Cyberangriffe im Homeoffice: Arten und Methoden

Seit Corona arbeiten viele Beschäftigte im Homeoffice und stellen ein zunehmend beliebtes Angriffsziel für Cyberangriffe dar. In diesem Artikel erfahren Sie warum das Homeoffice ein beliebtes Angriffsziel ist, welche Cyberangriffe typisch sind und welche Maßnahmen vor Angriffen im Homeoffice schützen können.

Inhaltsverzeichnis

Warum das Homeoffice ein beliebtes Ziel für Cyberangriffe ist

Bei der Arbeit im Homeoffice sind die Mitarbeiter den größten Teil der Zeit auf sich selbst gestellt. Doch die Risiken für die Datensicherheit sind ungleich größer als im internen Firmennetzwerk. Damit Beschäftigte im Homeoffice Zugriff auf alle benötigten Daten haben, müssen ihre Arbeitsrechner an das Unternehmensnetzwerk angebunden sein, was mit einem gewissen Gefährdungspotential behaftet ist. Selbst eine sichere VPN-Verbindung garantiert nicht, dass die Kompromittierung von Daten und Rechnern ausgeschlossen ist. Unternehmen haben kaum Überblick über die Arbeitsweise und den Arbeitsplatz der remote Arbeitenden und die von ihnen angewendeten Maßnahmen für Datenschutz und Datensicherheit.

Mit der Corona-Krise haben Cyberangriffe auf das Homeoffice laut Bundesamt für Sicherheit in der Informationstechnik (BSI) massiv zugenommen. Die Angreifer machen sich zunutze, dass für viele Unternehmen und ihre Mitarbeiter das Arbeiten von zu Hause noch ungewohnt ist. In der Folge werden Sicherheitsstandards unbewusst missachtet oder unzureichende technische Einstellungen und Maßnahmen ergriffen. Dies erleichtert es Cyberkriminellen, in das IT-Netzwerk des Unternehmens einzudringen, an Daten zu gelangen, Abläufe zu stören oder den Datenverkehr lahmzulegen.

Typische Cyberangriffe im Homeoffice

Durch die Verlagerung vieler Arbeitsplätze in die eigenen vier Wände hat auch die Nutzung von Cloud-Speicherung, Fernwartungen und Fernzugriff-Tools zugenommen. Dies ist kein Problem, wenn hierbei Lösungen verwendet werden, die durch die IT-Abteilung des Unternehmens als sicher eingestuft wurden. Wenn Mitarbeiter im Homeoffice jedoch eigene Systeme und Tools verwenden, dann kann dies gravierende Auswirkungen auf die IT-Security und die Datensicherheit haben. Fehlende Sicherheitsupdates stellen ein weiteres Risiko für die Sicherheit der Daten dar. Laut einer Bitkom-Umfrage haben Cyberangriffe in den Jahren 2018 und 2019 bei 70 Prozent der Unternehmen in Deutschland zu Schäden geführt.

Viele Cyberkriminelle haben sich mittlerweile regelrecht auf Angriffe auf das Homeoffice spezialisiert. Die Methoden reichen von üblichen Ransomware-Attacken bis zu immer neuen Phishing-Varianten. Dabei wird ausgenutzt, dass viele Angestellte zu Hause weniger Austausch mit Kollegen und Vorgesetzten haben. Ungewöhnliche oder auffällige Vorgänge und dubiose E-Mails werden so nicht im „Flurfunk“ diskutiert.

Arten von Schadsoftware und Malware

Den größten Teil der Cyberangriffe nehmen Malware- oder Ransomware-Attacken ein. Dabei wird der arglose Nutzer über einen Link als Köder dazu verleitet, Schadcode auf den PC zu laden. Mit „Malware“ (ein Kunstwort aus „Malicious“ und „Software“) ist jede Art von Schadprogramm gemeint. Das können Viren, Trojaner, Keylogger, Rogueware oder Spyware sein, die die auf dem Rechner gespeicherten Daten ausspioniert. Laut BSI übersteigt die Zahl der Schadprogramme inzwischen die Milliardengrenze. Wie das BSI in seinem „Bericht zur Lage der IT-Sicherheit in Deutschland 2020“ aufführt, sind 117,4 Millionen neue Varianten hinzugekommen bzw. 320.000 neue Schadprogramme pro Tag.

Rogueware lädt man sich über Popups im Internet auf den Computer, die wie das Fenster eines Virenscanners aussehen. Allerdings sind die Virenfunde, die das Programm meldet, frei erfunden. Sie dienen nur dazu, ein angebliches Virenschutzprogramm zu verkaufen.

Trojaner sind Programme, die andere Anwendungen enthalten, als sie vorspiegeln. Meist tarnen sie sich als nützliche Apps, tragen aber Schadcode in sich. Auch im Bereich der Mobilfunk-Apps tritt diese Art Malware häufig auf.

