Präventive Maßnahmen zur Verringerung der durch Telearbeit entstehenden Cyber-Security-Risiken

Der Einsatz von Telearbeitenden könnte für KMU wie im vorigen Post erörtert sehr viele Vorteile bieten. Aufgrund der überraschenden Ausbreitung des Corona-Virus sind KMU dazu aufgefordert, möglichst rasch entsprechende praktikable Maßnahmen zu setzen.

Steigerung des Unternehmenswerts im Umfeld niedriger Zinsen – weitere Informationen zum Thema bietet mein KOSTENLOSES WHITEPAPER! Tragen Sie hier Ihre eMail-Adresse ein

Dabei muss darauf geachtet werden, dass mögliche (durch die Telearbeit erhöhte) Risiken im Cyber-Security-Bereich minimiert und überwacht werden. Daher müssen KMU entsprechende Schutzmaßnahmen implementieren und Verhaltensregeln für den Umgang mit den verschiedenen technologischen Systemen gesetzt werden. Bei Telearbeitenden bestehen insbesondere Risiken im Zusammenhang mit dem Fernzugriff auf unternehmensinternen Daten und als auch der Nutzung von verschiedenen Systemen und Softwares des Unternehmens zu beachten.

Aufgrund der Komplexität heutiger IT-Systeme, können natürlich nicht alle Risiken vollständig ausgeschalten werden. Man kann diesen Risiken allerdings so gut wie möglich präventiv entgegenwirken, damit durch die Telearbeit entstehende Risiken auf ein Minimum reduziert werden. Dies ist vor allem vor dem Hintergrund wichtig, dass meist die Verhaltensweisen der Telearbeitenden selbst das größte Risiko für ein Unternehmen darstellt. Zuerst muss festgestellt werden, welche zukünftigen Interaktionen des Telearbeitenden mit dem unternehmensinternen System notwendig sein werden (Architektur-Entscheidung).

Jene Telearbeitenden, welche keine tägliche Interaktion mit dem Netzwerk des Unternehmens oder einer darauf befindlichen Datenbank benötigen, können ihrer Arbeitsverpflichtung auch erfolgreich nachkommen, indem nur eine (lose) Verbindung via E-Mail oder Telefon mit dem Unternehmen besteht. Nicht sensible Daten können vom Telearbeitenden per E-Mail an das Unternehmen übermittelt werden. Sollten sensible Daten übermittelt werden müssen, so ist darauf zu achten, dass derartige E-Mails verschlüsselt versendet werden, um die Vervielfältigung oder das Auslesen der sensiblen Daten zu verhindern. ­Da keine Verbindung mit dem unternehmensinternen Netzwerk hergestellt wird, können potenzielle Angriffspunkte für Hacker stark reduziert werden. Weiterhin bleiben Risiken im Zusammenhang mit Phishing-E-Mails oder Social Engineering bestehen, worüber diese Telearbeitenden informiert werden müssen.

Ist es für Telearbeitende hingegen notwendig auf das unternehmensinterne Netzwerk zuzugreifen, so wäre es möglich, diesen Fernzugriff mittels einer Remotedesktopverbindung zu ermöglichen. Damit das Risiko minimiert wird, potenziellen Hackern zusätzliche Angriffspunkte zu eröffnen, sollte ein Virtual Private Network (VPN) eingesetzt werden. Damit wird dem Telearbeitenden ermöglicht, von seinem Home-Office aus verschlüsselt auf das unternehmensinterne Netzwerk zugreifen zu können. Ein sicherer Datentransfer ist die Folge. Die Anmeldung des Telearbeitenden zum VPN sollte dabei über eine Zwei-Faktor-Authentifizierung stattfinden. Somit kann das Risiko verringert werden, dass Betrüger das Passwort des Telearbeitenden für den Zugriff auf die unternehmensinternen Daten herausbekommen. Weiterhin bestehen die Gefahren im Zusammenhang mit Phishing-E-Mails oder Social Engineering. Zudem bietet das VPN keinen Schutz für Fälle, in denen der Telearbeitende infizierte Programme auf sein Notebook herunterlädt.

