Das Home Office wird zunehmend zu einem Sicherheitsrisiko für die Unternehmens-IT. Der Cybersecurity-Dienstleister Rohde & Schwarz Cybersecurity hat eine Liste der Gefahren erstellt: von A wie „Arbeitsplatz“ bis Z wie „Zero-Day-Exploit“.

Im Home Office arbeiten Mitarbeiter an Küchen- und Esstischen, in Schlafräumen oder sogar in Kinderzimmern. Denn der Platz ist begrenzt und das WLAN-Signal nicht überall gleich stark. Ein solcher Arbeitsplatze bringt allerdings etliche Gefahren für die Unternehmens-IT mit sich – insbesondere dann, wenn die ganze Familie zu Hause ist. Notebooks oder iPads können durch Kleinkinder beschädigt werden, ältere Kinder versuchen sich gerne aus Neugierde an den Geräten der Eltern, löschen womöglich wichtige Daten oder drucken sie versehentlich aus. Auf Küchen- und Esstischen abgestellte Getränke sind ebenfalls ein Risikofaktor – vor allem dann, wenn man sich den Tisch mit zwei Schulkindern teilt.

Mitarbeiter müssen zu Hause besondere Vorkehrungen im Hinblick auf die IT-Sicherheit ihres Arbeitsplatzes treffen. Bild: Adobe Stock

Mitarbeiter müssen zu Hause daher besondere Vorkehrungen treffen. Ideal ist ein eigener – abschließbarer – Arbeitsraum. Mit einem WLAN-Verstärker lässt sich bei Bedarf das Verbindungssignal optimieren. Wer in der Küche oder im Wohnzimmer arbeitet, sollte zumindest beim Verlassen des Arbeitsplatzes, den Bildschirm sperren und das Notebook nach Feierabend in einen abschließbaren Schreibtisch oder Schrank einschließen.

Der Einsatz privater Endgeräte im Job war schon vor Corona ein Trend. Im Home Office heißt es jetzt in vielen Unternehmen „Use your own device“. Doch wenn private Endgeräte genutzt werden, verlieren Unternehmen die Kontrolle über den Schutz ihrer Daten. Veraltete Rechner mit Update-Lücken und fehlenden Virenscannern bieten Hackern leichten Zugriff auf sensible Daten. Unternehmen müssen dafür sorgen, dass die Daten sicher sind und die EU-DSGVO nicht verletzt wird und ihre Mitarbeiter zu diversen Schutzmaßnahmen verpflichten.

Die Schutzmechanismen der Cloud-Anbieter entsprechen nicht den Sicherheitsanforderungen der meisten Unternehmen. Bild: Gorondenkoff über Adobe Stock

Für das dezentrale Arbeiten von zu Hause sind Cloud-Anwendungen und Collaboration-Dienste sehr nützlich. Doch die Schutzmechanismen der Cloud-Anbieter entsprechen nicht den Sicherheitsanforderungen der meisten Unternehmen. Hinzu kommt: Die Mehrzahl der Cloud-Anbieter sitzt im Ausland. Viele dort geltende Regelungen – wie beispielsweise der „Clarifying Lawful Overseas Use of Data Act“ – sind nicht mit der EU-DSGVO vereinbar. Es drohen Datenspionage und Compliance-Verletzungen. Die Lösung ist ein datenzentrischer Schutz: Dabei werden Platzhalter in die Cloud eingestellt, die nur Metadaten enthalten. Die Nutzdaten werden fragmentiert im Unternehmensnetzwerk oder an einem anderen Ort abgelegt. Selbst bei einem Angriff auf die Cloud, bleiben die vertraulichen Inhalte für nicht befugte Personen unlesbar.

E-Mail-Anwendungen auf mobilen Endgeräten erleichtern die Arbeit von zu Hause ungemein. Allerdings gibt es immer wieder Sicherheitslücken, die es Hackern ermöglichen, solche Anwendungen zu knacken. Aktuell ist die E-Mail-Anwendung von Apple betroffen. Die Angriffe verlaufen meist völlig unbemerkt. Unter dem Update iOS 13 kann die Schad-E-Mail, ohne dass sie gelesen werden muss, den Schadcode auf das iPhone aufbringen. Haben Hacker das Gerät gekapert, können sie diese E-Mail wieder löschen und ihre Spuren verwischen.

