In der Corona-Zeit haben sich Angreifer auf „Heimarbeiter“ eingeschossen. Kleine und mittlere Betriebe sind besonders betroffen.
© cyano66 – GettyImages.de
Cyber-Kriminelle gehören eindeutig zu den Corona-Gewinnlern: Datendiebstahl, Industriespionage und Sabotage haben laut einer Studie des Digitalverbands Bitkom 2020 in Deutschland einen Schaden von 223,5 Mrd. Euro verursacht. Ein Jahr zuvor hatte die Schadenssumme „nur“ 103 Mrd. Euro betragen. Vor allem die pandemiebedingte Ausweitung von Homeoffice wirkte als Wachstumsbeschleuniger für die Machenschaften der digitalen Wegelagerer. Nach Berechnungen des Instituts der deutschen Wirtschaft (IW) war 2020 ein Schaden von 52,5 Mrd. Euro allein auf Angriffe im Homeoffice zurückzuführen.
Vor der Pandemie arbeiteten laut Bitkom 7,7 Mio. Beschäftigte ganz oder teilweise zuhause. Als Deutschland Ende März 2020 in den ersten Lockdown ging, haben viele Arbeitgeber ihre Angestellten quasi über Nacht ins Homeoffice geschickt. 2020 saßen 18,8 Mio. Beschäftigte nicht mehr an ihren Büro-Schreibtischen, sondern im häuslichen Arbeitszimmer oder – weniger komfortabel – am Küchentisch. Die rasante Verlagerung der Erwerbsarbeit in die privaten vier Wände erforderte schnelles Handeln und Improvisationstalent. Die Unternehmen mussten die Gesundheit ihrer Mitarbeiter schützen und den Betrieb irgendwie aufrechterhalten. Für ausgefeilte IT-Sicherheitskonzepte für dezentrales Arbeiten blieb oft keine Zeit – mit teilweise fatalen Folgen, wie das IW feststellt: „Dass viele Unternehmen in der Pandemie verstärkt Mitarbeiter im Homeoffice eingesetzt haben, hat zu der enormen Steigerung der Schäden beigetragen.“
Ein ähnliches Bild zeichnet eine repräsentative Bitkom-Umfrage: Knapp 60 Prozent der Unternehmen, die Homeoffice ermöglichen können, berichten von „IT-Sicherheitsvorfällen, die auf Heimarbeit zurückzuführen sind“. Das Homeoffice gilt IT-Sicherheitsexperten als Hochrisikozone. Zusätzlich zur IT-Infrastruktur vor Ort in den Geschäftsräumen müssen nämlich Systeme an einer Vielzahl dezentraler Standorte und deren Verbindung zum Unternehmensnetzwerk geschützt werden. Damit vergrößert sich die Angriffsfläche für Cyber-Attacken. Bildlich gesprochen führen so etliche potenzielle Schleichwege und Nebeneingänge zum Tresorraum mit sensiblen Datenschätzen, zu denen sich Einbrecher nun wesentlich leichter Zugang verschaffen können.
Schwachstellen im Homeoffice
Diese Schleichwege sind schwer zu kontrollieren, denn das heimische Netzwerk der Mitarbeiter ist ein mögliches Datenleck. Über ungesicherte Router oder schlecht geschützte WLAN-Verbindungen können digitale Langfinger E-Mails oder Passwörter abgreifen. Die Verbindung zwischen externen Geräten im Homeoffice und dem Firmennetzwerk bietet Hackern ebenfalls Angriffspunkte und braucht deshalb besonderen Schutz. Die sicherste Option ist die Verbindung über ein Virtual Private Network (VPN), das sozusagen einen geschützten Tunnel zwischen den Endgeräten des Users und dem Gateway des Firmennetzwerks baut.
Grundsätzlich gilt unter IT-Sicherheitsaspekten die goldene Regel, dass Mitarbeiter keine privaten Endgeräte für betriebliche Aktivitäten nutzen sollten. Aber das Brechen dieser Regel war im Frühjahr 2020 zu Beginn des Lockdowns für viele Unternehmen die einzige Option, um funktionsfähig zu bleiben. Es war unmöglich, für die ins Homeoffice geschickten Mitarbeiter auf die Schnelle Laptops oder andere Endgeräte zu beschaffen. So setzten Firmen auf Remote-Desktop-Lösungen. Dabei verwandelt sich der Rechner zuhause in einen Bildschirm, der per VPN-Verbindung direkt mit dem Arbeitsrechner verbunden ist. Für die IT-Sicherheit sind die privaten Endgeräte allerdings eine Blackbox – ohne Kontrolle über Updates, Virenprogramme etc.
Nach Angaben des Bundesamts für Sicherheit und Informationstechnik (BSI) stellen lediglich 42 Prozent der Unternehmen ihren Beschäftigten firmeneigene IT für die Heimarbeit zur Verfügung. Das heißt im Umkehrschluss, dass der Einsatz privater Endgeräte eine Gefahrenquelle bleibt. Um die Risiken zu minimieren, empfehlen IT-Experten eine Bestandsaufnahme der von Mitarbeitern verwendeten Endgeräte. Darüber hinaus ist eine wichtige Schutzmaßnahme, für User die Zugangsberechtigungen innerhalb des Firmennetzwerks zu definieren. Falls ein Eindringling das Gateway überwindet, stehen ihm wenigstens nicht alle Daten zur Verfügung.
