Die IT-Sicherheit steht vor neuen Herausforderungen wie Ransomware, während bekannte Angriffsmethoden wie Phishing weiter verfeinert werden. In diesem Artikel gibt Jan Tißler einen Überblick zu den aktuell größten Bedrohungen und Trends im Bereich Cybersecurity. Gastautor Andreas Riehn hat ergänzend dazu acht Handlungsempfehlungen für Arbeitgeber rund ums Thema Sicherheit im Home Office.
Inhaltsverzeichnis
Angriffe von innen und wie sie entstehen
IT-Security bedeutet manchmal, dass Sie ein Fort Knox mit schweren Tresortüren, dicken Wänden und Schutzmauern bauen – und dann lässt ein Mitarbeiter die Kriminellen durch den Dienstboteneingang hinein.
Laut Verizon 2019 Data Breach Investigations Report geht ein Drittel aller untersuchten Datenpannen auf einen Angriff von innen zurück. Unachtsamkeit, Unwissenheit und unklare Prozesse können ein Grund dafür sein. Oder aber ein frustrierter Mitarbeiter steckt dahinter, der seinem Arbeitgeber entweder bewusst schaden will oder sich von den Angreifern zumindest willentlich einspannen lässt.
Für die IT-Sicherheit ist das ein Problem, denn natürlich brauchen manche Mitarbeiter Zugriff auf besonders schützenswerte Daten, um ihren Job zu machen. Entsprechend sind bisweilen auch solche Informationen von innen erreichbar, die nach außen hin aufwändig abgeschirmt werden. Ein aktuelles Beispiel ist der Twitter-Hack, bei dem die Angreifer Zugriff auf diverse bekannte Profile bekamen – mithilfe von hereingelegten Mitarbeitern. Auch deshalb wird inzwischen der „Zero Trust“-Ansatz in der IT-Sicherheit immer wichtiger.
A N Z E I G E
Zugleich gilt, dass Zugriffsrechte manchmal schnell erteilt, aber nicht so schnell wieder entzogen sind. Auszubildende sind hier ein Beispiel, die durch verschiedene Abteilungen wandern und im Zuge dessen Zugangsdaten ansammeln können, die so manchen Admin neidisch machen würden.
Hier müssen Sie also sowohl die technischen als auch die organisatorischen Grundlagen schaffen, damit alle Mitarbeiter*innen stets nur die Zugriffsrechte haben, die sich auch tatsächlich benötigen. Oder wie sehen eigentlich die Abläufe und Checklisten aus, wenn ein Mitarbeiter aus dem Unternehmen ausscheidet? Während das „onboarding“ oftmals klar geregelt ist oder im Zweifel Schritt für Schritt nachgeholt wird, wird das „offboarding“ gern im Trubel des Alltags vergessen.
Zu bedenken ist auch, dass sich Hacker bei besonders lohnenden Opfern manchmal nicht sofort aufs eigentliche Ziel stürzen. Stattdessen gehen sie so lange durch die interne Struktur, bis sie einen ersten Angriffspunkt finden. Und der kann zunächst ganz harmlos erscheinen, weil die betroffene Person selbst beispielsweise gar keinen Zugriff auf wichtige Informationen hat. Aber sie kann dann wiederum dazu dienen, um einen Schritt weiter zu kommen – und noch einen und noch einen.
Malware
Zu den wichtigsten Bedrohungen gehört in diesem Bereich weiterhin Schadsoftware, die sich automatisch oder halbautomatisch verbreitet. E-Mails sind dafür ein wesentliches Einfallstor. Und auch wenn ein Virenscanner heute sicherlich zur Grundausstattung in vielen Organisationen gilt, ist der nur ein unvollständiger Schutz. Dessen müssen sich die Mitarbeiter*innen bewusst sein. Schließlich kann so ein Schutzprogramm nur bereits bekannte Schädlinge entdecken.
Dabei sind die E-Mails zugleich nicht mehr so simpel zu erkennen wie in der Vergangenheit. Die Malware „German Wiper“ beispielsweise tarnt sich als glaubwürdig aussehende Initiativbewerbung. In der HR-Abteilung eines Unternehmens dürfte das kaum Aufmerksamkeit erregen.
