So hacken sich Cyberkriminelle ins Homeoffice ein

Für viele Arbeitnehmende ist die laufende Pandemie hart – eine Berufsgruppe jedoch erlebt rosige Zeiten: die IT-Sicherheitsprofis. Sie berichten von einer wahren Auftragsflut und 14-Stunden-Tagen. Der Grund ist einfach: Im Windschatten von Corona greifen Hacker und Cyberkriminelle vermehrt Unternehmen an. Dabei haben sie es besonders auf Mitarbeitende im Homeoffice abgesehen, denn diese Personen gelten als leichte Beute. Vor allem wenn jetzt viele aus den Büros erneut zurück ins Homeoffice müssen, ergeben sich einige Einstiegsmöglichkeiten für Hacker und Co. Wie können Remote Worker also verhindern, Opfer von Kriminellen zu werden? Am augenfälligsten ist der Vormarsch der Online-Trickdiebe. Jeder vierte Schweizer gibt an, seit dem Beginn der Pandemie mehr betrügerische E-Mails zu erhalten als zuvor, wie eine Umfrage der Unternehmensberatung Deloitte ergeben hat. «Eine weitverbreitete Angriffsmethode ist das Phishing», sagt Klaus Julisch, Managing Partner in der Cyber Practice von Deloitte Schweiz. Die Betrüger versenden beispielsweise E-Mails, in denen sie sich als Hausbank oder Videokonferenzplattform ausgeben. Das Ziel ist, den Empfänger dazu zu verleiten, auf bösartige Links zu klicken oder manipulierte Anhänge zu öffnen, was meistens zum Diebstahl von Geldern oder persönlichen Informationen führt. Lieferanten-E-Mails als Falle Einige Kriminelle versuchen auch, an dienstliche Zugangsdaten zu kommen, um so in das Netzwerk des Arbeitgebers einbrechen zu können. Vor allem Menschen im Homeoffice können hier leichter zum Opfer werden, so die Einschätzung von Deloitte-Experte Julisch. «Gegen Phishing hilft nur eine gesunde Skepsis, gerade in stressigen Momenten.» Heimarbeitende sollten Mails nicht in hektischen Situationen bearbeiten, weil es dann zu unbedachten Klicks kommen kann.Die Grundregeln für sicheres Homeoffice Privacy: Führen Sie keine dienstlichen Telefonate oder Videokonferenzen, wenn sich andere Personen im Raum befinden. Mitschnitt: Schneiden Sie dienstliche Videokonferenzen nicht unerlaubterweise mit und filmen Sie diese auch nicht mit dem Handy. Drucker: Nutzen Sie keine Privatgeräte für dienstliche Aufgaben. Speichern Sie keine dienstlichen Daten auf eigenen USB-Sticks, drucken Sie keine Dokumente daheim aus. Sperre: Sperren Sie den Bildschirm Ihres Rechners – selbst wenn Sie den Raum nur kurz verlassen. Privatgerät: Lässt sich die Nutzung eines eigenen Rechners nicht verhindern, sollte er mit einem aktuellen Virenscanner ausgestattet sein. Downloaden Sie keine Dateien. Phishing: Bleiben Sie wachsam beim Öffnen von E-Mails. Durch die erneute Homeoffice-Welle sind besonders viele betrügerische E-Mails im Umlauf. «Wir sehen in der aktuellen Situation eine generelle Zunahme von Betrugsfällen», bestätigt Eric Blot, Leiter der Forensik-Abteilung Genf bei KPMG Schweiz. Er berichtet von einem aktuellen Fall, in dem eine Firma ein E-Mail von einem bekannten Lieferanten erhalten hat. Darin teilte der Lieferant eine neue Bankverbindung mit. Ein grosser ausstehender Rechnungsbetrag solle auf das neue Konto überwiesen werden, forderte der Absender. Intern winkte das Unternehmen die Änderung der Bankverbindung anstandslos durch – nur bei der Hausbank regten sich Zweifel. Dreimal rief sie bei den Verantwortlichen an, um nachzufragen, ob die Summe wirklich an das unübliche Konto überwiesen werden soll. Dreimal bekam sie ein Okay. Fälle häufen sich Im Nachhinein stellte sich heraus, dass die E-Mail gefälscht war. Solche Fälle seien zuletzt häufiger vorgekommen, so Blot. «Die Prioritäten des Managements liegen derzeit auf der Business Continuity. Es steht weniger Zeit für Kontrolle zur Verfügung.» Eine wichtige – und oft unterschätzte – Gefahr stellen private Geräte dar. Gerade in der Anfangsphase der Pandemie haben viele Mitarbeitende zum persönlichen Smartphone oder iPad gegriffen, um Videokonferenzen zu führen – weil das auf dem Dienstlaptop nicht funktionierte. «Viele waren ihre eigene IT-Abteilung», sagt Reto