Wie Homeoffice-Nutzer und andere Anwender von Hackern attackiert werden – und wie man sich dagegen schützen kann.
Stuttgart - Wer digital arbeitet, lebt gefährlich. Diesen Eindruck vermitteln Schlagzeilen zu Hackerangriffen und Cyberkriminalität, die der Wirtschaft zunehmend Sorgen bereiten und Millionenschäden anrichten – vom Verschlüsselungstrojaner bis zur Industriespionage. Doch wie vermeiden Beschäftigte in Zeiten vermehrter Heimarbeit, zum Sicherheitsrisiko für sich und ihren Arbeitgeber zu werden? Wir klären die wichtigsten Fragen.
Bin ich im Homeoffice gefährdeter für Cyberangriffe als im Büro? Für Jan Schötteldreier, Sicherheitsexperte beim Verein Digitalcourage, ist die Antwort klar: „Ja, weil ich selbst viel mehr Verantwortung für das Arbeitsumfeld und die Technik dort habe.“ Umfragen unter Unternehmen zeigen, dass die Angriffsfläche durch mehr Homeoffice während der Coronapandemie gewachsen ist – denn so werden zahllose heimische Geräte und WLAN-Netze zu potenziellen Einfallstoren. Sebastian Artz, Bereichsleiter Cyber- und Informationssicherheit beim Digitalverband Bitkom, betont jedoch: „Auf einem Arbeitsrechner bin ich zwar tendenziell besser geschützt. Aber auch Firmen sind nicht immer ausreichend gesichert.“
Lesen Sie aus unserem Plus-Angebot: Mangelnde Cybersicherheit im Mittelstand –
Binnen zehn Minuten Gott im Firmennetzwerk
Denn viele Gefahren lauern sowohl zu Hause als auch am Arbeitsplatz. Dazu zählen Phishing-E-Mails (siehe letzte Frage), aber auch unsichere Passwörter. Für Jan Schötteldreier vom Verein Digitalcourage ist das immer noch der Sicherheitsfehler Nummer eins: „Man sollte niemals mehrfach dasselbe Passwort benutzen.“ Sonst sind gleich mehrere Zugänge gefährdet. Wer bei zu vielen Accounts den Überblick verliert, kann einen Passwortmanager benutzen.
Wie kann ich meinen Heimarbeitsplatz absichern?
Für Sebastian Artz gilt: „Das A und O sind Updates, auch auf Privatgeräten: Betriebssystem, Browser, Virenschutz sollten stets aktuell sein, die Firewall eingeschaltet.“ Darüber hinaus empfehlen Experten, einen möglichst ungestörten Heimarbeitsplatz einzurichten und Geräte gegen unbefugten Zugriff zu sperren. Elementar ist auch eine VPN-Verbindung (Virtual Private Network), die alle Verbindungen verschlüsselt ins Netzwerk des Arbeitgebers leitet – und erst von dort ins Internet.
Das heimische WLAN sollte am besten mit einem Passwort geschützt sein, das nicht offen auf der Rückseite des Routers steht. Beide Sicherheitsfachleute raten außerdem, ein getrenntes Netzwerk für Arbeitsgeräte einzurichten. „Das vermeidet das Übergreifen von Schadprogrammen“, erklärt Artz.
Was ist, wenn ich private Geräte für die Arbeit nutzen muss? Sowohl Schötteldreier als auch Artz sehen ein Risiko darin, private Computer oder Smartphones für die Arbeit zu nutzen. „Die Hardware sollte der Arbeitgeber stellen“, betont Schötteldreier. So kann dieser für die nötige Sicherheit sorgen und Software vorgeben. Geht es trotzdem nur mit einem Privatgerät, empfehlen sich – wo möglich – getrennte Benutzerkonten. „Man kann zum Beispiel auch auf Android-Smartphones ein Geschäftsprofil einrichten“, erläutert Schötteldreier. In jedem Fall sind sensible Daten besser auf einem Server des Arbeitgebers aufgehoben als nur auf einem lokalen Computer. Digitalcourage weist aber darauf hin: Aus Datenschutzsicht sollte man sie auch nicht in die private Cloud bei einem US-Konzern hochladen.
Mittels Remote Access vom privaten Computer aus den Dienstrechner fernzusteuern, ist für den Experten von Digitalcourage höchstens eine „Zwischenlösung“. Schötteldreier meint: „Das Gerät, über das ich zugreife, muss vertrauenswürdig sein. Es hilft nichts, wenn sich darauf bereits ein Schadprogramm befindet, das den Bildschirm oder Zugangsdaten mitschneidet.“
Wie kann ich mich vor Phishing-Versuchen schützen? Eines der größten Risiken für Privatnutzer wie Unternehmen ist sogenanntes Phishing. Dabei versuchen Hacker meist via E-Mail, ihre Opfer zum Öffnen eines schädlichen Anhangs zu verleiten oder sie per Link auf eine gefälschte Webseite zu locken – entweder um Schadsoftware einzuschleusen oder um Zugangsdaten abzugreifen.
Lesen Sie aus unserem Plus-Angebot: Cyberangriff in Korntal –
Firma Berger kämpft gegen die globale Hackergruppe
Artz rät: „Man sollte sich fragen: Macht der Kontext und Zeitpunkt der E-Mail Sinn, ist die Quelle vertrauenswürdig? Und brauche ich diesen Anhang gerade tatsächlich?“ Cyberkriminelle machten sich psychologische Schwächen zunutze – zum Beispiel ein großes Informationsbedürfnis während Corona oder das Tief nach der Mittagspause. Für Schötteldreier gilt: keine Panik, gerade bei vermeintlich dringenden Mails. Lieber genau nachschauen: Ist der Absender wirklich richtig? Führt ein Link tatsächlich auf die angegebene Adresse, wenn man mit der Maus über ihn fährt?
Sebastian Artz betont, dass ein Bewusstsein für Phishing durch Schulungen wichtig ist: „Die Mitarbeiter sollten nicht das Gefühl haben, es totschweigen zu müssen, wenn sie auf einen betrügerischen Link geklickt haben.“ Es brauche eine „proaktive Sicherheitskultur“ und gut erreichbare IT-Ansprechpersonen – auch aus dem Homeoffice.
IT-Sicherheit im Homeoffice
Tipps
Weitere Cybersicherheitshinweise für das Homeoffice gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Behörde bietet Checklisten für Angestellte sowie Unternehmen an und ist Anlaufstelle für IT-Sicherheitsvorfälle. Auf der Webseite www.einfachabsichern.de berät das BSI nicht nur zu Sicherheit im Homeoffice, sondern auch zu anderen Online-Aktivitäten.