Anzeige

Home Office Pyjama

Home Office kann zum IT-Risiko werden. Die Ursachen reichen von Unwissen über alte Hardware bis zu uneinheitlichen Sicherheitsrichtlinien. Unternehmen stehen im eigenen Interesse in der Pflicht, Mitarbeiter auch zuhause sicher an die IT anzubinden.

Das Starten des Arbeitsrechners im Home Office stellt jahrelang gut eingeübte Sicherheitspraktiken auf den Kopf. Die Folge: Noch während sich Mitarbeiter den Schlaf aus den Augen reiben, werden sie mit trickreichen Phishing-Versuchen und skrupelloser Ransomware konfrontiert. Und es kommt noch schlimmer: Kundengeheimnisse und andere sensible Daten werden hemmungslos aus dem ungesicherten Heimnetzwerk hin- und her geschickt, obgleich die Schutzmaßnahmen oft nur auf Antivirus und vielleicht ein VPN begrenzt sind. All dies entspricht keinesfalls den Sicherheitsanforderungen moderner Unternehmen, die nun erkennen, dass sie auch mit in der Pflicht sind, zahlreiche Cybersicherheitslücken am Heimarbeitsplatz zu schließen. Ein Teil der Lösung besteht in der Einführung branchenweiter Sicherheitsstandards für Remote Work. Das ist jedoch eine eher langfristige Angelegenheit, bei der Unternehmen kaum mitarbeiten können und auf zukünftige Produkte und Dienste warten müssen. Es gibt aber auch schneller umsetzbare Maßnahmen, mit denen Betriebe die Sicherheit ihrer Angestellten zuhause erhöhen können.

1. Mitarbeiterschulungen

Eine Vielzahl der größten Sicherheitsprobleme könnten schnell und ohne große Investitionen durch Mitarbeiterschulungen gelöst werden, bei denen etwa die IT-Administration oder Human Resource das Personal im Detail über die Gefahren von Phishing-E-Mails und des modernen Smart Homes aufklären. E-Mail-Kampagnen mit böswilliger Absicht sind allgegenwärtig und zielen die auf die Kompromittierung von Geschäfts-E-Mails ab Dabei ist Phishing generell das gravierendste Problem, dem Anwender ausgesetzt sind.. 86 Prozent aller Unternehmen geben an, dass diese Angriffe zunehmen. Beunruhigend in diesem Zusammenhang ist, dass 43 Prozent aller Mitarbeiter nicht einmal genau wissen, was ein Phishing-Angriff überhaupt ist. Aber auch die Risiken des Heimnetzwerks werden allgemein unterschätzt und man sollte über diese im Detail aufklären.

2. Sicherheit des Heimnetzwerks erhöhen

Eine Studie des Fraunhofer-Instituts aus dem Jahr 2020 ergab, dass es um die Sicherheit bei Heim-Routern nicht gut steht. Von den 127 analysierten Routern erhielten 45 im vergangenen Jahr keine Updates und viele waren mit hunderten Schwachstellen versehen. 22 Router wurden sogar seit zwei Jahren nicht aktualisiert und ein Gerät hatte bereits seit fünf Jahren kein Update erhalten. Derartige Router sind in vielen Haushalten jedoch weit verbreitet. Sie sollen nun für die Sicherheit der Heimarbeiter sorgen, die sich von zuhause aus mit der Unternehmensinfrastruktur verbinden? Im gleichen Netzwerk übrigens, dass darüber hinaus auch viele andere Geräte beheimatet, inklusive vieler unsicherer IoT-Geräte.

Telemetriedaten von Bitdefender zeigen hier die häufigsten Schwachstellen in Privathaushalten auf: Dazu gehören NAS-Geräte, Media-Player, Smart-TVs, IP-Kameras, Router, Streaming-Hardware und Heimüberwachungsgeräte. Da es mittlerweile in jedem Haushalt eine Vielzahl solcher intelligenten Geräte gibt, beherbergen sie auch eine Vielzahl an Sicherheitslücken. Somit befinden sich normalerweise gut abgesicherte Arbeitsrechner innerhalb eines Netzwerks in gefährlicher Nachbarschaft, da sie über „laterale Bewegungen“ angegriffen werden können. Auch „Buffer Overflow“-Schwachstellen und Denial of Service-Angriffe sind weit verbreitet, die zusammen mit Memory Corruption und erweiterten Privilegien ein Viertel aller Schwachstellen der von Bitdefender überwachten IoT-Geräte darstellen. Die einzige Möglichkeit solche Schwachstellen zu finden und möglicherweise zu entschärfen, stellt eine Endpunkt-Risikoanalyse dar.

Die Sicherheit von Heimnetzwerken lässt sich generell auch erhöhen, wenn moderne Router mit implementierten leistungsstarken Sicherheitslösung genutzt werden.

