In den letzten Jahren ist das Arbeiten von zu Hause für viele Arbeitnehmer:innen Teil des Alltags geworden. Das bringt jedoch nicht nur viele Vorteile, sondern auch Gefahren mit sich – insbesondere in Bezug auf die IT-Sicherheit. Denn wenn Sie von zu Hause aus arbeiten, ist es für Ihre Vorgesetzten umso schwieriger entsprechende Sicherheitsvorkehrungen zu treffen. Wir bringen Ihnen in diesem Beitrag näher, wie Sie sich und die Daten Ihres Unternehmens im Homeoffice schützen können.
Dürfen wir Ihnen ein wenig Zeit schenken?
Die Komplettlösung für einfaches, zuverlässiges und rechtssicheres E-Learning – maximale Risikominimierung.
Welche Gefahren lauern im Homeoffice?
Es gibt zwei Arten von Angriffen. Auf der einen Seite werden Unternehmensstrukturen angegriffen und auf der anderen Seite wird das Verhalten von Mitarbeitern gezielt manipuliert. Wir starten zunächst mit den Angriffen auf die Unternehmensstrukturen.
Eine der größten Gefahren im Homeoffice sind Malware-Infektionen. Diese können sich auf Ihrem Computer oder Smartphone einnisten und Daten stehlen, Ihr Gerät kontrollieren oder es unbrauchbar machen.
Nach den Angriffen auf Unternehmensstrukturen skizzieren wir die allgegenwärtigen Angriffe auf die Beschäftigten eines Unternehmens. Dass diese ein wertvoller Bestandteil der Informationssicherheit sind, sollte Ihnen bereits bewusst sein. In vielen Fällen entscheiden Sie darüber, ob ein Angriff erfolgreich ins System eindringen kann oder nicht. Angreifer versuchen deshalb den Beschäftigten Fehler zu entlocken, sie zu täuschen, zu betrügen, zu verunsichern und somit den guten Glauben des Menschen auszunutzen.
Mitarbeitende stellen somit auch im Homeoffice in den Augen von Betrüger:innen eine offene Tür in das Unternehmensnetzwerk dar. Hier wird das sog. „Social Engineering“ zu Deutsch soziale Manipulation eingesetzt. Dies beschreibt das Beeinflussen eines Menschen in der Hoffnung, eine bestimmte Verhaltensweise hervorzurufen. Die Arten der Beeinflussung sind hierbei vielfältig und können sich auch an den Wissensstand der Mitarbeitenden anpassen und entwickeln. Aus diesem Grund ist es wichtig, dass neben den bekannten Methoden von Social Engineering, auch eine eigene Grundskepsis antrainiert wird. Ein potenzieller Angreifer tritt dabei in Kontakt mit einem Mitarbeiter und stellt dabei ein umfängliches Szenario aus Lügen dar. Oftmals werden geschäftliche Kontakte zum Unternehmen vorgetäuscht, Fake-E-Mails und Webseiten erstellt, um seriöser zu wirken. Besonders oft werden hier Identitäten von Technikern, Polizisten, dem Finanzamt oder internen Kolleg:innen vorgetäuscht und so das Vertrauen gewonnen. Dass für einen Angriff auf die Informationssicherheit nicht immer nur IT-Kenntnisse nötig sind, zeigt diese Methode des social engineerings ganz deutlich.
Besonders Unternehmen mit vielen Kunden werden als Deckmantel für das Fischen von Daten genutzt. Klar ist, die E-Mails sehen sehr vertrauenswürdig und echt aus. Und direkt darunter befindet sich ein Button, wo Sie Ihre Daten direkt an die Angreifer schicken können. Während eines Phishing-Angriffs können die unterschiedlichsten Daten gestohlen werden. Die Angriffe sind so ausgerichtet, dass Mitarbeiter genau die Daten preisgeben, die wertvoll sind für den weiteren Erfolg des Angriffs. Auch können Hacker mit einer perfekt nachgeahmten Website Passwörter abgreifen. Ein Passwort mit den passenden Zugangsdaten erlaubt es dem unbefugten Eindringling somit, sensible Daten und Informationen zu sehen, die nicht für ihn bestimmt sind. Und was gibt es Einfacheres, die Beschäftigten direkt zu fragen, ob er kurz sein Passwort auf einer perfekt nachgeahmten Webseite eingeben kann?
Wie können Sie sich vor den Gefahren schützen?
