Anzeige

Home Office Pyjama

Home Office kann zum IT-Risiko werden. Die Ursachen reichen von Unwissen über alte Hardware bis zu uneinheitlichen Sicherheitsrichtlinien. Unternehmen stehen im eigenen Interesse in der Pflicht, Mitarbeiter auch zuhause sicher an die IT anzubinden.

Das Starten des Arbeitsrechners im Home Office stellt jahrelang gut eingeübte Sicherheitspraktiken auf den Kopf. Die Folge: Noch während sich Mitarbeiter den Schlaf aus den Augen reiben, werden sie mit trickreichen Phishing-Versuchen und skrupelloser Ransomware konfrontiert. Und es kommt noch schlimmer: Kundengeheimnisse und andere sensible Daten werden hemmungslos aus dem ungesicherten Heimnetzwerk hin- und her geschickt, obgleich die Schutzmaßnahmen oft nur auf Antivirus und vielleicht ein VPN begrenzt sind. All dies entspricht keinesfalls den Sicherheitsanforderungen moderner Unternehmen, die nun erkennen, dass sie auch mit in der Pflicht sind, zahlreiche Cybersicherheitslücken am Heimarbeitsplatz zu schließen. Ein Teil der Lösung besteht in der Einführung branchenweiter Sicherheitsstandards für Remote Work. Das ist jedoch eine eher langfristige Angelegenheit, bei der Unternehmen kaum mitarbeiten können und auf zukünftige Produkte und Dienste warten müssen. Es gibt aber auch schneller umsetzbare Maßnahmen, mit denen Betriebe die Sicherheit ihrer Angestellten zuhause erhöhen können.

1. Mitarbeiterschulungen

Eine Vielzahl der größten Sicherheitsprobleme könnten schnell und ohne große Investitionen durch Mitarbeiterschulungen gelöst werden, bei denen etwa die IT-Administration oder Human Resource das Personal im Detail über die Gefahren von Phishing-E-Mails und des modernen Smart Homes aufklären. E-Mail-Kampagnen mit böswilliger Absicht sind allgegenwärtig und zielen die auf die Kompromittierung von Geschäfts-E-Mails ab Dabei ist Phishing generell das gravierendste Problem, dem Anwender ausgesetzt sind.. 86 Prozent aller Unternehmen geben an, dass diese Angriffe zunehmen. Beunruhigend in diesem Zusammenhang ist, dass 43 Prozent aller Mitarbeiter nicht einmal genau wissen, was ein Phishing-Angriff überhaupt ist. Aber auch die Risiken des Heimnetzwerks werden allgemein unterschätzt und man sollte über diese im Detail aufklären.

2. Sicherheit des Heimnetzwerks erhöhen

Eine Studie des Fraunhofer-Instituts aus dem Jahr 2020 ergab, dass es um die Sicherheit bei Heim-Routern nicht gut steht. Von den 127 analysierten Routern erhielten 45 im vergangenen Jahr keine Updates und viele waren mit hunderten Schwachstellen versehen. 22 Router wurden sogar seit zwei Jahren nicht aktualisiert und ein Gerät hatte bereits seit fünf Jahren kein Update erhalten. Derartige Router sind in vielen Haushalten jedoch weit verbreitet. Sie sollen nun für die Sicherheit der Heimarbeiter sorgen, die sich von zuhause aus mit der Unternehmensinfrastruktur verbinden? Im gleichen Netzwerk übrigens, dass darüber hinaus auch viele andere Geräte beheimatet, inklusive vieler unsicherer IoT-Geräte.

Telemetriedaten von Bitdefender zeigen hier die häufigsten Schwachstellen in Privathaushalten auf: Dazu gehören NAS-Geräte, Media-Player, Smart-TVs, IP-Kameras, Router, Streaming-Hardware und Heimüberwachungsgeräte. Da es mittlerweile in jedem Haushalt eine Vielzahl solcher intelligenten Geräte gibt, beherbergen sie auch eine Vielzahl an Sicherheitslücken. Somit befinden sich normalerweise gut abgesicherte Arbeitsrechner innerhalb eines Netzwerks in gefährlicher Nachbarschaft, da sie über „laterale Bewegungen“ angegriffen werden können. Auch „Buffer Overflow“-Schwachstellen und Denial of Service-Angriffe sind weit verbreitet, die zusammen mit Memory Corruption und erweiterten Privilegien ein Viertel aller Schwachstellen der von Bitdefender überwachten IoT-Geräte darstellen. Die einzige Möglichkeit solche Schwachstellen zu finden und möglicherweise zu entschärfen, stellt eine Endpunkt-Risikoanalyse dar.

Die Sicherheit von Heimnetzwerken lässt sich generell auch erhöhen, wenn moderne Router mit implementierten leistungsstarken Sicherheitslösung genutzt werden.