Jedem Telearbeitenden sollte eine möglichst niedrige, ausreichende Berechtigungsstufe zugewiesen werden, damit dieser seine Aufgaben innerhalb der Organisation erfüllen kann. Werden Telearbeitenden überschießende Berechtigungen erteilt, so könnten diese von den Telearbeitenden selbst (unbeabsichtigterweise) missbraucht werden bzw. im Falle eines erfolgreichen Hackerangriffs würde ein viel höherer Schaden verursacht werden.

 Zudem muss die Frage beantwortet werden, ob Telearbeitende ihre eigenen Endgeräte, wie Notebook oder Handy, für den Fernzugriff auf das unternehmensinterne Netzwerk nutzen dürfen oder diesen Endgeräte vom Unternehmen zur Verfügung gestellt werden. Hierbei wäre wohl eher letzteres zu empfehlen, weil dadurch etwaige Cyber-Security-Risiken besser eingeschränkt werden könnten. Der Nachteil von dieser Variante ist, dass die Beschaffung dieser Endgeräte meist einiges an Geld kostet und die Telearbeitenden nur ein standardisiertes Endgerät erhalten. Wird den Telearbeitenden erlaubt, ihre eigenen Endgeräte zu verwenden, so sollte versucht werden, dass diese Endgeräte über Drittanbieter-Software derart überwacht werden, dass sich die dadurch entstehenden Risiken verringern werden können. Natürlich ist in diesem Zusammenhang auch an die zu schützende Privatsphäre des Telearbeitenden zu denken.

Telearbeitende müssen bei der sorgfältigen Verwendung eines Endgeräts für die Arbeit, egal ob es sich um ein Notebook oder ein Handy handelt, verhindern, dass dritte Personen – auch jene, welche im Familienverbund mit diesen zusammenleben – Zugriff auf diese Endgeräte erhalten. Ansonsten steigt das Risiko für Schäden erheblich an. Ein heruntergeladenes Programm des Kinders oder das (unabsichtliche) Anklicken von manipulierten Links, können hierbei schnell zu einem sehr großen Schaden aufgrund eines Datenverlustes oder der Erpressung durch Betrüger führen. Der Telearbeitende hat ebenso die Verpflichtung die verschiedenen Zugangspasswörter geheim zu halten, wobei es durchaus sinnvoll erscheint diese mittels eines Passwort Manager aufzubewahren. Des Weiteren sind fremde USB-Sticks nur in Ausnahmefällen zu verwenden, weil sich auf diesen schädigende Programme befinden können.

Zudem sollen alle für die Arbeit verwendeten Endgeräte niemals an ungesicherten öffentlichen Plätzen, wie z.B. einem Café, am Flughafen oder in einer Hotel-Lobby liegen gelassen werden. In derartigen Situationen ist das Risiko für einen Diebstahl dieser Endgeräte, welche viele sensible Daten beinhalten, sehr hoch. Als weitere Sicherheitsmaßnahmen sollten daher die für die Arbeit verwendeten Endgeräte verschlüsselt und mit einem Tracking versehen werden, damit im Falle eines Diebstahls möglichst wenige Daten verloren gehen und die gestohlenen Endgeräte wieder aufgefunden werden können.

Weiters sollte das Unternehmen den Telearbeitenden darüber informieren, mit welchen Einstellungen die Endgeräte betrieben werden dürfen, damit das Risiko für etwaige Cyber-Angriffe möglichst minimiert werden kann. Dabei könnte es auch sinnvoll sein, eine Vereinbarung über die akzeptable Verwendung eines Endgeräts abzuschließen.

