Unternehmen in Deutschland unterschätzen die Cyberrisiken, die sich aus der Arbeit im Home Office ergeben können. So beklagen acht von zehn deutschen Mitarbeitern, dass sie bisher keine spezifischen Richtlinien oder Schulungen zum Thema Cybersicherheit für das Arbeiten von Zuhause aus erhalten haben. Dabei nutzen Cyberkriminelle die Situation rund um die Corona-Pandemie verstärkt für ihre Aktivitäten aus, unter anderem mit Spam- und Phishing-Mails. Ein weiteres Problem: das Home-Office verleitet 26 Prozent der Mitarbeiter dazu, vom Unternehmen nicht genehmigte Videokonferenz-Tools zu nutzen.
Da viele aufgrund von COVID-19 weiterhin von Zuhause aus arbeiten, müssen Unternehmen sicherstellen, dass ihre Mitarbeiter die gewohnte Arbeitsumgebung nutzen können. Dabei wird insbesondere der Cyberschutz der Mitarbeiter beziehungsweise einer Vielzahl an verwendeten Diensten (meist aus der Cloud) zu einer Herausforderung. Umfassende Cybersicherheitsmaßnahmen sind hierbei von entscheidender Bedeutung, da Remote-Arbeit neue Risiken mit sich bringt; dazu zählen unter anderem vermehrte Spam- und Phishing-Angriffe, die Verbindung zu gefährdeten WLAN-Spots oder die Verwendung von Schatten-IT durch Mitarbeiter.
Die aktuelle Kaspersky-Studie zeigt jedoch, dass Arbeitnehmer klare Ansagen und Regeln bezüglich der Themen Datenschutz und IT-Sicherheit im Home-Office vermissen. 81 Prozent der in Deutschland befragten Beschäftigten geben an, dass sie zu Beginn der Remote-Arbeit keine Cybersicherheitseinweisung oder -schulung erhalten haben (weltweit sind es im Übrigen nur 73 Prozent).
Dabei hat jeder sechste (16 Prozent) bereits Phishing-Mails mit COVID-19-Bezug erhalten. Das versehentliche Herunterladen von schädlichen Inhalten aus einer solchen E-Mail kann dazu führen, dass Geräte infiziert und Geschäftsdaten kompromittiert werden. Viele Mitarbeiter nutzen zudem Online-Dienste, die nicht von ihren IT-Abteilungen genehmigt wurden – zum Beispiel für Videokonferenzen (26 Prozent), Instant Messenger- (24 Prozent) oder Dateispeicherdienste (24 Prozent).
Empfehlungen für Unternehmen mit Mitarbeitern im Home Office
- Sicherstellen, dass Mitarbeiter wissen, an wen sie sich bei IT- oder Sicherheitsproblemen wenden können. Dabei sollte vor allem auf Mitarbeiter geachtet werden, die mit persönlichen Geräten arbeiten; sie sollten mit speziellen Richtlinien und Sicherheitsempfehlungen versorgt werden.
- Grundlegende Security-Awareness-Schulungen für Mitarbeiter durchführen. Diese können online erfolgen und sollten wichtige Vorgehensweisen wie Konto- und Kennwortverwaltung, E-Mail-Sicherheit, Endpunktsicherheit und Surfen im Internet beinhalten. Kaspersky hat zusammen mit Area9 Lyceum, einem Anbieter für Adaptives Lernen, ein kostenfrei verfügbares Modul für die Tätigkeit im Home Office entwickelt.
- Die wichtigsten Datenschutzmaßnahmen zum Schutz von Unternehmensdaten und -geräten ergreifen, einschließlich Passwortschutz, Verschlüsselung von Arbeitsgeräten und regelmäßiger Backups.
- Alle Geräte, Software, Anwendungen und Dienste sollten stets mit den neuesten Patches aktualisiert werden.
- Eine umfassende Sicherheitslösung auf allen Endpunkten, einschließlich Mobilgeräten, verwenden. So kann sichergestellt werden, dass nur genehmigte Onlinedienste für Arbeitszwecke verwendet werden. Dadurch werden die Risiken von Schatten-IT verringert.
Das "Bundesamt für Sicherheit in der Informationstechnik" (BSI) hat weitere Hinweise und eine Liste potentieller Bedrohungen zusammengestellt:
- Seien Sie vorsichtig bei E-Mails von fremden Adressen, die Links zu angeblichen Programmen für die Arbeit im Home Office oder zur Videotelefonie enthalten.
- Installieren Sie Anwendungen nur nach Prüfung und aus den Originalquellen, also beispielsweise den Appstores. Sollten Sie beruflich zu einer Installation aufgefordert werden, prüfen Sie an entsprechender Stelle die Richtigkeit der Angabe mit einem Anruf. Dazu sollten Sie keine der Telefonnummern aus der E-Mail verwenden, sondern stets über firmeninterne Telefonbücher oder Intranetangaben recherchieren.
- Sehen Sie sich bei jeder E-Mail die Absenderadresse genau an. Zwar ist es möglich, original erscheinende Adressen zu fälschen, oft handelt es sich jedoch um fehlerhaft erstellte Adressen, die Ihnen eine eindeutige Warnung sein können.
- Gefahr besteht auch bei E-Mails, die Ihnen nahelegen, persönliche Daten wie Passwörter oder Zahlungsinformationen zu übermitteln.
- Keine seriöse Organisation, egal ob Finanzinstitut, Behörde oder Unternehmen befragt Sie nach persönlichen Daten per E-Mail oder Telefon. Seien Sie immer skeptisch, wenn Sie auf diesen Wegen zu einer Eingabe aufgefordert werden. Löschen Sie im Verdachtsfall die betreffenden E-Mails und klicken Sie keinesfalls auf enthaltene Links. Ausweiskopien sollten Sie niemals per E-Mail übermitteln.
- Einge Webseiten täuschen vor, von einem seriösen Unternehmen betrieben zu werden und verlangen, Daten zu hinterlegen, um über Neuigkeiten im Zusammenhang mit Corona informiert zu bleiben.
- Achten Sie genau auf die Schreibweise von Webadressen. Tippen Sie URLs wenn möglich selbst ein oder wählen Sie eine Internetseite über ein bereits angelegtes Lesezeichen an. Links aus E-Mails sollte grundsätzlich zunächst Misstrauen entgegengebracht werden.
- Zukünftig könnten auch Anrufe getätigt werden, in denen angeblich öffentliche Stellen Daten über die Ausbreitung der Epidemie erfassen wollen und dazu personenbezogene Informationen zu Anmeldedaten oder Bankzugängen abfragen.
- Machen Sie telefonisch niemals Angaben zu sensiblen Informationen. Behörden, Banken und anderen Institutionen fragen diese niemals auf diese Weise ab.
- Zudem werden betrügerische Webportale versprechen, Lösungen für Corona-bezogene Probleme bereitzustellen und dafür Produkte oder Dienstleistungen anbieten. Lassen Sie sich nicht von dieser Verlockung täuschen. Sollten wirksame Medizinprodukte auf den Markt gelangen, wird das Bundesministerium für Gesundheit darüber informieren
- Werbe- und Popup-Fenster können plötzlich erscheinen, um Ihnen entweder Heilmittel, Impfungen, und Behandlungen anzupreisen oder vorgeben, ein sicherheitsrelevantes Programm Ihres Arbeitgebers installieren zu wollen. Sie sollten grundsätzlich darauf verzichten, derartige Werbefenster anzuklicken. Solche Banner oder Popups können Schadsoftware enthalten, unabhängig von den Produkten, für die sie werben.