3. Fehlkonfigurationen auf Unternehmensebene verbessern

Aber nicht alle Risiken gehen auf die Kappe von Mitarbeitern und ihre privaten Heimnetzwerke. Fehlkonfigurationen auf Unternehmensebene stellen eine weitere Gefahr dar. Oftmals sind Sicherheitsrichtlinien der IT-Administration verwirrend und nicht einheitlich und lassen etwa unsichere Remote Desktop-Sitzungen (RDP) oder das Ausführen von Makros zu. Beides sind wichtige Einfallstore für Hacker. Telemetriedaten von Bitdefender legen nahe, dass sich Angreifer in 27 Prozent aller Fälle über Fehlkonfigurationen an den Endpunkten Zugang verschaffen. Probleme im Zusammenhang mit Konten und dem Speichern und Verwalten der dazugehörigen Passwörter verursachen am häufigsten Schwierigkeiten – allerdings dicht gefolgt von den Internet-Einstellungen.

Fazit: Mit wenigen Maßnahmen lässt sich die Sicherheit im Home Office erhöhen.

Endpoint-Security-Lösungen und VPN galten bisher als ausreichend, um Mitarbeiter außerhalb des Büros abzusichern. Nach einem Jahr Arbeit von zuhause hat sich gezeigt, dass die Gefahren für die  Unternehmen deutlich gestiegen sind. Es kann von ungeschulten Mitarbeitern nicht erwartet werden, komplexe Sicherheitsproblematiken zu verstehen und entsprechend sicher an die IT-Infrastruktur angebunden zu sein. Betriebe stehen im eigenem Interesse und in Ausübung ihrer Fürsorgepflicht vor der Aufgabe, die IT-Sicherheit ihrer Belegschaft im Home Office zu fördern. Es lassen sich wohl nicht sämtliche Probleme über Nacht lösen, aber schon mit nur wenigen einfachen Maßnahmen lässt sich die Sicherheit von Mitarbeitern in den eigenen vier Wänden auch kurzfristig erhöhen.

Möglichkeiten, das Arbeiten von Zuhause aus sicherer zu machen:

Kurzfristige Maßnahmen

  1. Mitarbeiterschulungen über die Gefahren von Phishing-E-Mails und des modernen Smart Homes planen und umsetzen.
  2. Alte Heim-Router durch neue, mit implementierten Sicherheitslösungen ausgestattete Geräte ersetzen.
  3. Eine Endpunkt-Risikoanalyse im Home Office durchführen.
  4. Sicherheitsrichtlinien auf Unternehmensebene klar formulieren und vereinheitlichen.
  5. Unsichere Remote Desktop-Sitzungen (RDP) und das Ausführen von Makros verbieten.

Langfristige Maßnahmen

Entwicklung branchenweiter Sicherheitsstandards im Auge behalten und so schnell wie möglich im Unternehmen umsetzen, sobald sie marktreif sind.

Bogdan Botezatu, Director of Threat Research and Reporting
Bogdan Botezatu
Director of Threat Research and Reporting, Bitdefender

Artikel zu diesem Thema

Homeoffice Security
Jan 16, 2021

In 10 Schritten zum sicheren Homeoffice

Homeoffice ist mehr als nur der Firmenrechner im heimischen Wohn- oder Schlafzimmer. Da…
VPN
Jan 05, 2021

Eine sichere Alternativen zum klassischen VPN?

IT-Administratoren hören seit einigen Jahren die Totenglocke des VPN läuten. Es ist zu…
RDP
Sep 24, 2020

Hacker: Täglich millionenfache RDP-Angriffe auf Home-Offices

Die Sicherheitsexperten von ESET schlagen Alarm: Seit dem Corona-bedingten Umzug in das…

Weitere Artikel

Ransomware

Ransomware-Bekämpfung mit Multi-Faktor-Authentifizierung

Da immer mehr Unternehmen mit Ransomware-Bedrohungen konfrontiert sind, müssen IT-Teams proaktive Schritte heranziehen, um Daten und Anwendungen zu schützen, die für Angreifer zu einem wertvollen Ziel geworden sind.
Cybersecurity

CrowdStrike und AWS bauen Partnerschaft aus

CrowdStrike kündigte heute neue Funktionen für die CrowdStrike Falcon-Plattform an, die mit den Diensten von Amazon Web Services (AWS) funktionieren und Kunden noch besser vor den wachsenden Ransomware-Bedrohungen und zunehmend komplexen Cyberangriffen…
EU Cyber Security

NIS 2 - ein Rückschritt für die Cybersicherheit der EU

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzt die aktuelle Cybersicherheitsituation als „angespannt bis kritisch‟ ein. „Informationssicherheit muss einen deutlich höheren Stellenwert einnehmen und zur Grundlage aller…
DevSecOps

DevSecOps in der IT-Sicherheit: Maßnahmen zur Steigerung des Sicherheitsbewusstseins

Durch die Digitalisierung der Gesellschaft gibt es heutzutage zahllose neue Produkte und Services. Schon jetzt bieten Smartphone-Apps und Web-Services Möglichkeiten, den Alltag zu vereinfachen und neue Dinge zu erleben. Grundlage dafür sind Nutzerdaten, mit…
Cybersecurity training

Anstieg in der Nachfrage für Sicherheitstrainings

Mit schnellen Schritten nähern wir uns Halloween. Wer sich gruseln möchte, muss allerdings nicht auf den Monatswechsel warten. Denn Oktober ist Cybersecurity Awareness Month, und ein Blick auf die steigende Zahl sowie die immer gravierenderen Folgen von…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.