E-Mail-Absender lassen sich außerdem sehr einfach fälschen. Die Nachricht mit dem gefährlichen Anhang kann also von einem bekannten Kontakt kommen. Und sogar moderne Sicherungsmaßnahmen lassen sich überlisten, wie auf der Sicherheits-Konferenz „Black Hat“ demonstriert wurde.
Phishing und Spear-Phishing
Phishing ist der Versuch, einer Person durch gefälschte E-Mails und Websites ihre Zugangsdaten abzuluchsen oder Schadsoftware unterzuschieben. Solche Nachrichten und Internetseiten bauen ihr Vorbild bisweilen 1:1 nach und kommen sogar mit dem Vertrauen erweckenden Vorhängeschloss-Symbol in der Browserleiste daher. Denn das zeigt schließlich nicht etwa an, dass man es mit einer seriösen Seite zu tun hat. Es bedeutet nur, dass die Datenübertragung verschlüsselt ist. Das aber nützt natürlich wenig, wenn der eigentliche Datendieb direkt am anderen Ende des Login-Formulars sitzt …
Der erfolgreiche und folgenschwere Angriff auf Sony vor einigen Jahren begann auf diese Weise: Eine E-Mail täuschte vor, dass die Apple-ID der betreffenden Person zurückgesetzt werden müsste. Wie oben beschrieben reichte diese erste, noch harmlos scheinende Information, um letztlich Zugriff auf wertvolle interne Daten zu erhalten.
Auch der bereits erwähnte Twitter-Hack wurde auf ähnliche Weise ermöglicht. Das Social Network erklärte, die Angreifer hätten „Spear Phishing“ genutzt, um sich letztlich Zugriff auf dutzende Accounts zu verschaffen. Was das meint: Während Phishing allgemein auf alles und jeden abzielt, ist eine Spear-Phishing-Attacke speziell auf eine bestimmte Person gemünzt. Dadurch sind diese Angriffe noch schwerer zu erkennen.
Weitere Begriffe aus demselben Bereich: Phishing via Telefon wird bisweilen „Vishing“ genannt (Voice Phishing), Phishing via Textnachricht „Smishing“ (SMS Phishing). Alle diese verwirrenden Wörter meinen aber ein und dieselbe Methode.
Social Engineering
Auch beim Social Engineering nutzen die Angreifer aus, dass Menschen oftmals das schwächste Glied einer Sicherheitskette sind. Hier wird versucht, die betroffene Person unter anderem durch psychologische Tricks zur Herausgabe von Informationen zu bewegen.
Typisch sind hier Anrufe beim Support, die einen Notfall vortäuschen. Ein Kunde braucht angeblich schnelle und unkomplizierte Hilfe. Wer möchte da nicht helfen? Guter Service ist heute schließlich wichtiger denn je.
Stellen Sie deshalb immer klar, welche Informationen an wen herausgegeben werden dürfen und wie die Abläufe dafür sind. Stellen Sie sicher, dass wichtige Daten beispielsweise nur gegen ein individuelles Passwort herausgegeben oder geändert werden und es zu dieser Regel keine Ausnahme geben kann.
Externe Dienstleister und Partner
Bisweilen werden Sie andere Dienstleister und Unternehmen in den „inneren Kreis“ aufnehmen. Das reicht vom freischaffenden Webdesigner über den Steuerberater bis hin zu Reinigungskräften, die abends die Büros auf Vordermann bringen. Eine folgenschwere Datenpanne bei der US-Ladenkette Target kam beispielsweise über eine Servicefirma für Klima- und Kühlanlagen zustande.
Auch hier müssen Sie also darauf achten, dass diese Dienstleister und Partner nur Zugriff auf Daten und Informationen haben, die sie tatsächlich benötigen und nur so lange wie sie sie benötigen.
Cloud Jacking
In Zeiten der Digitalen Transformation werden hybride Arbeitsumgebungen mit internen und externen Tools zur neuen Norm. Konnte man früher davon ausgehen, dass man die eigene Infrastruktur vor allem vor Angriffen von außen schützen musste, wird diese Abgrenzung immer verschwommener. Daten werden extern gespeichert und verarbeitet und fließend laufend hin und her.