Eine Alternative zum Zugriff auf das unternehmensinterne Netzwerk über ein VPN könnte die Verwaltung der internen Daten über eine Cloud-Plattform, wie z.B. Google Drive oder Dropbox, darstellen. Wichtig ist hierbei, dass sich das Unternehmen nach Prüfung der verschiedenen Alternativen für den besten Anbieter entscheidet. Dabei ist unter anderem darauf zu achten, dass sich alle Mitarbeitenden nur mittels einer Zwei-Faktor-Authentifizierung bei der Cloud-Plattform anmelden können und das Unternehmen kontrollieren kann, welche Mitarbeitenden für wie lange Zugang zu den verschiedenen Daten hatte. Auch sollte man sich die Frage stellen, wie Apps innerhalb der Cloud geschützt werden können. Durch ein angemessenes Kontrollsystem sollten Mitarbeitende auf etwaige Fehler im Umgang mit der Cloud-Plattform stets möglichst schnell hingewiesen werden, damit in Zukunft die gleichen Fehler vermieden werden können.

Bitcoin kurz analysiert – Währung, Kapitalanlage oder Spekulation? Wie spekuliert man am besten mit der Kryptowährung? – weitere Informationen zum Thema bietet mein KOSTENLOSES WHITEPAPER! Tragen Sie hier Ihre eMail-Adresse ein

Eine cloudbasierte Lösung hätte den Vorteil, dass Dateien direkt in dieser bearbeitet werden können und es für Telearbeitende keinen Unterschied macht, ob sie ihr eigenes oder ein vom Unternehmen zur Verfügung gestelltes Endgerät für den Zugriff auf die internen Daten verwenden. Außerdem wird durch eine cloudbasierte Lösung die Kommunikation und Zusammenarbeit der verschiedenen an einem Projekt beteiligten Personen erleichtert. Die unternehmensinternen Daten bleiben dabei in der Cloud gespeichert, unabhängig davon, von wo aus die Mitarbeitenden ihrer Arbeitsverpflichtung nachkommen. Zudem werden automatisiert Back-Ups erstellt und gespeichert. Zudem dürfte eine Integration aller Daten einfacher möglich sein.

Da Telearbeitende selbst regelmäßig das größte Risiko für das Unternehmen darstellen, sind unternehmensinterne Verhaltensregeln im Zusammenhang mit dem Umgang von sensiblen Daten und der Verwendung interner Systeme als auch der Endgeräte einzuführen und zu kommunizieren.

Telearbeitende müssen Wi-Fi-Netzwerke sorgfältig nutzen und sich nur mit gesicherten Wi-Fi-Netzwerken verbinden. Ungesicherte Netzwerke, wie z.B. in einem Café oder Hotel, stellen hingegen ein Sicherheitsrisiko dar. Grundsätzlich sollten Telearbeitende für die Verrichtung ihrer Arbeit ihr eigenes (gesichertes) Heimnetzwerk verwenden, welches in regelmäßigen Abständen aktualisiert wird. In ungesicherten Netzwerken kommt es immer wieder vor, dass Passwörter der Nutzer dieser Netzwerke durch Betrüger erfasst werden können. Dieses Problem kann entschärft werden, indem Telearbeitende mit einem entsprechenden Handytarif ausgestattet werden, womit sie ihr eigenes Wi-Fi-Netzwerk erstellen können und nicht auf ein ungesichertes Netzwerk zurückgreifen müssen.

In diesem Zusammenhang muss allerdings auch bedacht werden, dass diese privaten, gesicherten Netzwerke im Gegensatz zum Unternehmensnetzwerk oft über keine starke Antivirensoftware, eine maßgeschneiderte Firewall oder automatische Back-Up-Tools verfügen. Dies erhöht das Risiko, dass die Endgeräte des Telearbeitenden mit einer Malware über das eigene Netzwerk infiziert werden können.