Um die Sicherheit vor einem Angriff im Homeoffice zu erhöhen, sollten Sie einige grundlegende Maßnahmen ergreifen. Achten Sie insbesondere auf: den Absender, kennen Sie die Person oder wurde nur eine vermeintlich bekannte E-Mail-Adresse verwendet? Werden Sie misstrauisch und sprechen Sie direkt mit Ihren Kollegen und klären die Situation auf. Angreifer versuchen eine E-Mail so realitätsnah wie möglich zu gestalten und ersetzten dafür nur einen Buchstaben einer vertrauten E-Mail-Adresse. Baut die E-Mail-Elemente ein, die Druck und Angst hervorrufen sollen? Wird nach persönlichen Daten, Zugangsdaten oder finanziellen Informationen wie ein PIN gefragt? Ist die Begrüßungsformel ungewöhnlich und unpersönlich? Die Redewendung “Sehr geehrter Kunde” ist ein Indiz dafür, dass die E-Mail Ihre Daten fischen möchte. Insbesondere bei enthaltenen Links oder Formularen sollten Sie besser die Situation hinterfragen und niemals Links oder Dateien öffnen, wenn Sie sich unsicher sind.
Neben diesen grundlegenden Maßnahmen gibt es einige konkrete Sicherheitstipps, die Sie befolgen sollten:
- Kein Zugriff von unberechtigten Personen
Achten Sie besonders zu Hause darauf, dass beispielsweise Handwerker, Postboten oder Familienmitglieder keine Einsicht in unternehmensinterne Informationen erhalten oder darauf zugreifen können. - Gesichertes WLAN
Schützen Sie Ihr WLAN vor unbefugtem Zugriff. Achten Sie vornehmlich hier auf eine ausreichende Sicherheit des Passwortes. Dieses sollte mindestens 18 Zeichen lang sein. Verwenden Sie hier keine voreingestellten Passwörter und stellen Sie sicher, dass die Zugangsdaten nicht recherchiert werden können (zum Beispiel auf der Rückseite des Routers oder in der Bedienungsanleitung). - Nutzung von autorisierten Kommunikationssystemen
Gerade im Homeoffice fehlen wertvolle „Türangel-Gespräche“. Versuchen Sie, mit Ihren Kollegen in Kontakt zu bleiben, um wichtige Informationen zu erhalten. Nutzen Sie dafür jedoch immer einen vom Arbeitgeber autorisierten Kommunikationsmittel, wie zum Beispiel Messenger. - Transport von Firmen-Medien und Informationen
Stellen Sie sicher, dass der Transport von Laptops oder ähnlichen Geräten auf eine sichere Art und Weise erfolgt. Lassen Sie Taschen und Rucksäcke in öffentlichen Verkehrsmitteln nicht unbeaufsichtigt. - Datenspeicherung auf Firmensystemen
Speichern Sie Informationen und sensible Daten, wenn möglich immer auf Firmennetzwerken, und nehmen Sie keine Speicherung auf lokalen Laufwerken vor. Hierbei ist ein VPN (Virtual Private Network) empfehlenswert, da es eine verschlüsselte Verbindung zwischen Ihrem Computer und dem Firmennetzwerk herstellt. Dadurch können Sie sicher und geschützt auf sensible Daten zugreifen, ohne dass Dritte, auf diese Daten zugreifen können. - Benutzen Sie sichere Passwörter
Hier gilt: je ausgefallener und länger, desto besser. Versuchen Sie 12-20 Zeichen zu verwenden, um einen ausreichenden Schutz zu haben. Verwenden Sie für jedes Konto ein anderes Passwort. Nutzen Sie für jedes Passwort Groß- und Kleinschreibung, Zahlen und Sonderzeichen. - Regelmäßige Updates
Angreifer sind stets auf der Suche nach Sicherheitslücken. Durch das regelmäßige Durchführen von Updates erhalten Sie einen beständigen Schutz gegen nicht autorisierte Zugriffe auf die IT-Anlagen. Aktualisieren Sie insbesondere Ihren Virenscanner sowie Ihre Firewall und führen Sie Systemupdates durch. - Mitarbeiterschulungen
Gerade in der heutzutage schnelllebigen IT-Branche ist die Kenntnis von bestimmten Vorgängen wichtig. Die Mitarbeitenden sollten mindestens einmal jährlich geschult werden, um auf dem neusten Stand zu sein, was Themen wie Angriffsarten und schützenswerte Daten angeht. - Achten auf Cyberkriminalität
Seien Sie wachsam und sensibilisieren Sie sich für Cyberkriminalität und achten Sie auf Auffälligkeiten. - E-Mail-Check
Schauen Sie sich stets vor dem Öffnen einer E-Mail ganz genau den Absender und Betreff an. Öffnen Sie niemals unüberlegt einen Link oder eine Datei. - Automatische Bildschirmsperre
Sperren Sie Ihren Bildschirm, sobald Sie den Arbeitsplatz verlassen, auch wenn es nur für wenige Minuten ist.- Windows: Windows-Taste und L
- Apple: CMD + CTRL und Q
- IT-Notfallkarte
Organisieren Sie sich eine IT-Notfallkarte Ihres Unternehmens, mit allen wichtigen Kontaktpersonen, die bei IT-Sicherheitsvorfällen informiert werden müssen. So kann eine schnelle Kommunikation gewährleistet werden.