„Cloud Jacking“ meint damit die Bedrohung, dass die eigenen Informationen in der Cloud übernommen und ausgespäht werden können. Oder aber ein Cloud-Angebot wird als erstes Einfallstor genutzt, um das eigentliche Ziel zu erreichen.
Einerseits haben die Cloud-Anbieter selbst natürlich deutlich mehr Ressourcen, um sich gegen Angriffe wie „Cloud Hopper“ zu schützen. Andererseits sind sie enorm lohnende Ziele, die ins Ziel von staatlich organisierten Hackern geraten können. Und jedes System hat Schwachstellen, egal wie viele Personen sich um die Sicherheit kümmern.
Hinzu kommt, dass es nicht viel nützt, wenn der Cloud-Anbieter zwar selbst in Sachen Security alles richtig macht, dann aber die Kunden bei der Einrichtung patzen. Immer wieder gibt es beispielsweise Fälle, in denen sensible Daten ungeschützt auf dem Cloudserver eines Anbieters wie Amazon Web Services (AWS) herumliegen.
Über die Tragweite des Problems schreibt IT Daily:
„Das Marktforschungsunternehmen Gartner prognostiziert, dass bis 2021 über 75 Prozent der mittleren und großen Unternehmen eine Multi-Cloud- oder Hybrid-IT-Strategie einführen werden. Mit der zunehmenden Verbreitung von Cloud-Plattformen sehen sich IT- und DevOps-Teams jedoch gleichzeitig mit zusätzlichen Bedenken und Unsicherheiten in Bezug auf die Sicherung ihrer Cloud-Instanzen konfrontiert.
Der Bericht bestätigt erneut, dass Fehlkonfigurationen die Hauptursache für Sicherheitsrisiken in der Cloud sind. So identifiziert die Sicherheitsplattform Trend Micro Cloud One – Conformity durchschnittlich 230 Millionen Fehlkonfigurationen pro Tag. Die Zahl verdeutlicht, wie weit verbreitet dieses Problem ist.“
Smart Home, IoT
Das Internet der Dinge (Internet of Things, IoT) wird mehr und mehr zum Alltag. In IT-Security-Kreisen kursiert derweil der Witz, das „S“ in „IoT“ stehe für Sicherheit. Ja, richtig erkannt: kein „S“, keine Sicherheit. Ganz so extrem ist die Situation in Wirklichkeit vielleicht nicht, aber auch nicht allzu weit davon entfernt.
Denn klare Regeln rund um die Sicherheit dieser „smarten“ Geräte hat es lange nicht gegeben. Bei so manchen Anbietern war zum Beispiel nie vorgesehen, die integrierte Software im Fall der Fälle zu aktualisieren. Oder aber die Nutzer sind sich überhaupt nicht bewusst, dass sie auch bei ihren „schlauen“ Lautsprechern oder der vernetzten Sicherheitskamera nach Updates schauen müssten. Viele Geräte laufen zudem seit Jahr und Tag mit einem Standardpasswort. So richtig smart ist das alles nicht.
Da überrascht es nicht, dass gehackte Smart-Home-Geräte zum Beispiel zum Massenversand von Spam und Phishing missbraucht werden. Und einige der größten „DDoS“-Attacken auf Websites gehen auf IoT-Geräte zurück. Bei so einem „Distributed Denial of Service“-Angriff wird ein Server mit einer enormen Welle an Anfragen überschwemmt. Hängt das eigene Geschäft an dieser Website, gehen damit also direkt Umsätze verloren. Indirekt ist es ein Imageverlust, wenn die eigene Seite nicht erreichbar ist.
Ransomware
Apropos Imageverlust: Ransomware („Erpresser-Software“) gehört zu den rapide wachsenden Problemen in der IT-Sicherheit. Etliche Unternehmen und Organisationen waren davon schon betroffen: Einzelhändler, Krankenhäuser, Verwaltungen und sogar die Polizei. Jüngstes prominentes Beispiel war Garmin, bekannt u.a. für seine GPS-Armbanduhren.
Ransomware ist dabei eine Spielart der Schadsoftware, die die Daten auf einem Rechner nicht etwa zerstört, sondern als Geisel nimmt. Dazu nutzen die Angreifer moderne Verschlüsselungsmethoden. Was also in anderen Fällen die eigenen Daten vor unberechtigtem Zugriff schützt, macht sie in diesem Fall unerreichbar.