C. Zbinden, Gründer und Inhaber des Beratungsunternehmens Swiss Infosec in Sursee LU. Laut einer Umfrage von IBM nutzen 53 Prozent der Angestellten ihren persönlichen Laptop auch dienstlich. Das freut Hacker, denn bei Privatgeräten achten die Menschen oft weniger auf einen aktuellen Virenschutz. Ausserdem installieren sie viel freizügiger Apps, ohne zu prüfen, ob sie aus einer vertrauenswürdigen Quelle stammen. Improvisierte Lösungen sind gefährlich Ebenfalls riskant ist die Sitte, Daten von der Arbeit einfach im «Download»-Ordner des Handys abzulegen, wo sie Spionageprogramme leicht abgreifen können. «Manche Leute haben auch kleine Workarounds entwickelt, zum Beispiel, um zu Hause drucken zu können», berichtet Deloitte-Experte Julisch. Solche improvisierten Lösungen verletzten nicht nur die IT-Vorgaben, sondern kreierten auch neue Sicherheitsrisiken für Unternehmen. Zusätzliche Gefahren im Homeoffice entstehen dadurch, dass Mitarbeitende einfache Grundprinzipien ignorieren, die sie aus dem Büro kennen: Der Dienst-Laptop bleibt aufgeklappt und entsperrt auf dem Küchentisch stehen, ungeschützt vor den neugierigen oder versehentlichen Blicken von Familienmitgliedern, Partnern, Mitbewohnenden oder der Putzhilfe. Die Liste mit sensiblen Kundendaten wird offen liegen gelassen oder der improvisierte Büroschreibtisch abends nicht aufgeräumt. Früher waren solche Patzer vielleicht noch verkraftbar, weil sie vereinzelt auftraten. «Aber jetzt werden nicht mehr 4 Stunden pro Woche zu Hause gearbeitet, sondern 40. Dadurch steigen auch die Risiken», so Experte Julisch. Info-Leck ensteht schnell «Aber für mich interessiert sich doch keiner …» Dieses Argument ist von Heimarbeitenden häufig zu hören. Dabei zeigen zahllose Fälle, wie schnell in den eigenen vier Wänden ein Info-Leck entstehen kann. Ende 2018 zum Beispiel wurde in den USA ein Berater namens Peter Cho wegen Insiderhandels angeklagt. Er hatte zufällig mitgehört, wie seine Verlobte, eine UBS-Bankerin, mit einem Kollegen telefonierte. Sie besprachen einen Deal, an dem die Fluggesellschaft Virgin America beteiligt sein sollte. Cho kaufte daraufhin Aktien der Airline – und wurde bei dem Insider-Deal ertappt. Um einer Verurteilung zu entgehen, zahlte der neugierige Verlobte gut eine halbe Million US-Dollar. Wie teuer Info-Lecks werden können, zeigt auch der Fall des Hotelkonzerns Marriott: Der musste letztes Jahr eine Strafe von 110 Millionen Euro zahlen, weil er jahrelang von Hackern ausgespäht worden war, die unter anderem Kreditkarten- und Passnummern der Kundinnen und Kunden abschöpften. Sorgen machen den Entscheidern aber auch Compliance-Risiken: Verschicken die Mitarbeitenden zum Beispiel dienstliche E-Mails von Privatgeräten, tauchen diese nicht in den Datenarchiven des Arbeitgebers auf. Dann kann zum Beispiel Probleme in späteren Gerichtsprozessen machen. Nicht alle Firmen informieren Doch Kontrolle ist im Homeoffice nun mal schwierig – damit kämpft vor allem die Finanzbranche. Nur ein Beispiel: Auf den Trading Floors der internationalen Banken sind Mobiltelefone in der Regel verboten, damit die gesamte Sprachkommunikation aufgezeichnet werden kann. Doch wie soll das gehen, wenn die Händler daheim arbeiten? Die meisten Gefahrenherde im Homeoffice lassen sich leicht entschärfen. «Vieles ist gesunder Menschenverstand», findet KPMG-Betrugsexperte Blot. Tatsächlich sind die meisten Regeln längst bekannt. Niemand lässt seinen Laptop bei Nacht sichtbar im geparkten Auto liegen. Niemand kommt auf die Idee, in einer vollen Flughafen-Lounge vertrauliche Kundendaten zu studieren. Wer die grundlegenden Sicherheitsmassnahmen auch daheim ergreift, ist schon auf der sicheren Seite. Einige Experten kritisieren, dass die Arbeitgeber nichts oder zu wenig gegen die Anarchie im Heimbüro tun. «Es herrscht eine gewisse Nachlässigkeit. Man denkt, dass die das schon selbst regeln», sagt Berater Zbinden. Tatsächlich gab in der IBM-Umfrage jeder, jede zweite Heimarbeitende an, keinerlei Sicherheitshinweise vom Arbeitgeber erhalten zu haben.