Wie sollten Sie im Falle eines IT-Sicherheits-Vorfalls vorgehen?
Wir geben Ihnen kompakt Handlungsmöglichkeiten, welche im Falle eines Sicherheitsvorfalls getätigt werden können. Hierbei sollten Sie jedoch zunächst die geltenden Richtlinien in ihrem Unternehmen überprüfen. Oftmals werden auch individuelle Vorgehensweisen im Notfall ganz konkret beschrieben.
- Sollten Sie feststellen oder auch nur den Verdacht haben, dass ein IT-Sicherheits-Vorfall vorliegt, müssen Sie unverzüglich reagieren. Bleiben Sie dabei jedoch bedacht und überlegt.
- Informieren Sie die zuständigen Ansprechpartner:innen, die IT-Abteilung oder Ihre Vorgesetzten.
- Informieren Sie erst danach weitere Personen. Achten Sie dabei darauf, dass nur vertrauenswürdige und erforderliche Personen informiert werden.
- Versuchen Sie die Integrität, Verfügbarkeit und Vertraulichkeit so weit wie möglich aufrecht zu halten, indem Sie beispielsweise Festplatten, USB-Sticks und andere Speichermedien vom infizierten Rechner trennen.
- Ändern Sie relevante Passwörter, wenn möglich oder sperren Sie Zugangsmöglichkeiten durch unautorisierte Personen.
- Dokumentieren Sie gewissenhaft alle Auffälligkeiten, Beobachtungen und durchgeführte Maßnahmen. Fügen Sie Fotos und Daten zur Beschreibung hinzu.
Fazit
Die IT-Sicherheit im Homeoffice ist ein komplexes Thema, das viele Aspekte umfasst. Es ist jedoch von größter Bedeutung, dass Sie Maßnahmen ergreifen, um die Daten und Geräte Ihres Unternehmens zu schützen. Indem Sie grundlegende Maßnahmen wie die Verwendung von Antivirensoftware oder eine verschlüsselte Verbindung zum Firmennetzwerk ergreifen, können Sie das Risiko von IT-Sicherheitsvorfällen reduzieren. Wenn Sie zusätzlich unsere genannten Sicherheitstipps befolgen, können Sie eine sichere Arbeitsumgebung im Homeoffice schaffen und somit auch sicher von zu Hause aus arbeiten.
Wenn Sie noch auf der Suche nach einer geeigneten Schulung sind, um Ihre Mitarbeitenden zu diesem Thema zu sensibilisieren, dann schauen Sie sich gerne unsere IT-Sicherheit-Schulung an.
Einfach. Webbasiert. Individuell.
Wenn Sie Interesse an einer E-Learning-Software haben, einen bestehenden Kurs für Ihre Mitarbeiter buchen möchten, oder einfach mal wissen wollen, wie ein fertiger Kurs aussieht, können Sie sehr gerne Ihre Kontaktdaten im Anfrage-Formular hinterlassen und einer unserer Mitarbeiter wird sich innerhalb von 24 Stunden mit Ihnen in Verbindung setzen.
Gerne erstellen wir Ihnen einen kostenlosen Demozugang mit Zugriff auf einen unserer Kurse.
Herr Nils Möllers ist Gründer und Geschäftsführer der Mitarbeiterschule GmbH und der Keyed GmbH. Neben Expertise im Bereich Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX®-Assessments, beratend tätig.