In der Regel sollen die Opfer dann ein Lösegeld in Form von Bitcoin bezahlen. Dann bekommen sie den Schlüssel, um die Daten wieder freizugeben.
Ransomware ist deshalb so effektiv, weil sie direkt den Kern unserer digitalisierten Welt angreift. Wir verlassen uns mehr und mehr darauf, jederzeit Zugriff auf Daten zu haben. Das ermöglicht neue Geschäftsmodelle, Produkte und Serviceangebote. Das macht uns in diesem Fall allerdings auch erpressbar. Selbst Backups helfen nicht immer weiter, wenn die Schadsoftware mehrere Tage oder noch länger wartet, bis sie tatsächlich zuschlägt.
Mobile Malware
Wer an IT-Sicherheit denkt, hat oftmals vor allem den PC als Angriffsziel im Hinterkopf. Dass das nicht mehr aktuell ist, hatten schon die IoT-Beispiele oben gezeigt. Aber auch Mobilgeräte wie Smartphones gehören zu den Zielen von Schadsoftware.
Das ist auch gut nachvollziehbar, denn wir nutzen unsere Hosentaschencomputer mehr und mehr wie unsere stationären Rechner und das bisweilen zu jeder wachen Stunde.
„Im zweiten Halbjahr von 2019 übertrafen die mobilen Angriffe zum ersten Mal die Desktop-Angriffe. Während die Angriffsraten auf Desktop-Transaktionen (2,7 Prozent) und mobile Transaktionen (2,5 Prozent) fast identisch sind, stieg die Angriffsrate bei mobilen Angriffen um 56 Prozent. Die Desktop-Angriffsrate ging um 23 Prozent zurück, was die wachsende Verlagerung hin zum mobilen Betrug bestätigt.“
Remote Work
Die COVID-19-Pandemie hat eine Entwicklung hin zu Remote Work erheblich beschleunigt, die mancherorts nicht einmal angefangen hatte. Entsprechend mussten sehr eilig Lösungen her und vor allem neue Regeln und Arbeitsabläufe.
Eine gute Nachricht: Laut einer Umfrage von Trend Micro gehen Mitarbeiter im Home Office bewusster mit Cybersicherheit um. 69 Prozent der Befragten in Deutschland gaben das so zu Protokoll. 13.200 Remote-Mitarbeiter in 27 Ländern weltweit (davon 504 in Deutschland), waren zu den IT-Richtlinien ihres Unternehmens befragt worden.
„Die Ergebnisse zeigen, dass es für Unternehmen noch nie einen besseren Zeitpunkt gab, um von einer gestiegenen Awareness der Mitarbeiter in Bezug auf Cybersicherheit zu profitieren. Auch wird deutlich, dass der von Unternehmen gewählte Ansatz zur Schulung entscheidend dafür ist, dass sichere Praktiken eingehalten werden.“
Die schlechte Nachricht: Nur weil sich die Mitarbeiter der Problematik bewusst sind, heißt das noch nicht, dass sie auch entsprechend handeln. So geben zwei Drittel der befragten Deutschen zu, arbeitsfremde Anwendungen auf Firmengeräten zu verwenden. 77 Prozent nutzen Ihren Arbeitslaptop auch zur privaten Internetnutzung. 45 Prozent erklärten, dass sie häufig oder immer von einem persönlichen Gerät aus auf Firmendaten zugreifen. Etwas über ein Drittel erklärte, dass sie vor allem ihre Arbeit erledigen wollen und ihnen das wichtiger ist als die Frage, ob sie die entsprechenden Anwendungen eigentlich nutzen dürfen oder nicht.
Gefällt dir dieser Artikel?
Dann trage dich jetzt ein ins „Update am Montag“ und bleibe über neue Inhalte auf dem Laufenden. Kein Spam! Bereits knapp 2.000 Leser:innen sind dabei.
Sicherheit im Home Office: 8 Handlungsempfehlungen für Arbeitgeber
Von Andreas Riehn, Senior Consultant für Datenschutz bei DataGuard und Volljurist
1. Verantwortung übernehmen
Wichtig zu wissen: Die Verantwortung für den Datenschutz liegt beim Unternehmen selbst, bei Einzelunternehmern mitunter auch bei einer Person. Arbeitgeber können diese Verantwortung nicht delegieren, indem sie Mitarbeitern das Homeoffice ermöglichen. Kommt es in der Folge zu einer Datenpanne, müssen die Unternehmen die Konsequenzen tragen.
