Homeoffice bleibt erhöhtes Risiko für Unternehmen
Während einige Unternehmen Büroflächen reduzieren, wünschen sich andere von ihren Mitarbeitenden mehr Präsenz am Schreibtisch. Im Hinblick auf die IT-Sicherheit kann letzteres durchaus sinnvoll sein: Laut einer Umfrage klicken Mitarbeitende im Homeoffice fast dreimal so häufig auf Phishing-E-Mails wie Angestellte im Büro.
Mit Beginn der Pandemie hat sich die Arbeit in Deutschland mehr und mehr von angestammten Plätzen im Büro aufs Homeoffice und in remote Gefilde verlagert. Schon zahlreiche Untersuchungen haben vor diesem Hintergrund eine verschärfte Sicherheitslage in Unternehmen identifiziert. Eine neue SoSafe-Umfrage bestätigt dies nun mit neuen Erkenntnissen: So klicken Mitarbeitende, die im Homeoffice arbeiten, fast dreimal so häufig (30 Prozent) auf Phishing-E-Mails wie Angestellte, die im Büro sind (12 Prozent).
Demnach zählen mangelnde Kommunikation im Homeoffice, die Nutzung eigener Technik als Arbeitsgeräte sowie ungesicherte Arbeitsumgebungen zu den größten Sicherheitsrisiken des mobilen Arbeitens. Während diese den meisten Unternehmen durchaus bewusst sind, ist das bei den Mitarbeitenden selbst nicht immer der Fall – sie haben im Homeoffice oft ein falsches Gefühl von Sicherheit. Gerade während der Winter- und Krankheitszeit arbeiten immer mehr Arbeitnehmende von zu Hause aus. SoSafe warnt daher vor den größten Risiken der mobilen Arbeit und teilt einfache Tipps sowie Lösungen, um diese zu mindern.
Die größten Risiken der mobilen Arbeit
- Unzureichend geschützte Arbeitsbereiche:
Mehr Mitarbeitende im Homeoffice bieten Cyberkriminellen auch mehr Angriffsfläche. Unternehmen müssen daher weitere Endpunkte, Netzwerke und Software sichern. Für die Cybersecurity-Teams ist das eine schwer zu überblickender Lage. Denn sie können nicht alle im Homeoffice verwendeten Technologien überprüfen. So ist mehr denn je die Aufmerksamkeit jedes einzelnen Mitarbeitenden zu Hause gefragt, um Sicherheitslücken zu erkennen und entsprechend zu reagieren.
- Optimale Bedingungen für Social Engineering und Phishing:
Die mobile Arbeit verstärkt außerdem die Abhängigkeit von digitalen Kommunikationsmitteln. Mitarbeitende gewöhnen sich daran, dass sie Geschäftsanfragen nur noch per E-Mail erhalten. Cyberkriminellen bietet das optimale Bedingungen, um ausgeklügelte Phishing-Angriffe zu starten – und das mit Erfolg, da mehr Mitarbeitende Phishing-Mails zuhause öffnen oder mit ihnen interagieren.
- Fehlende Kommunikation mit Kolleginnen und Kollegen:
Hohe Klickraten im Homeoffice lassen sich unter anderem durch einen Mangel an direkter Kommunikation mit den Kolleginnen und Kollegen erklären. Direkte Kommunikation ist schließlich notwendig, um Informationen oder geforderte Handlungen zu überprüfen – oder auch, um über alle Entwicklungen im Unternehmen auf dem Laufenden zu bleiben.
- Bedarf von neuen Kommunikations- und Kollaborationswerkzeugen:
Da die persönliche Kommunikation deutlich reduziert ist, kommen neue Kommunikations- und Kollaborationstools wie Slack oder Zoom zum Einsatz. Diese bieten wiederum neue Einfallstore für Cyberkriminelle – nicht nur für den Angriff selbst, sondern auch zum Abfangen von Informationen für ihren nächsten Social-Engineering-Angriff. Insbesondere Voice Cloning und Deepfakes sind derzeit auf dem Vormarsch.
- Bring-Your-Own-Device:
Viele Angestellte kompensieren das Fehlen von Firmengeräten im Homeoffice, indem sie ihre privaten Laptops oder Smartphones für Arbeitszwecke nutzen. Das Problem: Die IT-Abteilung kann diese Geräte nicht auf Unregelmäßigkeiten überprüfen. Ebenso wenig kann sie sicherstellen, dass die erforderlichen technischen Abwehrsysteme vorhanden sind.