Neben diesen technischen Angriffsflächen spielt der „Faktor Mensch“ eine Schlüsselrolle für die IT-Sicherheit. Die Angreifer wollen den Mitarbeitern mit Social Engineering-Tricks und Phishing-Mails sensible Daten entlocken. Mit professionell aufgemachten Phishing-Mails werden Empfänger beispielsweise aufgefordert, Daten einzugeben, einem Link zu folgen oder einen Anhang mit angeblichen Geschäftsdokumenten wie Lieferscheinen oder Rechnungen zu öffnen. Der Klick auf solche Links oder Anhänge kann böse Folgen haben, denn auf diesem Weg lässt sich Schad-Software ins Netzwerk einschleusen. Schlimmstenfalls handelt es sich um Ransomware zur Verschlüsselung von Unternehmensdaten, deren Entschlüsselung sich Erpresser teuer bezahlen lassen wollen.
Social Engineering bedeutet soziale Manipulation, mit der das Gegenüber zu einem bestimmten Verhalten verführt werden soll. Dabei greifen Cyber-Kriminelle häufig zu den Mitteln Zeitdruck, Emotionalität und Appelle an die Hilfsbereitschaft. Ein Neuling im Unternehmen wird schon mal unsicher, wenn der vermeintliche IT-Administrator anruft und scheinbar verzweifelt um das Passwort bittet, weil er nur damit den drohenden Kollaps des Firmennetzwerks abwenden könne.
Die Phänomene Phishing und Social Engineering gibt es natürlich auch bei der Präsenzarbeit im Firmengebäude. Aber im Homeoffice steigt die Anfälligkeit für diese illegalen Manöver: Der User sitzt allein am Rechner, Ansprechpartner sind schwerer zu erreichen, die Kommunikationswege sind nicht eingespielt. Vor Ort im Büro gibt es Kollegen, die man schnell „auf dem kurzen Dienstweg“ um Rat fragen könnte, wenn einem eine E-Mail oder ein Anruf seltsam vorkommt. Außerdem haben Cyber-Kriminelle die psychische Ausnahmesituation und das Informationsbedürfnis der Menschen während der Pandemie gnadenlos ausgenutzt. Als Köder in Phishing-Mails setzten sie deshalb häufig Nachrichten zu Corona-Themen ein.
Auch wenn die Fallzahlen steigen, nehmen viele Unternehmen das Hacker-Risiko nach wie vor tendenziell nur als abstrakte Gefahr wahr. In einer Umfrage des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) stimmten 76 Prozent der Aussage zu „Das Risiko von Cyberkriminalität für mittelständische Unternehmen in Deutschland ist eher bzw. sehr hoch“. Gleichzeitig halten aber 70 Prozent die Gefahr für das eigene Unternehmen für gering. Gerade Mittelständler und Kleinbetriebe erliegen dem Irrtum, unattraktive Ziele für Hacker-Angriffe zu sein. Aber das Gegenteil ist richtig: Für Cyber-Kriminelle sind Mittelstand und Freiberufler eine begehrte, weil leichtere Beute als große Konzerne mit einer hochprofessionellen IT-Abteilung.
Das Bundesamt für Sicherheits- und Informationstechnik (BSI) hat im zweiten Halbjahr 2020 eine repräsentative Umfrage zur IT-Sicherheit im Homeoffice durchgeführt, mit ernüchternden Ergebnissen: „Insgesamt zeigt sich bei der Umsetzung von technischen und organisatorischen Maßnahmen ein ungenügendes Bild. […] Deutlich zeigt sich, dass Kleinst- und Kleinunternehmen hier besonderen Nachholbedarf haben.“ Den erkennt jedoch nur eine Minderheit der Akteure: Laut der BSI-Studie planen nur wenige Unternehmen weitere Schutzmaßnahmen zur Absicherung des Homeoffice.
Sicherheit ist ständige Herausforderung
Diese Haltung könnte sich rächen, denn das Thema IT-Sicherheit im Homeoffice bleibt aktuell. Selbst wenn in der Post-Pandemie-Zeit wieder mehr Beschäftigte in die realen Bürowelten zurückkehren, hat die Fünf-Tage-Bürowoche als Standardmodell für Vollzeitarbeiter wohl ausgedient. Jeder fünfte Betrieb plant, seine Homeoffice-Angebote im Vergleich zum Niveau vor der Corona-Krise auszuweiten, so eine Erhebung des Instituts für Arbeitsmarkt- und Berufsforschung (IAB). Zwei Drittel der Betriebe beabsichtigen, Heimarbeit im selben Umfang zu ermöglichen wie vor der Pandemie. Es zeichnet sich ab, dass die neue Normalität für Büromenschen von hybriden Arbeitsmodellen geprägt wird, also von einer Mischung aus Arbeit und Zusammenarbeit in Präsenz und auf Distanz. Vor diesem Hintergrund bleibt die IT-Sicherheit im Homeoffice eine ständige Herausforderung.