Sie sollten sich daher klarmachen, welche Daten im Rahmen der Datenschutzgrundverordnung (DSGVO) als besonders sensibel gelten: Sozialdaten, Gesundheitsdaten, biometrische Daten, Daten zur Glaubensrichtung und zur ethnischen Herkunft. Je sensibler die Daten, desto höher der Schutz: Vorkehrungen für höchste Vertraulichkeit sind auch im Homeoffice nötig.
2. Vereinbarungen treffen
Idealerweise sollten Arbeitgeber bereits eine schriftliche Vereinbarung über die Ausgestaltung der Arbeit im Homeoffice mit ihren Mitarbeitern getroffen haben, bevor diese ihren ersten Arbeitstag außerhalb des Büros verbringen. Der zweitbeste Zeitpunkt ist jetzt, denn auch hier gilt: besser spät als nie.
Eine solche, von beiden Parteien unterzeichnete Vereinbarung sollte keine Standardlösung aus dem Internet sein, sondern individuell auf die Situation des Unternehmens zugeschnitten sein und die Mitarbeiter über ihre Pflichten informieren.
In jedem Fall sollte eine Verschwiegenheitserklärung enthalten sein, die auch weitere Haushaltsmitglieder umfasst, wenn der Arbeitsplatz nicht klar vom Rest der Wohnung abgetrennt ist.
3. Berufliches und Privates trennen
Je nach Gegebenheiten ist die beste Lösung für Mitarbeiterinnen und Mitarbeiter im Homeoffice ein eigenes, abschließbares Arbeitszimmer. Wo diese Möglichkeit nicht besteht, sollte doch mindestens der Bildschirm gegen Blicke geschützt sein. Hierbei helfen Blickschutzfilter oder Folien.
Soft- und Hardware wie Laptop und gängige Office-Programme sollten vollständig vom Arbeitgeber gestellt werden: So wird der dienstliche Rechner nur für berufliche Angelegenheiten genutzt, der private ausschließlich in der Freizeit.
Auch vertrauliche Telefonate dürfen selbstverständlich nicht in Gegenwart Dritter geführt werden.
4. Daten verschlüsseln und Passwörter einrichten
Das Thema Verschlüsselung im Homeoffice beginnt bei der Internetverbindung: Eine offene WLAN-Verbindung ist komfortabler, ein LAN-Netzwerk jedoch wesentlich sicherer. Wer das Einstöpseln des Kabels als lästig empfindet, der kann sich mit dem Gedanken trösten, dass der LAN-Anschluss auch eine schnellere Verbindung gewährleisten sollte.
Für die firmeninterne Kommunikation bieten sich inzwischen diverse verschlüsselte Messenger-Lösungen an. Verschlüsselt werden sollte aber auch die Festplatte des Arbeitsrechners selbst, der zudem nach maximal zehn Minuten Inaktivität mit einer automatischen Bildschirmsperre versehen wird. Zusätzliche Sicherheit bei der Anmeldung bietet die Zwei-Faktor-Authentifizierung, bei der etwa das Smartphone als zweites, unabhängiges Gerät genutzt wird.
Herumliegende USB-Sticks stellen nicht nur im Homeoffice ein großes Risiko aus Datenschutzsicht dar: Wo sie sich nicht vermeiden lassen, empfiehlt sich ebenfalls eine Verschlüsselung. Schließlich kann es sich auch lohnen, USB-Ports gleich komplett oder für externe Speicher zu sperren.
5. Datenmüll vermeiden
Was für die Umwelt gilt, ist auch im Datenschutz richtig: Müllvermeidung ist besser als Mülltrennung. Als Datenmüll gelten etwa unnötige Dateien und Kopien auf anderen Datenträgern: Personenbezogene Daten sollten so wenig wie irgend möglich verarbeitet werden, dazu verpflichtet die DSGVO.
Müll im direkten Sinne entsteht aber auch durch überflüssige Ausdrucke auf Papier. Keinesfalls gehören diese in die heimische Altpapiertonne! Wo Papier anfällt, sollte es in einem abschließbaren Schrank verwahrt und dann bei nächster Gelegenheit im Büro im Schredder landen.
