Doch während Remote Work zahlreiche Vorteile bietet, gibt es auch bestimmte Risiken, die im Laufe der Zeit immer deutlicher geworden sind. Insbesondere die Nutzung privater Infrastrukturen für geschäftliche Zwecke erfordert ein Umdenken bei den Sicherheitsbeauftragten.
Dieser Artikel zeigt, wie Unternehmen und Mitarbeiter:innen den Gefahren von Remote Work entgegenwirken können, indem sie Maßnahmen ergreifen, um ein sicheres Arbeitsumfeld zu schaffen und sich vor Cyberangriffen zu schützen.
Der Schutz vor externen Angriffen, insbesondere im Zusammenhang mit dem Internetzugang und der Unternehmens-Cloud, ist von großer Bedeutung. Wenn Sie außerhalb des Büros arbeiten, sollten Sie vermeiden, sich über fremde WLAN-Zugänge und Computer zu verbinden. Hacker können mithilfe von spezieller Software oder unzureichend gesicherten Applikationen eine Platzierung zwischen Ihnen und dem Server einnehmen, um Gespräche mitzulesen oder zu manipulieren. Dadurch können sie auf die IT-Infrastruktur Ihres Unternehmens zugreifen und sensible Daten abgreifen - ein sogenannter "Man-in-the-middle-Angriff".
Auch bei der Remote-Arbeit gilt die Datenschutzgrundverordnung (DSGVO). Personenbezogene Daten müssen unter bestimmten Richtlinien hinsichtlich Verfügbarkeit, Vertraulichkeit und Integrität geschützt werden [6].
Phishing-Mails sind eine der häufigsten Hacker-Attacken. Es kann passieren, dass Mitarbeiter:innen eine Mail öffnen, auf den Anhang klicken und damit in die Falle tappen. Neben dem "klassischen" Abfischen über Mails gibt es auch Smishing (Datenklau über betrügerische SMS) und Vishing (Abfischen von Daten über Telefonate). In der Regel ist nicht der Computer die Schwachstelle, sondern der Mensch. Social-Engineering-Attacken werden eine zunehmende Gefahr für Unternehmen, da sie nicht nur qualitativ besser werden, sondern auch häufiger vorkommen.
USB-Sticks, CDs, USB-Mäuse und Tastaturen stellen ebenfalls ein Problem dar. Hacker können USB-Sticks mit Trojanern verseuchen oder CDs mit bösartigem Code bespielen. USB-Mäuse und Tastaturen können ebenfalls von Hackern genutzt werden, um Schadsoftware in das Firmennetzwerk einzuschleusen. Der Verlust von USB-Sticks mit sensiblen Daten ist nicht nur aufgrund der enthaltenen Daten problematisch, sondern auch aufgrund des Datenschutzgesetzes [2]. Cyberkriminelle verstecken Datenträger beispielsweise in Zeitungen oder platzieren sie gezielt in Coworking-Spaces [4].
Es ist wichtig, sich bewusst zu sein, dass der Mensch oft die Schwachstelle in der IT-Sicherheit darstellt und daher angemessene Sicherheitsmaßnahmen und Schulungen unerlässlich sind, um die IT-Infrastruktur des Unternehmens zu schützen.
1. Sichern Sie Ihre Verbindung
Aktivieren Sie die Firewall und vermeiden Sie unsichere WLAN-Netzwerke. Nutzen Sie stattdessen Ihre mobilen Daten über den Handy-Hotspot oder greifen Sie über das firmeneigene VPN auf das Netzwerk zu.
2. Sichern Sie Ihren VPN-Zugang
Durch starke Passwörter und Multifaktor-Authentifizierung auf dem VPN kann sichergestellt werden, dass noch vor dem Access des Users überprüft wird, ob es sich bei der Anmeldung um die Person handelt, die sie zu sein behauptet. Die Multifaktor-Authentifizierung dient als weitere Sicherheitskomponente für Unternehmen und Mitgestalter:innen. Sie ermöglicht durch das Einsetzen von biometrischen Daten eine angenehme User Experience [4].