Mangelndes Risikobewusstsein: Wechseldatenträger An erster Stelle der Bedrohungsliste für Automatisierungssysteme stehen laut BSI Wechseldatenträger und externe Hardware. Bild: fotomek – AdobeStock

114 Mio. neue Schadprogramm-Varianten hat das BSI im vergangenen Jahr registriert. Bild: Peterschreiber.media Adobe Stock

Menschliche Fehler: Bedienfehler und Unkenntnis Gedankenlose Handlungen wie Konfigurationsfehler oder der Anschluss von nicht genehmigter Soft- und Hardware stehen an der dritten Stelle der häufigsten Bedrohungen. Bild: Daniel Ernst – AdobeStock

Cloud-Dienste - Kompromittierte externe Quellen: Externe Quellen wie Cloud-Dienste erfreuen sich wachsender Beliebtheit. Doch auf deren Sicherheit hat der Nutzer keinen Einfluss – sie können ebenfalls zum Sicherheitsrisiko werden. Bild: Alexander Limbach – AdobeStock

Phishing: Gezielter Angriff Mail-Anhänge sind mit Vorsicht zu genießen. Doch per Social Engineering und Phishing werden Mitarbeiter immer häufiger dazu verleitet, diese trotzdem zu öffnen. Bild: Andrea Danti – AdobeStock

Bot-Netze und Internet: DDoS-Angriffe Angreifer können IoT-Komponenten für den Aufbau von Bot-Netzen nutzen. Daraus lassen sich DDoS-Angriffe auf die Kommunikation zwischen Komponenten des Steuerungssystems orchestrieren. Bild: Klimow,имов Максим - AdobeStock

Externe Zugänge: Fernwartung Externe Zugänge sind in Steuerungssystemen weit verbreitet. Doch häufig sind diese Zugänge in der Praxis nur mit Standardpasswörtern gesichert, die sich zum Teil auch nicht ändern lassen. Bild: Wellnhofer-Designs-AdobeStock

Smartphones: Kompromittierte Systeme Soft- und Hardwarefehler belegen als Sicherheitsproblem den neunten Platz. Mit steigender Tendenz werden kompromittierte Smartphones im Produktionsumfeld gesehen (Platz 10). Bild: agnormark-AdobeStock

Vor allem Organisationen mit hohen Sicherheitsanforderungen sollten die Notebooks ihrer Mitarbeiter mit einer Festplattenverschlüsselung ausstatten. Nur berechtigte Nutzer können dann per Multi-Faktor-Authentifizierung ihre Daten und das Betriebssystem nutzen. Geht das Gerät verloren oder wird es gestohlen, ist es für Dritte nicht möglich, auf die Daten zuzugreifen.

Mit einer Flut an Phishing-E-Mails, neu entwickelter Malware und gefälschten Informationen versuchen Hacker, aus der Corona-Krise Kapital zu schlagen. (Bild: Gina Sanders – Fotolia)

Hacker nutzen die Corona-Krise aus. Mit einer Flut an Phishing-E-Mails, neu entwickelter Malware und gefälschten Informationen versuchen sie, aus der Krise Kapital zu schlagen. Für Unternehmen kann sich dadurch die bereits angespannte wirtschaftliche Lage weiter verschärfen. Ein umfassender Schutz der IT ist für jedes Unternehmen daher jetzt wichtiger denn je.

Bereits vor der Corona-Krise galt: 70 Prozent der Hackerangriffe kommen aus dem Internet. Der aktuelle Informationsbedarf verschärft diese Gefahr noch weiter. Über gefälschte Webseiten, E-Mails oder Grafiken, die aus scheinbar vertrauensvollen Quellen stammen, wird Malware auf Rechner geschleust. Der beste Schutz vor Angriffen aus dem Internet ist ein virtueller Browser, wie der R&S-Browser in the Box.