6. Clean Desk
An einem aufgeräumten Schreibtisch arbeitet es sich auch aufgeräumt. Was im Büro gilt, ist auch im Homeoffice sinnvoll: Mitarbeiter sollten im Sinne des Clean-Desk-Gedankens zum Feierabend ihren Schreibtisch so aufräumen, dass sie am nächsten Morgen mit der Arbeit beginnen können, ohne zunächst den Laptop unter Papierbergen freiräumen zu müssen.
Es verbietet sich von alleine, Ausdrucke mit sensiblen Daten offen herumliegen zu lassen: Diese gehören auch bei kurzer Abwesenheit in einen abschließbaren Schrank.
7. Kontrolle behalten
Die Arbeit im Homeoffice setzt einen gewissen Vertrauensvorschuss des Arbeitgebers voraus. Die Erfahrung zeigt, dass dieses Vertrauen in den seltensten Fällen enttäuscht wird. Kleinliche Kontrollanrufe sind wenig sinnvoll und wirken eher demotivierend. Dennoch hat der Arbeitgeber weiterhin eine Verantwortung nicht zuletzt für den Datenschutz im Homeoffice und sollte sich daher gewisse Kontrollmöglichkeiten wahren.
Dem steht entgegen, dass die Unverletzbarkeit der Wohnung vom Grundgesetz ganz besonders geschützt wird. Unangemeldete Besuche im Homeoffice scheiden deshalb von vornherein aus. Wie dennoch eine Kontrolle möglich sein kann, sollte in der Homeoffice-Vereinbarung geregelt werden.
8. Vorfälle kommunizieren
Falls trotz aller Vorkehrungen zum Datenschutz im Homeoffice Datenpannen auftreten, ist eine offene und ehrliche Kommunikation das oberste Gebot. Der Arbeitnehmer sollte wissen, auf welchem Weg er seinen Arbeitgeber über relevante Vorfälle informieren kann. Nicht jede Datenpanne ist dann auch für den Arbeitgeber meldepflichtig: Ob dem so ist, kann ein externer Datenschutzbeauftragter klären helfen.
Lesetipps
- Zero Trust erklärt: Ein moderner Ansatz für Cyber Security
- IT-Sicherheitsmanagement: Der umfassende Einstieg
Dieser Artikel gehört zu: UPLOAD Magazin 84
Hacker, Phisher, Datendiebe: In dieser Ausgabe helfen wir Ihnen in drei ausführlichen und tiefgehenden Artikeln, sich gegen typische Angriffszenarien zu schützen. In einem Beitrag geben wir eine Einführung ins IT-Sicherheitsmanagement: vom IT-Sicherheitskonzept über die Idee des IT-Grundschutzes bis hin zu konkreten Maßnahmen. Ein weiterer erklärt das „Zero Trust“-Prinzip. Und schließlich geben wir einen Überblick zu den wichtigsten Trends und und Bedrohungen rund um Cyber Security. Darüber hinaus haben wir zwei spannende Bonus-Artikel für Sie: Einer zeigt Ihnen auf, wie sich Marketing-Automation im B2B sinnvoll umsetzen lässt. Ein anderer stellt das E-Commerce-System Shopware 6 vor.
- Weitere Artikel aus dieser Ausgabe kostenlos auf der Website lesen ...
- Bleib auf dem Laufenden über neue Inhalte mit dem „Update am Montag“ …
Schon gewusst? Mit einem Zugang zu UPLOAD Magazin Plus oder zur Content Academy lädst du Ausgaben als PDF und E-Book herunter und hast viele weitere Vorteile!
Jan hat mehr als 20 Jahre Berufserfahrung als Online-Journalist und Digitalpublizist. 2006 hat er das UPLOAD Magazin aus der Taufe gehoben. Seit 2015 hilft er als CONTENTMEISTER® Unternehmen, mit Inhalten die richtigen Kunden zu begeistern. Und gemeinsam mit Falk Hedemann bietet er bei UPLOAD Publishing Leistungen entlang der gesamten Content-Marketing-Prozesskette an. Der gebürtige Hamburger lebt in Santa Fe, New Mexico.