Sicherheitsrisiko Home Office
Reiche Beute für Phishing-Angreifer.
In der Coronakrise arbeiten so viele Menschen im Home Office wie nie zuvor. Diese aktuelle Ausnahmesituation nutzen Cyberkriminelle: Social-Engineeringund Phishing-Angriffe funktionieren besser denn je. Was können Arbeitgeber tun, um in diesen Zeiten eine größtmögliche Sicherheit zu bieten?
Optimal ist es, wenn Sie Ihre Mitarbeiter mit firmeneigenen Rechnern, Laptops und Smartphones versorgen können. Das ist aber nicht jedem Unternehmen für alle Home-Office-Mitarbeiter möglich. Müssen die Beschäftigten auf ihren eigenen PC oder Laptop zurückgreifen, ist zu bedenken, dass die Heimnetzwerke nicht so gut abgesichert sind wie die Firmennetzwerke. IT-Chefs sollten deshalb dafür sorgen, dass die Hardware im Home Office gut geschützt ist: Verschlüsseln Sie die Laptops und Smartphones Ihrer Mitarbeiter. Wenn möglich, richten Sie Mechanismen ein, um Mobilgeräte auch aus der Ferne sperren und löschen zu können. Oder sorgen Sie dafür, dass Unternehmensdaten in abgesicherten Containern bleiben.
Der Zugang zu Ihrem Netzwerk muss gut abgesichert sein. Der Aufbau eines virtuellen privaten Netzwerks (VPN) und wenn möglich auch eine Zwei-Faktor-Authentifizierung sind die Mittel der Wahl. Vertrauen Sie Ihren Spezialisten in der IT-Abteilung und den Lösungen, die diese Ihnen vorschlagen. Das gilt sowohl für Hardware als auch für Software: Wenn ein Tool ohne großen Aufwand gehandhabt und verwaltet werden kann, und wenn es vor allem als sicher gilt, kann es auch ein paar Euro teurer sein. Das Geld ist in der Regel gut angelegt.
Tools frühzeitig steuern
Gute Tools zu besitzen ist das eine, sie richtig einzusetzen das andere: Stellen Sie den Mitarbeitern nicht nur Chat-Software, Videokonferenzsysteme und Möglichkeiten zum Teilen von Dokumenten zur Verfügung. Denken Sie daran, ihnen auch Anleitungen für den Umgang mit diesen Werkzeugen zu geben. Für viele ist die Arbeit von zu Hause ungewohnt, und Neues macht unsicher. Andererseits: Wenn Sie zu wenig oder gar nichts anbieten, werden sich die Menschen ihre Lösungen selbst suchen. Dann kommen eben nicht-genehmigte Chat- und VideoTools zum Einsatz. Solche Schatten-IT-Szenarien einzufangen ist eine schwierige Aufgabe, die Gefahr von Sicherheitsvorfällen wächst massiv.
Information und Aufklärung ist gefragt
Das richtige Verhalten der Mitarbeiter war immer schon wichtig, jetzt gilt das ganz besonders. Cyberkriminelle haben seit jeher Ausnahmesituationen genutzt, mit der Coronakrise haben wir eine solche. Die Menschen sind verunsichert und neigen eher als sonst dazu, unbekannte E-Mail-Anhänge oder Links zu öffnen. Das gilt vor allem dann, wenn im Betreff etwas steht, das mit der Krisensituation unmittelbar zusammenhängt. Wenn beispielsweise die Bundesagentur für Arbeit aktuell über Kurzarbeit informiert, dann laufen wir schnell Gefahr, eine solche E-Mail anzuklicken – und ärgern uns hinterher über Schadsoftware, die wir uns eingefangen haben. Ähnliches gilt für vermeintliche Neuigkeiten vom Robert-Koch-Institut oder der Weltgesundheitsorganisation. Besser ist es, noch einmal nachzudenken: Wichtige
Informationen zur Pandemie werden nicht unaufgefordert per Mail verschickt! Das muss jede(r) im Unternehmen wissen.
Betrachten Sie es in diesem Zusammenhang als Ihre Pflicht, einmal mehr über die Vorgehensweisen von Cyberkriminellen aufzuklären: Diese bedienen sich oft des sogenannten Phishings. Darunter versteht man gefälschte Nachrichten, die Menschen dazu verleiten sollen, einen Anhang zu öffnen oder auf einen Link zu klicken. Auf diesem Weg soll Schadsoftware eingeschleust werden. Spear Phishing folgt dem gleichen Muster, wobei die E-Mails genauer auf die angegriffene Person zugeschnitten sind. Informationen dazu holen sich die Angreifer aus dem Internet und von Social-Media-Plattformen.
Umgang mit fraglichen E-Mails
Verbindliche IT-Sicherheitsregelungen für die Mitarbeiter sollten im Umgang mit E-Mails entsprechend lauten:
1. Absender genau prüfen und checken, von wem die Nachricht wirklich ist.
2. Niemals Anhänge von unbekannten Absendern öffnen. Auch in Office-Dokumenten können Schadprogramme lauern, vor allem in Anhängen, die Makros enthalten.
Links in E-Mails von fraglichen Absendern nicht direkt anklicken. Erst einmal genau prüfen, ob im Link beispielsweise ein Redirect-Befehl auftaucht, der erkennen lässt, dass auf einen anderen Adressaten umgeleitet wird.