3. Nutzen Sie keine privaten Endgeräte
Scheint es, als gäbe es keine andere Möglichkeit, kommunizieren Sie mit Ihrem Unternehmen und finden Sie eine gemeinsame Lösung [8].
4. Setzen Sie Single-Sign-On ein
Durch SSO erhalten Sie in der IT die volle Kontrolle. Zudem wird Ihre Access-Verwaltung vereinfacht. Dadurch erhalten Sie als User ein optimales Nutzererlebnis ohne Verzicht auf Transparenz und Kontrolle in der IT hinsichtlich User Access [4].
5. Beachten Sie die DSGVO, denn diese gilt auch bei Remote Work
Eine besondere Regelung für Remote Work ist nicht bekannt. Dennoch müssen mittels technischer und organisatorischer Maßnahmen, der TOMs, mögliche Gefahren hinsichtlich der Verfügbarkeit, Vertraulichkeit und Integrität (auch von zu Hause oder einem beliebigen anderen Standort aus) in Bezug auf die Verarbeitung von personenbezogenen Daten, vermieden werden.
6. Achten Sie auf Ihr Arbeitsumfeld
Daten sind Betriebsgeheimnisse und müssen geschützt werden. Man mag es nicht glauben, aber manche Menschen hören einfach gerne zu. Sollten Sie also geschäftliche Besprechungen in der Öffentlichkeit abhalten, müssen Sie damit rechnen, dass Ihre Informationen auch nach draußen gelangen. Besser, Sie führen Ihre Meetings eventuell in Ihren eigenen vier Wänden durch. Geeignete Maßnahmen für zu Hause wären beispielsweise eine Sichtschutzfolie und Kopfhörer ohne Bluetooth. Zumindest können Sie so visuell Ihre Daten schützen sowie verhindern, dass Dritte zuhören [6].
7. Gefundene USB-Sticks und CDs nicht benutzen
Werfen Sie gefundene USB-Sticks und CDs anstatt dessen lieber weg. So können Sie sicher eine Cyberattacke umgehen und Ihre Daten bleiben unversehrt [5].
8. Verschlüsseln Sie Ihre USB-Sticks
Damit Sie trotz Verlustes eines USB-Sticks geschützt sind, nutzen Sie eine Verschlüsselung. Eine Möglichkeit wäre beispielsweise eine Laufwerkverschlüsselung oder ein virtuelles Schließfach [2].
9. Fremde Mäuse und Tastaturen sind ein absolutes No-Go
Lassen Sie bestenfalls die Finger von fremden USB-Mäusen und Tastaturen. Diese können hochgradig verseucht sein und einen enormen Schaden im Firmennetzwerk anrichten. Hier gilt immer: Bring your own Device [3]!
10. Lesen Sie lieber zweimal oder fragen Sie nach
Phishing-Gefahren durch vermehrten Mailkontakt: Bilder, Links und Anhänge sollten Sie ohne Prüfung des Absenders keinesfalls öffnen. Dies gilt sowohl bei Mails als auch für Textnachrichten.
Achten Sie auf den Schreibstil und den Absender. Herrscht bei Ihnen eine Sie- oder Du-Kultur? Finden bestimmte Redewendungen, Floskeln oder Formulierungen Anwendung? Wird eine gesonderte Signatur genutzt oder weist diese Besonderheiten auf? Eventuell sendet Ihr:e Chef:in gerne Mails vom Handy, nur dieses Mal nicht? Kommt Ihnen die Mailadresse des Absenders bekannt vor oder sieht diese verändert aus?
Kommunikationswege sollten als Struktur klar definiert und verankert werden. Anstelle einer Mail erhalten Sie nun von Ihrem Chef oder Ihrer Chefin oder von einem Kollegen eine SMS oder WhatsApp-Nachricht? Möglicherweise könnte hier ein Fall von SIM-Swapping vorliegen. Daher sind klare Kommunikationswege enorm wichtig! Sind Sie unsicher, dann fragen Sie nach.
