaufforderung nachkommen.
- Checken Sie mit dem Mouseover den Link und achten Sie auf Kleinigkeiten wie die Endungen oder Dreher in den Namen.
- Handelt es sich um eine vermeintlich interne Nachricht, die Ihnen seltsam vorkommt, fragen Sie kurz telefonisch nach.
- Achten Sie auf die Absenderadresse – ist das wirklich die Ihnen bekannte oder wurde hier geschummelt?
- Werden Sie gebeten, sich in Ihr Konto einzuloggen und dort etwas zu bestätigen, dann rufen Sie dieses Konto über den Browser direkt auf, ohne den Link in der Nachricht zu nutzen.
- Aktivieren Sie Ihren Spamfilter und installieren Sie einen Virenschutz auf Ihrem Gerät.
- Angehängte zip-Dateien sollten Sie ebenso wenig öffnen wie Word- oder Excel-Dokumente. (Bitten Sie notfalls darum, Ihnen die Dokumente als PDF zu senden.)
Remote sicher arbeiten – Zugang sichern
Oft werden wir gefragt, was denn der Unterschied zwischen dem heimischen WLAN und dem des Unternehmens sei.
Kurz gesagt: Der größte Unterschied liegt in der Verschlüsselung.
Während im Unternehmen jeder Zugang einzeln geschützt ist, somit auch nur jeweils ein Gerät angegriffen werden kann, ist es im Heimnetzwerk gang und gebe, dass alle Geräte auf das gleiche Passwort zugreifen. Wird also eines der Geräte gehackt, kann die Schadware auf alle, das gleiche Passwort nutzende, Geräte zugreifen.
Daher:
- Vermeiden Sie die veralteten Verschlüsselungen WPA-TKIP und WEP.
- Nutzen Sie WPA2 oder besser noch WPA3.
- Vergeben Sie ein sicheres Passwort mit mindestens 20 Zeichen und am besten keine richtigen Wörter, sondern Zahlen- und Buchstabenkombinationen.
- Ändern Sie die Verschlüsselung Ihres Routers über LAN, nicht per WLAN.
Last but alles andere als least: Richten Sie schnellstmöglich eine Enterprise Verschlüsselung mit gültigem Zertifikat gegen den genutzten Anmeldedienst (meist Active Directory) ein.
Remote sicher arbeiten – sichere Datenübertragung
Weiterhin sollten Sie dafür Sorge tragen, dass Ihre Nachrichten während der Übertragung verschlüsselt sind. Das bedeutet, dass Dritte diese nicht mitlesen und so keine enthaltenen, mitunter vertraulichen Daten abfangen können.
Bei einer verschlüsselten Übertragung werden die Inhalte als Datenpakete abgeschickt und erst beim Empfänger wieder entschlüsselt.
Die einfachste Möglichkeit, aus dem Home Office sicher auf die Daten des Unternehmens zugreifen zu können, ist die VPN-Leitung.
Bei einem solchen Virtual Privat Network (VPN) handelt es sich um ein Netzwerk, mit dem sich Teilnehmer an unterschiedlichen Standorten miteinander verbinden können. Sie müssen dafür nicht via LAN-Kabel oder WLAN miteinander kommunizieren. Stattdessen werden die Daten zwischen dem Endgerät im Home Office und dem Gateway im Firmennetz durch einen IP-Tunnel verschlüsselt übertragen. Ein Abfangen dieser Daten ist so gut wie unmöglich.
Wenn’s mit der Sicherheit nicht so funktioniert hat
Sollten Sie doch auf eine Phishing-Mail hereingefallen oder Daten ausgelesen worden sein, heißt es, schnell zu handeln.
- Trennen Sie das betroffene Gerät umgehend vom Netz und fahren Sie es herunter. Wenn möglich ändern Sie, von einem Gerät außerhalb dieses Netzwerkes, Ihre sensiblen Daten wie Login- und PIN-Informationen zu Konten und Accounts und beobachten Sie verdächtige Aktivitäten und unautorisierte Login-Versuche.
- Informieren Sie ebenfalls umgehend Ihre IT-Abteilung. Diese werden Ihnen weitere Anweisungen geben, was zu tun ist. Sind die Kollegen nicht zu erreichen oder handelt es sich dabei um einen externen Dienstleister, wenden Sie sich an Ihre Führungskraft.
- Wenn es auch unangenehm sein mag, informieren Sie Ihre Geschäftskontakte, um diese zu schützen.
Gut zu wissen:
In der Regel kommt für Schäden, die aus einem unwissentlichen Kontakt mit Malware stammen, Ihre private Haftpflichtversicherung auf. Prüfen Sie jedoch, ob diese auch bei Cyberkriminalität Schäden an Dritten übernimmt. Zudem kann eine Rechtschutzversicherung von Vorteil sein.
Wenn Sie Unterstützung bei der Einrichtung einer sicheren Verbindung für Ihr Unternehmen benötigen, lassen Sie uns gerne darüber sprechen.