Telearbeitende müssen für all ihre Zugänge starke Passwörter verwenden, weil nur dadurch eine sichere Authentifizierung des Telearbeitenden gewährleistet werden kann. Jedes sichere, starke Passwort sollte zumindest über folgende Eigenschaften verfügen:

  • 10 verschiedene Zeichen
  • Verwendung von Groß- und Kleinbuchstaben
  • Verwendung mindestens einer Zahl und eines Sonderzeichens wie #, $, % oder &
  • Keine Verwendung von Wörter aus dem Wörterbuch oder bekannten, kompromittierten Passwörtern
  • Keine Verwendung persönlich identifizierbarer Informationen wie Namen oder Geburtstage

In diesem Zusammenhang kann es auch sinnvoll sein, sich ganze Sätze zu überlegen, deren Buchstaben zum Teil durch Sonderzeichen oder Zahlen ersetzt werden und zufällig Groß- und Kleinbuchsstaben enthalten. Jedes Passwort darf nur für einen verschiedenen Zugang verwendet werden. Durch Passwort Manager können diese Passwörter sicher aufbewahrt werden. Um gegen die Risiken der verschiedenen Passowort Manager noch weiter vorzubeugen, empfiehlt es sich eine zusätzliche Zwei-Faktor-Authentifizierung zu verwenden. Zudem können auch biometrische Daten der Telearbeitenden, wie z.B. ein Fingerabdruck oder das Gesicht, im Rahmen einer Zwei-Faktor-Authentifizierung genutzt werden.

Weiters sollten Websites als auch Apps festgelegt werden, welche vom Telearbeitenden nicht besucht bzw. verwendet werden dürfen, weil sie mit hoher Wahrscheinlichkeit gefährliche, infizierte Inhalte beinhalten. Durch die Empfehlung von vertrauenswürdigen Apps und Websites können zudem die verwendeten Programme und Dienste der Telearbeitenden standardisiert werden und damit einhergehende Risiken gesenkt werden.  

Gerade in jenen Zeiten, in welchen wenige globale Themen den Nachrichtenfluss dominieren, versuchen Betrüger oftmals durch Phishing-E-Mails an die Login-Details von Internetnutzern zu kommen bzw. deren Notebooks, mit Malware zu infizieren. In zweiteren Fall erpressen Betrüger oftmals ihre Opfer damit, dass die Daten des Notebooks erst dann freigegeben werden, wenn gewisse Geldsummen überwiesen wurden. Auch im Zuge der Corona-Krise wurden bereits vermehrt Phishing-E-Mails entdeckt, in denen behauptet wurde, dass das Corona-Virus in der Heimatstadt des Nutzers ausgebrochen ist. Auch wurde versucht die Login-Details von Telearbeitenden zu erbeuten, indem diesen per E-Mail gesagt wurde, dass die neu eingerichtete Netzwerkverbindung getestet werden muss.

Scheint eine E-Mail verdächtig zu sein, weil diese z.B. von einem unbekannten Absender mit einer eigenartigen E-Mail-Adresse stammt oder der Inhalt der E-Mail atypisch ist, so ist man als Nutzer immer gut beraten, lieber in Ruhe etwas länger zu überlegen, als zu schnell und unüberlegt einen Link anzuklicken, hinter dem ein Erpressungstrojaner stecken könnte. Zudem sollen auch keine Bilder oder Anhänge von verdächtigen E-Mails heruntergeladen werden. Bei atypischen E-Mails von bekannten Kontakten kann es auch sein, dass der E-Mail-Account von diesem unbemerkt gehackt werden konnte.  

Wenn Telearbeitende auf das unternehmensinterne Netzwerk von zu Hause aus zugreifen, so muss einerseits die Netzwerksicherheit innerhalb des unternehmensinternen Netzwerkes als auch eine sichere Verbindung des Telearbeitenden zum unternehmensinternen Netzwerk gewährleistet werden.

Folgende Maßnahmen können ergriffen werden, um die unternehmensinterne Netzwerksicherheit zu erhöhen:

  • Installation einer Firewall zur Verhinderung nicht-autorisierter Zugriffe
  • Monitoring des Netzwerkes sowie aller Zugriffe darauf, um potenzielle Risiken präventiv zu erkennen
  • Festlegung von Regeln für die Nutzung der unternehmensinternen Netzwerke als auch die Datenübertragung von Dateien auf eigene Endgeräte
  • Regelmäßige Back-Ups von zentralen Datensätzen, Datenbanken und Softwaresystemen

Folgende Maßnahmen dienen einer sicheren Verbindung des Telearbeitenden auf unternehmensinterne Netzwerke sowie der sicheren Verwendung der (mobilen) Endgeräte:

  • Fernzugriff auf das interne Netzwerk über einen VPN mit einer Zwei-Faktor-Authentifizierung
  • Monitoring möglicher Schwachstellen der verwendeten mobilen Endgeräte
  • Installierung einer vorab vereinbarten Antivirensoftware auf allen verwendeten Endgeräten
  • Installation einer Firewall zur Verhinderung nicht-autorisierter Zugriffe
  • Automatisierte, regelmäßige Updates des Betriebssystems und aller Softwareprogramme
  • Ausschließliche Verwendung von Programmen, welche eine sichere Authentifizierung des Telearbeitenden ermöglichen
  • Verschlüsselung des verwendeten Endgeräts
  • Regelmäßige Back-Ups der auf dem Endgerät befindlichen Daten

In Bezug auf die Installation der verschiedenen Security-Tools, welche für mehr Sicherheit am verwendeten Endgerät sorgen, ist daran zu denken, dass die verwendeten Programme vom Unternehmen möglichst standardisiert festgelegt werden, um eine erleichterte Überwachung der mit der Verwendung dieser Programme einhergehenden Risiken zu ermöglichen. Zudem ist es wichtig, dass das Unternehmen Software-Lizenzen für diese verwendeten Programme besitzt, weil es sonst zu kostspieligen Gerichtsprozessen mit potenziell sehr hohen Strafen aufgrund der fehlenden Lizenz kommen könnte.

Neben der Verwendung dieser vereinbarten Tools besteht zudem die Gefahr, dass Telearbeitende andere Softwareprogramme verwenden, als jene, welche vom Arbeitgeber zur Verfügung gestellt bzw. vorgeschrieben werden. Dabei sollte eine gemeinsame Lösung angestrebt werden, die im Interesse aller Parteien ist. Hierbei kann es auch helfen den Telearbeitenden einen Leitfaden für den angemessenen Umgang mit den verschiedenen Technologien, Softwareprogrammen und Tools herauszugeben.

Immer öfter werden auch Messenger-Dienste auf dem Handy verwendet, um mit den Arbeitskollegen oder Vorgesetzten zu kommunizieren. Dabei ist zu beachten, dass zwar jeder der gängigen Dienste, wie WhatsApp, Telegram oder Signal, über eine (ausreichende) End-to-End-Verschlüsselung verfügt, allerdings andere Probleme auftreten. Zum einen werden die Benutzer durch das konsumentenartige, informelle Design dazu verleitet, vertrauliche oder unangemessene Informationen mit anderen Personen zu teilen. Dies könnte dazu führen, dass die in Erfahrung gebrachten Informationen dazu genutzt werden, um einen Arbeitskollegen bzw. das Unternehmen zu erpressen. Weiters ist nicht ganz klar, ob und inwieweit die im Chat übermittelten Informationen durch den Drittanbieter gespeichert werden. Viele Plattformen neigen in diesem Zusammenhang dazu, diese Daten nur sehr ungern zu löschen. Hierbei ist es auch wichtig, dass die Mitarbeitenden immer wieder durch Weiterbildungsmaßnahmen auf den neuesten Stand gebracht werden, damit sie klar zwischen den verschiedenen Kommunikationsmöglichkeiten, wie E-Mail, Telefon oder Messenger-Dienst, unterscheiden können. Durch die Wahl eines angemessenen Kommunikationskanals können Risiken in diesem Bereich erheblich reduziert werden. Wichtige Meetings könnten in Zeiten des Corona-Virus über diverse Dienste wie Skype oder Zoom abgehalten werden.

Zudem sollte auch ein Prozess für die Autorisierung und Freigabe von via E-Mail übermittelten Überweisungsaufträgen eingerichtet werden, damit in diesem Zusammenhang nicht Gelder an Betrüger ohne Einhaltung eines Vier-Augen-Prinzips überwiesen werden können.