Ein Sicherheitskonzept noch so ausgeklügelt sein: Als Schwachpunkt bleibt der Mensch. Mitarbeiter öffnen Phishing-E-Mails und laden gefährliche E-Mail-Anhänge herunter, sie verraten nichts ahnend ihre Zugangspasswörter an Unbefugte, die sich am Telefon als IT-Dienstleister ausgeben, und sie verbummeln wichtige Sicherheits-Updates. Im Home Office – wenn der IT-Administrator weit weg ist – ist die Verantwortung jedes Einzelnen besonders groß. Neben der richtigen IT-Sicherheitstechnik ist eine Schulung und Sensibilisierung der Mitarbeiter daher ausschlaggebend für die IT-Sicherheit im Unternehmen.

Passwörter schützen Anwendungen vor unberechtigtem Zugriff. Doch Standardpasswörter sind einfach zu knacken. Und „1234“ oder „Password“ bieten gar keinen Schutz vor Hackern. Gute Passwörter sind Passphrasen, wie „Wir verschlüsseln Datenträger!“ oder „keine-Zellen-in-Excel-verbinden“. Solche Sätze sind leicht zu merken und zu tippen, aber schwierig zu knacken. Ergänzt werden sollten sie um Symbole, Zahlen oder Großbuchstaben. Um nicht den Überblick zu verlieren, ist es hilfreich, einen Passwort-Manager zu nutzen.

Zahlenreihen wie „123456“, „123456789“, "12345678" und "1234567" belegten in 2019 in der jährlichen Statistik des Hasso-Plattner-Instituts die Ränge 1 bis 4 der beliebtesten Passwörtern in Deutschland. Offenbar scheuen viele Anwender selbst die Mühe, die Nummern wenigstens zu durchmischen. (Bild: electriceye – stock.adobe) (Titelbild: Ralf Kalytta – stock.adobe)

Bei der Passwortsuche schnell in den Kopf kommt vielen die Buchstabenkombination „password“. Dass dieses Rang 5 der beliebtesten Passwörter belegt, weiß inzwischen auch jeder Hacker. (Bild: kebox – stock.adobe)

Interessante Sozialstudien lassen sich bei der Verwendung von Schimpfwörtern betreiben: Waren "ficken" und "arschloch" 2018 noch in den Top 10, sind die Deutschen inzwischen deutlich zivilisierter geworden: Rang 6 belegte 2019 das mäßig einfallsreiche "111111". (Bild: Robert Kneschke – stock.adobe)

Ein freundliches „hallo“ und „hallo123“ grüßte 2018 von den Plätzen 7 und 8, in diesem Jahr sind es langweilige Zahlenreihen: "1234567890" und "123123". (Bild: Khosrork – stock.adobe)

Vielen Computernutzern sind selbst die Einsen noch zuviel. Platz 9 war 2019 eine Nullrunde: "000000".. (Bild: jasminzejnic – Fotolia)

In 2019 hatte unter den Top 20 auch der "Master" ausgedient, Platz 10 belegte dagegen ein wenig einfallsreiches "abc123".. (Bild: jminso679 – stock.adobe)

Fernöstlich inspiriert ist dagegen Platz 11 der Top 20 deutscher Passwörter: "dragon". (Bild: Fotolia)

Dass es unter deutschen Computerbenutzern auch liebevoll zugeht, zeigt die Häufigkeit des Passworts „iloveyou“. Das sorgt für Harmonie – aber nicht gerade für mehr Sicherheit. (Bild: drubig-photo – adobe.stock)

Die Plätze 13 bis 15 belegten 2019 die Passwörter "password1", "monkey" und das schon im Vorjahr beliebte "qwertz123". (Bild: nesta – Adobe Stock)

Fazit: Weniger Kraftausdrücke, aber auch weniger Phantasie - auf diesen Nenner lässt sich das aktuelle Ranking der beliebtesten deutschen Passwörter bringen. Der systemischen Zwang zum regelmäßigen Wechseln ist anhand der veränderten Zusammensetzung erkennbar. Sicherer werden die Systeme allerdings nicht, wenn einfache Kombinationen gewählt werden... (Bild: MichaelJBerlin – stock.adobe)

Häufig kommen im Home Office Speichersticks zum Einsatz, deren Ursprung niemand mehr kennt. Auf diese Weise kann Malware auf die Firmenrechner gelangen. Bild: fotomek – AdobeStock

USB-Speichergeräte sind praktisch, wenn es um die Weitergabe von großen Datenmengen geht. Auch beim dezentralen Arbeiten im Home Office ist der USB-Stick beliebt. Häufig kommen allerdings Sticks zum Einsatz, deren Ursprung niemand mehr kennt. Auf diese Weise kann Malware auf die Firmenrechner gelangen. Mitarbeiter sollten daher grundsätzlich keine USB-Speichergeräte an Firmenrechner anschließen.