Sorgen Sie im Unternehmen für ausreichend Transparenz, sichere Kommunikationskanäle und klar definierte Prozesse. Erhalten Sie eine Mail von Ihrem Chef oder Ihrer Chefin oder von einem Kollegen oder einer Kollegin und es folgt ein Hinweis, nicht für Rückfragen zur Verfügung zu stehen, baut das bei Ihnen plötzlich viel Druck auf. Durch die Situation im Homeoffice ist oftmals schwer nachvollziehbar, wer wann auf welchem Termin ist. Daher sind klare Strukturen wichtig, damit Mitgestalter:innen sich bei wichtigen Entscheidungen rückversichern können.
Die Verwendung von privaten Endgeräten sollten Sie prinzipiell vermeiden, außer es ist ausdrücklich gewünscht. Bei manchen Unternehmen ist die Nutzung von privaten Endgeräten im Arbeitsvertrag ausdrücklich untersagt. Sollte Ihr Unternehmen die Nutzung genehmigen, müssen die Endgeräte ausreichend geprüft werden.
Seien Sie weiterhin achtsam und fragen Sie bei Unsicherheiten immer nach. Denken Sie daran – Sie sind die Firewall [6]!
Phishing-Attacken sind ein großes Sicherheitsrisiko und es gibt kontrovers diskutierte Methoden, um sie zu verhindern. Eine effektive Methode sind Phishing-Simulationen, die das Bewusstsein der Mitarbeiter:innen für die Bedrohung schärfen können. Allerdings sollten diese Simulationen sorgfältig geplant und vorbereitet werden, um Herausforderungen im Nachgang zu vermeiden. Studien wie "Spear Phishing 2.0: Wie automatisierte Angriffe Organisationen vor neue Herausforderungen stellen" zeigen, dass gezieltes Training zu positiven Verhaltensänderungen führen kann. Zur Sensibilisierung der Mitarbeiter:innen können verschiedene Methoden wie Kurzvideos, E-Learning-Module, Schulungen und Informationsmaterialien eingesetzt werden.
Bei syracom nutzen wir intern verschiedene Maßnahmen zur Sensibilisierung, wie zum Beispiel den Reporter-Button, der in Outlook integriert ist. Mit diesem können mögliche Phishing-Mails erfasst und untersucht werden, um das Bewusstsein und die Fähigkeiten unserer Mitarbeiter:innen im Umgang mit Bedrohungen zu stärken und in der Unternehmenskultur zu verankern.
Zusammenfassend lässt sich sagen, dass Remote Work im Rahmen von New Work viele Vorteile bietet, wie beispielsweise eine erhöhte Flexibilität und eine bessere Work-Life-Balance. Jedoch sollten die möglichen Risiken und Gefahren des Arbeitens von zu Hause aus nicht außer Acht gelassen werden, einschließlich technischer Risiken sowie fehlender Trennung zwischen Arbeit und Privatleben, unzureichenden Arbeitsbedingungen, fehlender sozialer Interaktion und erhöhtem Burnout-Risiko. Es ist daher die Aufgabe der Arbeitgeber, den Remote-Work-Prozess sorgfältig zu planen und zu gestalten, um Mitarbeiter:innen bestmöglich zu unterstützen und Risiken zu minimieren. Eine klare Kommunikation, eine effektive Organisation und ein angemessenes Arbeitsumfeld sind wichtige Faktoren für eine erfolgreiche und nachhaltige Umsetzung von Remote Work. Durch gezielte Unterstützung der Bedürfnisse der Mitarbeiter:innen kann ein produktives, gesundes und zufriedenes Team aufgebaut werden, das auch zukünftig erfolgreich im Remote-Modus arbeiten kann. Wenn Sie den Verdacht haben, Opfer einer Cyberattacke zu sein, sollten Sie umgehend Ihren IT-Support oder die Polizei kontaktieren. Weitere Informationen finden Sie auch unter www.bsi.bund.de im Bereich IT-Sicherheitsvorfall.
Quellen
Dieser Blogpost wurde bisher 2430 mal aufgrufen.
Blogpost teilen
Aktuelle Themen frisch aus dem Kopf. Wir freuen uns diese mit Ihnen zu teilen und zu diskutieren.