Social Engineering als neuartige Gefahr für viele Unternehmen

Eine wichtige Rolle spielt auch, dass das Unternehmen bereits im Vorfeld Richtlinien für den Umgang und das Verhalten im Zusammenhang mit den verschiedenen eingesetzten Softwareprogrammen und Technologien an seine Mitarbeitenden ausgibt.

Dabei sind auch neuartigere Gefahren wie Social Engineering von Mitarbeitenden eines Unternehmens zu beachten. Social Engineering bedeutet, dass Mitarbeitende auf sozialen Netzwerken oder per E-Mail gezielt von meist attraktiven, alleinstehenden Personen kontaktiert werden. Daneben schlüpfen Betrüger oftmals auch in die Rolle eines Bekannten des Opfers oder anderer vertrauenswürdiger Personen. Aus anfänglichen unbedeutenden kurzen Nachrichten kann sich so schnell eine Freundschaft oder der Wunsch nach mehr entwickeln. Obwohl der Mitarbeitende die Person noch niemals gesehen hat, werden durch unzählige Nachrichten ein so großes Vertrauensverhältnis geschaffen, dass vertrauliche persönliche oder auch im Zusammenhang mit der Arbeit stehende Informationen an diese „fremde“ Person übermittelt werden. Auch die vermeintlich lockere Atmosphäre in einem Chat trägt dazu bei, dass Opfer zu einem lockeren Umgangston neigen. Hinter diesen Personen stehen allerdings meist Betrüger, welche eine oftmals (teilweise) gefälschte Identität angenommen haben. Durch das geschickte Ausnutzen von manipulativen Techniken und der Verlagerung der Konversation auf eine emotionale Ebene, werden die Mitarbeitenden zu Handlungen verleitet, welche sie unter normalen Umständen nicht setzen würden. Somit werden Geheimnisse über sensible unternehmensinterne Daten ausgeplaudert, ohne dass dies vom Opfer als falsch empfunden wird. Es handelt sich somit um eine raffinierte Form des Betrugs.

Durch Social Engineering nutzen Betrüger, dass Menschen viele ihrer Entscheidungen gefühlsbasiert treffen und nicht rational über Handlungen in der Freizeit auf sozialen Netzwerken nachdenken. Gerade wenn es um ranghohe, potenzielle Opfer geht, welche in einem international agierenden Unternehmen tätig sind, informieren sich die Täter bereits im Vorfeld sehr gezielt über diesen Mitarbeiter. Dabei werden Informationen aus diversen sozialen Netzwerken als auch andere Offline-Informationen über diese Person gesammelt, um möglichst viel über ihr Verhalten, ihre Interessen und ihre Lebenssituation herauszufinden. All dies kann dazu verwendet werden, um diese Person später bestmöglich zu manipulieren.

Jede Person kann verschiedene Maßnahmen setzen, um sich vor Social Engineering zu schützen. Im Zusammenhang mit sozialen Netzwerken sollte kritisch reflektiert werden, welche Informationen mit wem geteilt werden. Auch überraschende Privatnachrichten von neuen sozialen Kontakten sollten genau hinterfragt werden. Schließlich ist es Online viel leichter möglich, sich für eine nichtexistierende Person auszugeben. Auch bei Telefonaten mit unbekannten Personen sollten niemals sensible Daten mitgeteilt werden.

 

Jetzt downloaden!

Gratis Whitepaper

Wie Sie trotz 0% Zinsen eine Wertsteigerung in Ihrem Unternehmen erreichen:

  • Gratis Whitepaper
  • Schnelle Übersicht
  • Detaillierte Erklärung

Tragen Sie Ihre E-Mail ein und Sie können sofort mit dem Whitepaper starten:




Mit Klick auf den Button stimme ich zu, die Infos und ggf. weiterführendes Material zu erhalten (mehr Infos). Meine Daten sind SSL-gesichert und ich kann meine Zustimmung jederzeit widerrufen.

Hat Ihnen der Artikel gefallen? Dann fühlen Sie sich frei, ihn zu teilen!

Was brennt Ihnen unter den Nägeln?

Ihre Email-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit einem Stern (*) markiert.