Informieren Sie Ihre Mitarbeiter im Home Office in aller Deutlichkeit darüber, dass sich niemals ein Mitarbeiter aus der IT-Abteilung bei ihnen melden wird, um ein Passwort abzufragen – es sei denn, Ihr Mitarbeiter hat selbst aus einem vorhandenen IT-Problem heraus Unterstützung angefordert. Hintergrund: Die Taktik von Cyberkriminellen besteht oftmals darin, sich per Social-Media, E-Mail oder auch am Telefon für jemand anderen auszugeben, um an Informationen zu gelangen. Die Angreifer sammeln dafür Informationen im Internet und auf Social-Media-Plattformen, um die Person möglich genau zu „imitieren“. Beim Social Engineering, wie man dieses Vorgehen nennt, gehen Cybergangster immer perfider und leider auch professioneller vor. So ist es beispielsweise schon vorgekommen, dass sich jemand als Mitglied der Geschäftsführung ausgegeben und eine hohe Überweisung beauftragt hat, weil Prüfmechanismen im Unternehmen nicht gegriffen haben.
Newsletter und Webinare für Informationsund Schulungszwecke
Hören Sie nicht auf, bei Ihren Mitarbeitern immer wieder Vorsicht und Sorgfalt anzumahnen und die verbindlichen IT-Sicherheitsregelungen ins Gedächtnis zu rufen. Dazu gehört auch, dass die Beschäftigten verdächtige Vorfälle, die einen cyberkriminellen Hintergrund haben könnten, unverzüglich der IT melden, damit die einen möglichen Schaden kurzfristig eindämmen kann. Wenn ein dienstlich genutzter Laptop von einem Virus befallen ist, kann dieser sich nun einmal sehr schnell im Firmennetz ausbreiten.
Am besten ist es, Sie verdichten alle wichtigen Informationen zur Daten- und Informationssicherheit in einem kleinen Schulungs-Webinar, an dem alle Mitarbeiter im Home Office teilnehmen müssen. Außerdem bietet es sich an, den Mitarbeitern einfach verständliche Handouts zuzusenden und sie regelmäßig per Newsletter über Neuigkeiten in Sachen virtuelles Arbeiten zu informieren.
Gesundheit und Leistungsfähigkeit der Mitarbeiter im Blick behalten
Apropos Informationen zu virtuellem Arbeiten: Geben Sie Ihren Mitarbeitern im Home Office nicht nur Regelungen und Empfehlungen zum Zweck der Informations- und Datensicherheit an die Hand. Behalten Sie unbedingt auch die Gesundheit und Leistungsfähigkeit Ihrer Kollegen im Auge. Die Isolation schlägt manch einem aufs Gemüt. Viele sind es nicht gewohnt, im Home Office zu arbeiten und fühlen sich einsam. Ihnen fehlt der informelle Austausch in Büro und Kantine, hinzu kommen Ängste und Sorgen, die unsere Pandemie-Ausnahmesituation betreffen. Nicht immer schaffen es die Mitarbeiter in diesen Zeiten, sich voll zu konzentrieren und ihre gewohnte Leistung zu bringen. Rücksichtnahme ist jetzt das Gebot der Stunde.
Vielleicht gelingt es Ihnen auch, neue Routinen einzuziehen, die beispielsweise den Austausch in der Kaffeeküche ersetzen können. Regen Sie zum Beispiel an, dass sich Kolleginnen und Kollegen zu einer morgendlichen Runde verabreden – um Ideen auszutauschen oder einfach nur um ein bisschen herumzualbern. Für viele Mitarbeiter ist das Gespräch am Morgen im Büro ein wichtiges Ritual. Wenn sie plötzlich darauf verzichten müssen, schlägt das aufs Gemüt.
Tipps fürs Selbstmanagement im Home Office geben
Stehen Sie Ihren Kolleginnen und Kollegen auch mit Tipps für das Selbstmanagement im Home Office zur Seite – zum Beispiel via Newsletter oder mit einem täglichen Rundschreiben. Zu einem guten Selbstmanagement gehört unter anderem, sich Routinen zuzulegen, Pausen einzuplanen und sich zu bewegen. Auch sollte man sich morgens so anziehen, als würde man ins Büro fahren. Ebenso kann eine Abendroutine hilfreich sein – etwa, den Rechner bewusst herunterzufahren und erst einmal eine Runde um den Block zu gehen.
Insbesondere für Home-Office-Worker mit Familie ist es wichtig, Zeit und Raum für sich selbst zu schaffen. Vorgesetzte sollten mit Tipps, Ideen und Impulsen unterstützen. Und zu guter Letzt ist in diesen Zeiten auch Psychologie gefragt – das gilt nicht nur für Mitarbeiter im Home Office. Führungskräfte sollten die Sorgen und Ängste ihrer Mitarbeiter ernst nehmen und sich gut überlegen, wie sie deren Motivation aufrechterhalten können. Thematisieren Sie ruhig die möglichen Sorgen der Menschen in Zeiten von Corona und senden Sie im Verdachtsfall Links für psychosoziale Beratungsstellen. Setzen Sie auch immer wieder kleine Impulse für die Zeit nach der Pandemie. Denn mit Zielen und Plänen und einer positiven Ausrichtung arbeitet es sich einfach besser – auch im Home Office.