Die mit dem Lockdown einhergehende plötzliche Umstellung auf Homeoffice ist zum neuen Tummelplatz für Cyberkriminelle geworden. Interessant ist für sie insbesondere, dass nun nicht mehr nur Homeoffice-Profis virtuell mit Unternehmensdaten hantieren, sondern alle. Es sind die besonders von kaum sensibilisierten Nutzern und Nutzerinnen eröffneten Lücken, die hemmungslos attackiert werden.
Verzeichnete das Nationale Zentrum für Cybersicherheit (NCSC) Anfang Jahr um die 120 Angriffe pro Woche, hatte sich die Zahl gegen Ende April mehr als verdreifacht – und aktuell werden immer noch rund 200 Attacken gemeldet. Bei fast zwei Dritteln handelte es sich zuletzt um Be-trugs- und Phishing-Angriffe.
Kurz gesagt wittern die Cyberkriminellen ihre Chance darin, dass die privaten Infrastrukturen der Mitarbeitenden oft schlechter geschützt sind als die professionell betriebenen Unternehmensnetze. Dabei spielt ihnen in die Hände, dass zunächst oft private Computer für die Arbeit genutzt wurden, weil es an firmeneigenen Geräten fehlt.
Obwohl im Bereich IT-Sicherheit «Bring Your Own Device» (BYOD) inzwischen verpönt ist, mussten es die Unternehmen diesmal akzeptieren, um trotz Corona weiter funktionieren zu können – für die Cyberkriminellen ein gefundenes Fressen. Inzwischen hat sich die Lage aber verbessert. So hat der Security-Anbieter Trend Micro ermittelt, dass in der Schweiz aktuell knapp 70 Prozent der Angestellten von ihrem Unternehmen mit Laptops fürs Homeoffice eingedeckt sind.
Beruhigen kann das aber nicht. Denn die Angreifer machen sich auch zunutze, dass den Mitarbeitenden im Homeoffice in Sachen Cybersecurity und technischer Ausstattung mehr Eigenverantwortung abverlangt wird. Der damit schleichend einhergehende Prozess des «Unbossing», also die insgesamt grösseren Freiheiten, bereiten Systemadministratoren und IT-Security-Spezialistinnen erhebliche Kopfschmerzen.
So feierte etwa das leidige Thema «Schatten-IT» wieder Urständ, weil – nicht selten aus der Not geboren – zur Arbeit daheim Ad-hoc-Lösungen beispielsweise für die Kommunikation an den Security- Richtlinien des Unternehmens vorbeiverwendet werden. Die Firmen stellten sich dem kaum entgegen, weil sie beim Lockdown und seinen Folgen oft nur das Businessrisiko identifizierten, potenzielle Cyber-security-Risiken aus dem privaten Bereich hingegen auf der Strecke blieben.
Verborgene Risiken
Interessant ist, dass angesichts dieser Situation die IT-Security-Verantwortlichen eine grosse Gemeinsamkeit teilen. Unisono halten sie fest, dass Trainings und Sensibilisierungen für die Cyberrisiken in Homeoffice-Zeiten von zentraler Bedeutung sind. So verhindern etwa Schulungen im Bereich Awareness, suspekte Mails mit verdächtigen PDF-Anhängen zu öffnen und ins Firmennetzwerk eindringen zu lassen. «Wer weiss, was alles passieren kann, ist besser auf einen Angriff vorbereitet», resümiert denn auch Mathias Götsch, Gründer und CEO des Zürcher IT-Dienstleisters KMU-Informatik.
Dennoch kritisiert Götsch, dass im KMU-Land Schweiz vielfach immer noch keine an die neue Situation angepasste Risikobetrachtungen vorliegen. Er meint sogar, viele Unternehmen seien neun Monate nach dem Start der Krise einfacher anzugreifen denn je. Sie hätten gravierende Probleme mit ihrer IT-Sicherheit «und sind sich dessen noch nicht einmal bewusst».
Darum schlägt er Alarm und fordert die sofortige Anpassung der Security an die veränderte Situation (siehe Box). Darüber hinaus macht er auf Schwachstellen aufmerksam, die bei der Arbeit im Unternehmen in der Regel nicht bestehen. So sollte sich jede und jeder Mitarbeitende fragen, ob sie oder er daheim über einen sicheren Ort für seine Hardware wie Laptop und Speichermedien verfügt. Desgleichen müsse man sich fragen, wie im Home office der Umgang mit sensiblen Daten auf Papier aussieht, wer es einsehen kann und wo allenfalls geheime Dokumente während einer Abwesenheit gelagert werden.
Zentrale Security-Lektionen
Allerdings gilt insgesamt, dass bei der vermehrten Homeoffice-Nutzung kaum mehr als die altbekannten Sicherheitsanforderungen nötig sind. Grösser geworden ist zwar die Angriffsfläche und damit die Wahrscheinlichkeit erfolgreicher Angriffe. Wer auf das Training und die Security Awareness der Mitarbeitenden als der schwächsten Glieder fast aller Security-Massnah men fokussiert und auf die Multi-Faktor-Authentifizierung (MFA) für die Nutzung von Applikationen und VPN-Lösungen achtet, realisiert schon die zentralen Sicherheitsmassnahmen.
Ergänzt werden müssen sie um die Überwachung des lokalen Speicherns, Druckens und der Downloads von sensiblen Daten sowie der EDR-Werkzeuge (Endpoint Detection and Response). Wobei der Endpoint-Sicherheit eine besondere Bedeutung zukommt, weil sie in der Homeoffice-Realität zum zentralen Perimeter geworden ist.
Götsch warnt allerdings vor der Überforderung der IT im Unternehmen. Wichtig sei, erst einmal zu erkennen, dass es keine 100-Prozent-Sicherheit gibt, egal, wie viele Mittel man in die Hand nehme. Deshalb müsse in die vorbeugenden Massnahmen investiert und zum Beispiel diese Frage beantwortet werden: «Was tun, wenn es mich erwischt?» Nur dann sei man vorbereitet und wisse, was man noch aufgleisen kann, so Götsch weiter. Es gelte, eine gezielte Risikobeurteilung und das Assetmanagement zu implementieren, fügt er an.
Zentral sei dabei, dass dies alles «immer in Zusammenarbeit auf allen Stufen eines Unternehmens» geschehe. Denn «Sicherheit ist kein alleiniges IT-Problem», wie er betont. Es gelte auch, sofern noch nicht vorhanden, den Aufbau und die Einführung eines Informationssicherheits-Managementsystems (ISMS) zu planen und zu starten. Und weil kaum ein Unternehmen das dafür nötige Know-how inhouse besitzt, habe man den richtigen Partner auszuwählen und die Unterstützung von Spezialisten zuzulassen.