Zuhause zu arbeiten, hat viele Vorteile – auch für Cyber-Kriminelle. Wer im Homeoffice tätig ist, muss oft ohne den Schutz eines großen Unternehmensnetzwerks auskommen. Wie Hacker dennoch kein leichtes Spiel haben.

Ohne Frage: Das Tempo, in dem in den vergangenen Monaten das Homeoffice in deutschen Unternehmen ausgebaut wurde, hätten sich die Befürworter der Digitalisierung vor Corona nie träumen lassen. Das ist einerseits ein positiver Aspekt der Krise. Andererseits wächst durch die teils improvisierten Lösungen für das Arbeiten zu Hause auch die Gefahr, Opfer von Cyberkriminalität zu werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt aktuell vor einem Anstieg sogenannter Phishing-Mails, die beispielsweise so aussehen, als seien sie von der Sparkasse verschickt worden und in denen der Empfänger unter einem Vorwand aufgefordert wird, seine Login-Daten einzugeben.

Die Cyberkriminellen haben es aber nicht nur auf die Konten von Privatpersonen abgesehen, ganz im Gegenteil. Besonders Unternehmen, egal welcher Größe, sind ihr Ziel. „Wenn der Angreifer erst mal ins System gekommen ist, kann er von innen heraus großen Schaden anrichten“, sagt Steffen Ullrich, Software-Ingenieur für Forschung, Produktion und Strategie beim IT-Sicherheitsanbieter genua. „Sei es durch Erpressung, weil er zum Beispiel die Produktion lahmlegen kann, oder durch direkten Zugriff auf vertrauliche Daten und Mails.“ Die Strategie sei häufig, sich zunächst Zugang zum Rechner eines vermeintlich unwichtigen Mitarbeiters zu verschaffen, um von da aus an die wichtigeren Rechner heranzukommen.

Unternehmen oftmals überfordert mit IT-Security

„Es gibt mehrere Unsicherheitsfaktoren zu Hause. Arbeite ich mit einem Firmen-Rechner oder einem privaten, über welches Netz greife ich auf Unternehmensdaten zu, nutze ich Remote-Desktop-Lösungen, bei denen der Bildschirm des internen Firmenrechners über das Internet erreichbar wird“, erklärt Ullrich. Vor allem letztere Option sei besonders anfällig für Attacken von außen, wenn keine Sicherheitsvorkehrungen getroffen werden. „Ich glaube, Corona hat der Entwicklung zu mehr Homeoffice einen Schub verpasst, nicht aber der IT-Sicherheit zu Hause. Die meisten Unternehmen sind so damit beschäftigt, die Herausforderungen durch die Krise zu meistern, dass sie mit dem Thema Sicherheit schlicht überfordert sind. Viele verschließen die Augen vor den Risiken.“

Wie zum Beispiel besagte Phishing-Mails, mit denen eben auch Passwörter und Zugänge zu Unternehmensnetzen erbeutet werden. „Wenn beispielsweise eine Mail kommt, vermeintlich von der Personalabteilung, mit der angeblichen Gehaltsliste aller Mitarbeiter im Unternehmen, ist es sehr wahrscheinlich, dass der Empfänger den Anhang öffnet. Die Neugier ist zu groß und die Fälschungen oft gut gemacht“, sagt Steffen Ullrich. Dabei unterscheiden sich die Angriffe in breit gestreute auf der einen Seite und auf der anderen Seite sehr gezielte Attacken, die auf das Unternehmen zugeschnitten sind und bei denen sich die Cyberkriminellen viel Mühe machen, um in ein bestimmtes Netzwerk einzudringen.

Braucht es also einen Kulturwandel, mehr Fokus auf das Thema IT-Sicherheit im Homeoffice, Schulungen für die Mitarbeiter, Ansagen von der Geschäftsführung? „Am Ende ist den Mitarbeitern kein Vorwurf zu machen, die Unternehmen können sie mit der Verantwortung nicht allein lassen“, sagt Steffen Ullrich. „Deshalb müssen zuerst alle technischen Schutzmaßnahmen, die umsetzbar sind, genutzt werden.“ genua bietet solche Lösungen an. Die Produkte dienen dazu, private und geschäftliche Netze, Daten und Anwendungen sicher voneinander zu trennen, um so nur autorisierten Personen Zugriff auf die Firmendaten zu gewähren.

IT-Security: Risiko-Szenarien und Lösungen in der Corona-Pandemie

Matthias Ochs, Geschäftsführer von genua, gibt seine Einschätzung zur derzeitigen Lage und zeigt Lösungen für eine sichere, funktionierende IT in Krisenzeiten auf.

Besonders im Homeoffice ist das sehr wichtig. „Eine Firewall funktioniert am Ende ja wie eine Brandschutzmauer. Das Feuer kommt nicht durch, aber für diejenigen mit einem Schlüssel gibt es eine Tür, durch die sie gehen können. Unternehmen müssen dafür sorgen, dass ihre Mitarbeiter auch zu Hause diesen Schlüssel haben, ihn aber nicht verlieren oder an Dritte weitergeben können“, sagt Steffen Ullrich. Besonders für kleinere Unternehmen sei es schwierig, in der großen Angebotspalette der Sicherheitsangebote das richtige für sich zu finden. Manche Anbieter versprechen schlicht mehr, als sie halten können. Ullrich verweist zur Orientierung auf das BSI, welches zumindest im Bereich höherer Sicherheitsanforderungen unabhängige Beurteilungen verschiedener Produkte vornimmt. „Was Unternehmer nicht machen sollten: Davon ausgehen, dass es sie schon nicht treffen wird. Denn das ist ein Trugschluss. Eine Cyberattacke kann jedem passieren.“

Die wichtigsten Ansatzpunkte für die IT-Sicherheit in Handlungsfeldern wie Transparenz & Governance sowie beim Einsatz geeigneter Technologien finden Sie hier.