Videokonferenzen boomen in der Corona-Krise. Sie bieten Hackern allerdings häufig ein Einfallstor in die Unternehmens-IT. Beispiel Zoom: Der Zugang zu einer Zoom-Konferenz ist für Unbefugte relativ einfach. Eindringlinge können auf diese Weise nicht nur Zugriff auf sensible Informationen erhalten; über die Chatfunktionen können sie auch Links weiterleiten, um Malware auf die Geräte zu schleusen. Unternehmen sollten stattdessen auf Konferenzsysteme setzen, die über den Browser geöffnet werden. Angreifer lassen sich dann mit Hilfe eines virtuellen Browsers isolieren.

Eine WLAN-Verbindung erleichtert die Arbeit im Home Office ungemein. Sie ist allerdings auch ein Sicherheitsrisiko. Denn WLAN-Netzwerke bieten Hackern die Möglichkeit, auf Daten zuzugreifen. Hacker können zudem Computerviren und Trojaner über schlecht oder nicht gesicherte WLANs in ein System einspeisen. Wichtigste Sicherheitsmaßnahmen: Zum einen sollte das Standard-Administrator-Passwort durch ein neues, starkes Passwort ersetzt und zum anderen die WPA2-Verschlüsselung aktiviert werden.

Ein wichtiger Schutz vor Hackerangriffen sind Patches und Updates. Diese stehen allerdings erst bereit, wenn die Sicherheitslücke bereits vom Hersteller erkannt wurde. Die größte Gefahr stellen daher Angriffe dar, die eine Sicherheitslücke ausnutzen, noch bevor sie entdeckt und geschlossen wurde. Einen solchen „Zero-Day-Exploit“ kann Antiviren-Software nicht aufhalten. Der einzige mögliche Schutz bietet eine Isolierung der eingeschleusten Malware in einem virtuellen Browser.

Weitere Informationen: https://www.rohde-schwarz.com/de/loesungen/cybersicherheit/about-us/news-media/news/20200411-news-working-securely-from-home-iii-tips-for-more-security-productivity_253102.html

Ich habe die AGB, die Hinweise zum Widerrufsrecht und zum Datenschutz gelesen und akzeptiere diese.

Rohde & Schwarz GmbH & Co. KG

Mühldorfstraße 15 81671 München DE

Ob Öl-, Gas- und Chemieimporte, Anlagenprojekte oder Technik-Ausfuhr: Der Russland-Ukraine-Konflikt hält auch die Industrie in Atem. Unser Newsticker informiert sie laufend über die jüngsten Entwicklungen. Aktuell: ++ Chemieverband rechnet mit Rezession ++ IEA fordert Tempolimit ++Weiterlesen...

Die Internationale Energieagentur IEA hat einen 10-Punkte-Plan zur Senkung des Ölverbrauchs veröffentlicht. Autofreie Sonntage und Tempolimits könnten demnach relativ schnell zu einem sinkenden Ölbedarf führen.Weiterlesen...

In dieser Woche sind auch die letzten regionalen Tarifverhandlungen in der Chemieindustrie ohne Ergebnis zu Ende gegangen. Einigung sollen es nun auf Bundesebene geben – doch die Fronten zwischen Gewerkschaft und Arbeitgebern scheinen verhärtet.Weiterlesen...

Nach und nach wird konkreter, was der russische Angriffskrieg für die Wirtschaft bedeutet: Nun hat das IfW seine Prognose für 2022 korrigiert.Weiterlesen...

Das Ausrichten einer Turbokupplung kann mit dem passenden Werkzeug und dem nötigen Wissen schnell und problemlos über die Bühne gehen. Allerdings kommt dabei der Einsatz althergebrachter Ausrüstung schnell an Grenzen.Weiterlesen...

Aug. Hedinger GmbH & Co. KG

Umicore AG & Co. KG

fischerwerke GmbH & Co. KG