3. Fehlkonfigurationen auf Unternehmensebene verbessern

Aber nicht alle Risiken gehen auf die Kappe von Mitarbeitern und ihre privaten Heimnetzwerke. Fehlkonfigurationen auf Unternehmensebene stellen eine weitere Gefahr dar. Oftmals sind Sicherheitsrichtlinien der IT-Administration verwirrend und nicht einheitlich und lassen etwa unsichere Remote Desktop-Sitzungen (RDP) oder das Ausführen von Makros zu. Beides sind wichtige Einfallstore für Hacker. Telemetriedaten von Bitdefender legen nahe, dass sich Angreifer in 27 Prozent aller Fälle über Fehlkonfigurationen an den Endpunkten Zugang verschaffen. Probleme im Zusammenhang mit Konten und dem Speichern und Verwalten der dazugehörigen Passwörter verursachen am häufigsten Schwierigkeiten – allerdings dicht gefolgt von den Internet-Einstellungen.

Fazit: Mit wenigen Maßnahmen lässt sich die Sicherheit im Home Office erhöhen.

Endpoint-Security-Lösungen und VPN galten bisher als ausreichend, um Mitarbeiter außerhalb des Büros abzusichern. Nach einem Jahr Arbeit von zuhause hat sich gezeigt, dass die Gefahren für die  Unternehmen deutlich gestiegen sind. Es kann von ungeschulten Mitarbeitern nicht erwartet werden, komplexe Sicherheitsproblematiken zu verstehen und entsprechend sicher an die IT-Infrastruktur angebunden zu sein. Betriebe stehen im eigenem Interesse und in Ausübung ihrer Fürsorgepflicht vor der Aufgabe, die IT-Sicherheit ihrer Belegschaft im Home Office zu fördern. Es lassen sich wohl nicht sämtliche Probleme über Nacht lösen, aber schon mit nur wenigen einfachen Maßnahmen lässt sich die Sicherheit von Mitarbeitern in den eigenen vier Wänden auch kurzfristig erhöhen.

Möglichkeiten, das Arbeiten von Zuhause aus sicherer zu machen:

Kurzfristige Maßnahmen

  1. Mitarbeiterschulungen über die Gefahren von Phishing-E-Mails und des modernen Smart Homes planen und umsetzen.
  2. Alte Heim-Router durch neue, mit implementierten Sicherheitslösungen ausgestattete Geräte ersetzen.
  3. Eine Endpunkt-Risikoanalyse im Home Office durchführen.
  4. Sicherheitsrichtlinien auf Unternehmensebene klar formulieren und vereinheitlichen.
  5. Unsichere Remote Desktop-Sitzungen (RDP) und das Ausführen von Makros verbieten.

Langfristige Maßnahmen

Entwicklung branchenweiter Sicherheitsstandards im Auge behalten und so schnell wie möglich im Unternehmen umsetzen, sobald sie marktreif sind.

Bogdan Botezatu, Director of Threat Research and Reporting
Bogdan Botezatu
Director of Threat Research and Reporting, Bitdefender

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Homeoffice Security
Jan 16, 2021

In 10 Schritten zum sicheren Homeoffice

Homeoffice ist mehr als nur der Firmenrechner im heimischen Wohn- oder Schlafzimmer. Da…
VPN
Jan 05, 2021

Eine sichere Alternativen zum klassischen VPN?

IT-Administratoren hören seit einigen Jahren die Totenglocke des VPN läuten. Es ist zu…
RDP
Sep 24, 2020

Hacker: Täglich millionenfache RDP-Angriffe auf Home-Offices

Die Sicherheitsexperten von ESET schlagen Alarm: Seit dem Corona-bedingten Umzug in das…

Weitere Artikel

IoT

Internet of Things (IoT): Altgeräte entpuppen sich als Sicherheitsfallen

Es klingt zu verlockend: Smarte Steckdosen und Lampen, Router oder Alarmanlagen werden auf digitalen Flohmärkten und sogar in manchen Online-Shops zu außergewöhnlich günstigen Preisen angeboten. Bei genauerem Hinsehen erweisen sich die vermeintlichen…
Trojaner

Gemeinsam gegen Verschlüsselungstrojaner

Funktionierende und sichere IT-Infrastrukturen sind von grundlegender Bedeutung für unsere Gesellschaft, das hat uns die Corona-Pandemie deutlich gezeigt. Mit fortschreitender Digitalisierung werden Unternehmen, Behörden sowie Bürger:Innen jedoch auch zur…
Remote Work Sicherheit

Produktivität und Sicherheit bei Remote Work gewährleisten

LogMeIn, Inc., ein Anbieter von Lösungen wie GoTo, LastPass und Rescue, die das „Work-From-Anywhere“-Konzept unterstützen, veröffentlicht eine Studie, die in Zusammenarbeit mit IDG entstanden ist.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!