Grenzen werden geschlossen, das öffentliche Leben ist stark
eingeschränkt und viele von uns sitzen aktuell in Quarantäne. Ein Szenario, das
vor Wochen noch vollkommen undenkbar gewesen wäre, stellt unseren privaten und
beruflichen Alltag gerade grundlegend auf den Kopf. Fast mein ganzes
persönliches Umfeld arbeitet inzwischen aus dem Homeoffice. Überraschenderweise auch diejenigen, deren Arbeitgeber sich bislang vehement gegen Telearbeit gesträubt hatten.
Homeoffice-Neulinge: Verunsicherung auf allen Seiten
Bei Arbeitgebern und Arbeitnehmern, die nun erstmals mit der Homeoffice-Situation konfrontiert sind, spüre ich eine große Unsicherheit. Vor allem das Thema Cybersicherheit bereitet Unternehmen und Mitarbeitern zunehmend Kopfschmerzen. Kein Wunder, wenn man plötzlich und ohne Vorbereitungen neue Verfahren nutzen muss, mit denen man zuvor kaum Berührungspunkte hatte. Die globalen Entwicklungen waren jedoch so rasant und die Auswirkungen so weitreichend, dass Unternehmen kaum Chancen hatten sich entsprechend vorzubereiten.
Dass die aufkommenden Ängste und Sorgen allerdings nicht unberechtigt sind, zeigen schon die ersten kriminellen Aktivitäten im Zusammenhang mit dem Corona-Virus. Es hat nicht lange gebraucht bis ein neuer Verschlüsselungstrojaner namens „CORONA“ auf dem Markt war. Darüber hinaus sind vermehrt Phishing Mails im Umlauf, die auf das Informationsbedürfnis und die Angst der Bevölkerung vor dem Covid-19-Virus abzielen. Wer vermeintlich wichtige Anhänge mit neuen Entwicklungen zur Corona-Pandamie öffnet, erlebt die nächste Katastrophe. Von der Verschlüsselung des gesamten Datenbestands eines Unternehmens, bis hin zum Diebstahl kritischer Informationen ist alles denkbar.
Homeoffice: Ohne Sicherheitskonzept gefährlich
Es besteht kein Zweifel, dass Kriminelle weiterhin mit Hochdruck versuchen werden, die aktuellen Entwicklungen zu ihrem Vorteil auszunutzen. Das führt schnell wieder zum Homeoffice zurück, das in dieser Hinsicht doppelt problematisch ist:
1. Die Notfallmaßnahmen der Unternehmen werden gerade in der überwiegenden Mehrzahl der Fälle ohne konzeptionelle Vorbereitungsmaßnahmen umgesetzt. Es werden Kompromisse bei der Sicherheit eingegangen, um die kurzfristige Arbeitsfähigkeit des Unternehmens aufrechtzuerhalten.
2. Aufgrund des ökonomischen Drucks werden IT-Lösungen für das Homeoffice akzeptiert, die zuvor aufgrund ihrer Risiken niemals genehmigt worden wären.
Allein diese beiden Problemstellungen machen deutlich, dass sich das Sicherheitsniveau vieler Unternehmen seit Ausbruch der Corona-Pandemie massiv verringert haben dürfte. Aus Sicht der Angreifer waren die Rahmenbedingungen deshalb schon lange nicht mehr so günstig. In den nächsten Wochen und Monaten werden wir höchstwahrscheinlich eine deutliche Zunahme gezielter und ungezielter Cyberangriffe auf die Wirtschaft sehen.
Wie können sich Firmen unter diesen Rahmenbedingungen schützen?
Unter Normalbedingungen ist die Entwicklung und Implementierung ganzheitlicher Sicherheitskonzepte alternativlos. In Anbetracht der aktuellen Situation fehlt hierfür jedoch die Zeit. Es werden vor allem operativ ausgerichtete Maßnahmen benötigt, die kurzfristig einen Mehrwert bringen.
Ein erster wichtiger Schritt liegt darin, die Gefahren und Risiken verschiedener Homeoffice-Varianten zu kennen und zu verstehen. Dazu gehören folgende Problemcluster: Hardware, Software, Verbindung in das Unternehmen, Log-In und die private Arbeitsumgebung.
Private Hardware erfüllt nicht das Sicherheitsniveau des Unternehmens und könnte bereits vor Beginn der Homeoffice-Phase mit Viren oder Trojanern kompromittiert sein. Wer im Homeoffice außerdem private Software oder Apps für berufliche Zwecke nutzt, zum Beispiel Messengerdienste oder Cloudangebote, schafft zusätzliche Risikofaktoren für sensible Daten. Zwar wurde in den letzten Tagen ein großer Anstieg in der Nutzung gesicherter VPN-Tunnel gemessen, doch noch längst nicht alle Unternehmen nutzen für die Verbindung ins Firmennetz über das Internet eine sichere Leitung. Anders als bei der Arbeit im Büro können so leichter übertragene Daten manipuliert oder abgefangen werden. Das gilt auch für Login-Daten: Wer Passwort und Benutzername unverschlüsselt überträgt, riskiert, Angreifern damit Tür und Tor zu öffnen.
Und zu guter Letzt kommt mit dem Homeoffice auch ein neues „Offline-Sicherheitsrisiko“ hinzu: Ausgedruckte Dokumente könnten von Gästen eingesehen werden, Zugangskontrollen zu privaten Räumen sind unmöglich. Auch können Firmen-Hardware wie Laptops oder Festplatten im Homeoffice leichter gestohlen werden – sowohl für normale Einbrecher als auch für gezielte Wirtschaftskriminalität ein dankbarer Zustand. Sofern Ihnen die ein oder andere Problembeschreibungen bekannt vorkommt, sollten Sie sich dringend fachkundigen Rat einholen.
Moritz Huber ist Wirtschaftsinformatiker und Polizeibeamter. Er promoviert derzeit am The Open Government Institute (TOGI) der Zeppelin Universität Friedrichshafen.