- Anfällige Mitarbeitende aufgrund von Unsicherheit und ständiger Veränderung:
Neue Arbeitsbedingungen und ein unvorhersehbares Umfeld ermüden Mitarbeitende – und machen sie damit anfälliger für Cyberangriffe, die diese Veränderung für anlassbezogenes Phishing laufend instrumentalisieren. So kümmern sich Mitarbeitende beispielsweise weniger um Sicherheitsrichtlinien, hinterfragen Inhalte seltener und machen eher Fehler.
„Es steht außer Frage, dass technische Vorkehrungen im ständigen Kampf gegen Sicherheitsverstöße unverzichtbar sind. Aber die weit verbreitete Verlagerung zur Remote-Arbeit bedeutet auch: Es ist wichtiger denn je, eine starke ‚menschliche Firewall‘ aufzubauen und durchzusetzen, die Unternehmen und Einzelpersonen sowohl im Büro als auch zu Hause schützt“, so Dr. Niklas Hellemann, CEO von SoSafe. „Während sich Mitarbeitende zu Hause in falscher Sicherheit wiegen, nutzen Cyberkriminelle die besonderen Umstände im Homeoffice aus und verschaffen sich mit ausgeklügelten Angriffen über die Angestellten Zugang zu Unternehmenssystemen. In einer Zeit, in der Arbeitnehmende von anhaltender Unsicherheit umgeben sind und zunehmend unter Druck stehen, sind sie auch massiv anfälliger für Cyberangriffe. Unternehmen sollten deshalb ihre Angestellten für die Sicherheitsrisiken im Homeoffice sensibilisieren. So wissen sie über Bedrohungen Bescheid und können entsprechend reagieren.“
Das Cyber-Security-Awareness-Unternehmen hat folgende Tipps für sicheres Arbeiten im Homeoffice:
- Schulen Sie sich regelmäßig zum Thema Cybersicherheit:
Informieren Sie sich regelmäßig über Cybersicherheitsbedrohungen und neue Entwicklungen, um eine gute Intuition für Cybergefahren zu entwickeln – dies schützt Unternehmen und Einzelpersonen sowohl im Büro als auch zu Hause.
- Überprüfen Sie Informationen und geforderte Maßnahmen:
Wenn ein Projekt oder eine Information völlig neu für Sie ist, die angeforderte Handlung ungewöhnlich ist oder Sie stark unter Druck setzt, rufen Sie Ihre Führungskraft oder Kolleginnen und Kollegen an, um dies zu überprüfen.
- Updates:
Vergewissern Sie sich, dass Ihr System und Ihre Programme auf dem neuesten Stand sind, und befolgen Sie die Anweisungen Ihrer IT- und Sicherheitsteams.
- Auch zuhause klare Grenzen zwischen Privat und Geschäftlich:
Bewahren Sie Dokumente und tragbare Datenspeichergeräte an einem Ort auf, an dem Ihre Familie und Gäste keinen Zugriff darauf haben.
Weitere Verhaltensmaßnahmen
- Sperren Sie immer Ihren Bildschirm oder Computer, wenn Sie ihn nicht benutzen, und stellen Sie sicher, dass er für andere nicht einsehbar ist (um Beispiel durch ein Fenster).
- Stellen Sie sicher, dass Sie nur passwortgeschützte WLAN-Verbindungen nutzen und sich über ein VPN mit Ihrem Firmennetzwerk verbinden. Verwenden Sie außerdem nur Cloud-Tools, die von Ihrer IT-Abteilung genehmigt wurden.
- Schließen Sie niemals ungeprüfte externe Datenspeichergeräte (wie USB-Sticks) an Ihr Arbeitsgerät an.
- Stellen Sie sicher, dass vertrauliche oder sensible Dokumente zerstört, unkenntlich oder unleserlich gemacht werden, bevor Sie sie wegwerfen.
Die Daten der „Human Risk Review 2022“ von SoSafe basieren auf Antwortdaten der SoSafe Awareness-Platform, die im Jahr 2021 über 4,3 Millionen simulierte Phishing-Angriffe von 1.500 Kundenorganisationen anonym auswertete und die Erfolgswahrscheinlichkeit verschiedener Angriffstaktiken analysierte.