Bei Ransomware handelt es sich meist um einen Verschlüsselungstrojaner, der die Dateien oder Anwendungen des Nutzers unzugänglich verschlüsselt. Für die Entschlüsselung wird dann die Zahlung von Lösegeld („ransom“) verlangt. Ob aber der Schlüssel tatsächlich geliefert wird, ist unsicher.

Keylogger speichern die Tastatureingaben eines Nutzers. So können alle eingegebenen Passwörter, PINs etc. aufgezeichnet und an einen Dritten gesandt werden. Mit den so erbeuteten Daten können Kriminelle in das Unternehmensnetzwerk eindringen und dort Daten kopieren, löschen oder verändern.

Einige Anwendungen wie z.B. Trusted Secure Desktop erkennen Schadsoftware und lassen sich erst gar nicht starten.

Was sind Phishing-Attacken?

Allgemein wird der Versuch, über gefälschte Internetseiten oder Links an Passwörter und andere geheime Daten zu gelangen, als Phishing bezeichnet. Meist werden täuschend echt aussehende E-Mails von Onlinediensten bekannter Firmen oder Banken versandt, um die arglosen Empfänger zu verlocken, auf gefälschten Internetseiten Passwörter oder PINs einzugeben. Die abgefischten Daten können dann für Kontoabbuchungen oder auch für Hackerangriffe verwendet werden.

Mittels Methoden Social Engineering werden beim Phishing Mitarbeiter gezielt angesprochen, um Passwörter oder andere interne Unternehmensdaten zu erbeuten.

Wie funktioniert Social Engineering?

Social Engineering hat sensible Unternehmensdaten wie Passwörter oder Kundendaten zum Ziel. Hierzu werden einzelne Personen gezielt analysiert und angegriffen. Dabei werden die Neugier, das Vertrauen oder die Angst des Opfers ausgenutzt. Das Ziel der Angreifer sind vertrauliche Informationen, um das Unternehmen oder das Opfer direkt zu schädigen. Mit Hilfe von abgegriffenen Passwörtern können Betrüger Datenbanken hacken, das Netzwerk des Unternehmens kompromittieren oder Malware auf Firmenrechnern installieren.

Wie lässt sich der PC im Homeoffice vor Cyberangriffen schützen?

Um ein sicheres Arbeiten im Homeoffice für die Mitarbeiter zu gewährleisten, können geeignete technische und organisatorische Maßnahmen ergriffen werden. Dabei sollten die individuellen Sicherheitsanforderungen, Kosten und Performanz-Kriterien berücksichtigt werden.

Die wichtigsten Maßnahmen sind eine sichere VPN-Verbindung und ein gut gesicherter Remote-Access oder Lösungen wie Trusted Secure Desktop. Darüber hinaus lässt sich über einen Speicher- und Kopierschutz für Dateien die Vervielfältigung von Daten technisch verhindern. Auch ein Schutz gegen die Ausführung von Schadsoftware ist nützlich. Falls personenbezogene Daten von den Mitarbeitern im Homeoffice verarbeitet werden, sind jedoch weitere Schutzmaßnahmen notwendig. Denn der Arbeitgeber bleibt juristisch in der Pflicht, die Maßgaben der DSGVO einzuhalten, auch wenn seine Mitarbeiter sich nicht am Firmenstandort aufhalten.

Um webbasierte Anwendungen wie ein CRM, E-Mail-Programme und Browser wirklich sicher zu nutzen, sollten nur freigegebene Funktionen und Anwendungen verwendet werden. Die Gewährleistung einer sicherheitskonformen Desktopumgebung ist am besten über eine videobasierte Nutzer-Authentifikation umsetzbar. Denn nur so ist die Kontrolle darüber, ob der Homeoffice-Arbeitsplatz den von der DSGVO geforderten technischen und organisatorischen Maßnahmen entspricht, möglich.

Security Awareness erhöht die Sensibilität der Mitarbeiter

Sicherheitsexperten sehen als größten Risikofaktor für die Cybersicherheit immer noch die Mitarbeiter selbst an. Die Gefahren durch Social Engineering wachsen, und die Technik kann dagegen nur begrenzt eingesetzt werden. Umso wichtiger ist es bei den Beschäftigten -vor allem im Homeoffice- ein Bewusstsein für die Risiken der Attacken zu schaffen. Denn gerade im Bereich der Datensicherheit ist der Aspekt der Eigenverantwortung von Mitarbeitern entscheidet. Hierfür bieten sich Schulungen und Webinare an, die u.a. die Prinzipien sicheren Arbeitens, Passwortrichtlinien und notwendige Maßnahmen zum Datenschutz vermitteln. Awareness-Schulungen fördern die Eigenverantwortung der Mitarbeiter und leisten einen Beitrag zur IT- und Datensicherheit.

Holen Sie sich das kostenlose PDF-Dossier zum Thema Homeoffice!

Das Dossier beleuchtet verschiedene Aspekte von Homeoffice und enthält Praxisbeispiele, Tipps und Trends. Es geht um Vorteile, Risiken, Organisation, Datenschutz und Datensicherheit.