Der IT-Sicherheitsanbieter Trend Micro hat neue Studienergebnisse zur Arbeit im ­Homeoffice veröffentlicht. Da die Grenzen zwischen Arbeits- und Privatleben ­zunehmend verschwimmen und diese Entwicklung vermutlich auch nach
Bewältigung der Corona-Krise anhalten wird, sollten Unternehmen demnach ihre Sicherheitsrichtlinien überarbeiten, um Geschäftsdaten besser zu schützen.

Für die Studie „Head in the Clouds“ wurden im Mai 2020 ca. 13.200 Remote-Mitarbeiter in 27 Ländern weltweit (davon 504 in Deutschland) befragt, um mehr über die Gewohnheiten von Arbeitnehmern im Homeoffice während der Covid-19-Pandemie zu erfahren. Es stellte sich heraus, dass 45 Prozent der befragten Arbeitnehmer in Deutschland private Geräte verwenden, um auf Unternehmensdaten zuzugreifen. Die genutzten persönlichen Smartphones, Tablets und Laptops sind jedoch oftmals weniger sicher als entsprechende Firmengeräte. Knapp über die Hälfte der Befragten (52 Prozent) hat beispielsweise nicht einmal grundlegenden Passwortschutz auf allen persönlichen Geräten.

62 Prozent der deutschen Remote-Arbeiter haben zudem IoT-Geräte wie Smart-Home-Devices mit ihrem Heimnetzwerk verbunden. Viele solcher Geräte – insbesondere von kleineren, weitgehend unbekannten Herstellern – haben jedoch vielfach dokumentierte Sicherheitslücken, wie nicht gepatchte Firmware-Schwachstellen und unsichere Logins. Diese können es Angreifern ermöglichen, im Heimnetzwerk Fuß zu fassen und mit diesem verbundene, ungeschützte private Geräte zu kompromittieren. Bei beruflicher Nutzung können diese Geräte dann als Einstiegspunkt in die Unternehmensnetzwerke dienen.

Der Router als Schwachstelle
Router spielen im Heimnetzwerk eine zentrale Rolle, da der komplette Netzwerkverkehr über sie abgewickelt wird. Das macht sie gerade in der aktuellen Zeit zu einem besonders attraktiven Ziel für Cyberkriminelle. So ist es kaum überraschend, dass Trend Micro eine regelrechte Angriffswelle auf Heim-Router mittels Brute-Force-Angriffen beobachten konnte. Dabei kommt eine automatisierte Software zum Einsatz, die gängige Passwort-Kombinationen ausprobieren soll.

Im März 2020 verzeichnete Trend Micro fast 194 Millionen versuchte Brute-Force-Anmeldungen. Dies stellt einen Zuwachs um 740 Prozent im Vergleich zum September 2019 mit 23 Millionen Versuchen dar. Nutzer sollten deshalb darauf achten, ihren Router stets auf dem aktuellen Firmware-Stand zu halten und ihn mit eigenen Schutzfunktionen auszustatten. Zudem sollten sie ein starkes Passwort verwenden und dieses auch von Zeit zu Zeit ändern.

Nachlässiger Umgang mit Firmengeräten
Auch die Ausstattung der Mitarbeiter mit Firmengeräten kann keine Sicherheit garantieren. Zwar sind diese in der Regel besser geschützt als Privatgeräte, doch kann auch die beste Sicherheitslösung Risiken durch nachlässiges Verhalten der Mitarbeiter nicht vollständig verhindern. So gaben 65 Prozent der Befragten in Deutschland gegenüber Trend Micro zu, arbeitsfremde Anwendungen auf Firmengeräten zu verwenden. 47 Prozent von ihnen hatten zudem bereits mindestens einmal Unternehmensdaten in solche Programme hochgeladen.

Ein wichtiges Sicherheitsthema ist auch die Bereitstellung geeigneter Lösungen: Ein Drittel der Befragten gab an, dass sie sich nicht viele Gedanken darüber machen, ob sie die von ihnen verwendeten Anwendungen auch nutzen dürfen, da sie einfach nur wollen, dass die Arbeit erledigt wird. Darüber hinaus glauben 30 Prozent, dass sie mit der Verwendung einer unternehmensfremden Anwendung davonkommen können, da die dienstlich bereitgestellten Lösungen nicht ihren Anforderungen entsprechen.

Gefahr auch im Büro
Auch nach der Aufhebung des Lockdowns bestehen Risiken für Unternehmensnetzwerke: Bei der Rückkehr ins Büro können im Homeoffice geschehene Malware-Infektionen über ungesicherte persönliche BYOD-Geräte („Bring Your Own Device“) mit ins Unternehmen gebracht werden. BYOD-Geräte sollten deshalb stets bei der IT-Abteilung registriert und vor Verwendung im Unternehmen gescannt werden. Zudem ist zu empfehlen, für diese Geräte ein dediziertes WLAN-Netz einzurichten, über das sie online gehen können, das jedoch vom Unternehmensnetzwerk strikt getrennt ist.

Sicherheit durch Aufklärung
Trend Micro empfiehlt Arbeitgebern, sicherzustellen, dass ihre Remote-Mitarbeiter die bestehenden Sicherheitsrichtlinien des Unternehmens einhalten. Falls erforderlich, sollten Unternehmen diese Regeln präzisieren, um die möglichen Bedrohungen durch BYOD- und IoT-Geräte und -Anwendungen zu berücksichtigen. Dabei ist vor allem wichtig, die Mitarbeiter intensiv zu schulen und aufzuklären. Denn nur wenn diese die Gefahren verstehen, werden sie die Sicherheitsvorgaben auch einhalten. Cyberkriminelle haben Covid-19 für sich entdeckt und nutzen die Angst vor dem Virus als Köder für Phishing-Angriffe und die Verbreitung von Schadsoftware. Durch Awareness-Schulungen können Mitarbeiter vor solchen Taktiken gewarnt und damit das Risiko eines erfolgreichen Angriffs gesenkt werden.

Technische Maßnahmen
Arbeitgeber stehen in der Verantwortung, ihren Mitarbeitern geeignete Arbeitsmittel zur Verfügung zu stellen. Dazu zählen auch geeignete Lösungen, um die Arbeit auch im Homeoffice effizient zu erledigen. Wie die Umfrage zeigt, greifen Arbeitnehmer andernfalls auch auf nicht genehmigte Anwendungen zurück. Dies kann keinesfalls im Interesse der Unternehmen sein. Cloud-Lösungen wie Office 365, G-Suite oder Dropbox ermöglichen dabei eine einfachere Zusammenarbeit. Leider stellen sie aber auch ein beliebtes Ziel für Cyberangriffe dar und sollten deshalb mit zusätzlichen Sicherheitslösungen geschützt werden.

Idealerweise werden alle Mitarbeiter mit Firmengeräten (Laptops, Smartphones, etc.) mit zeitgemäßer Sicherheitssoftware ausgestattet. Ist dies nicht möglich, sollte als absolutes Minimum eine vom Arbeitgeber bereitgestellte aktuelle Sicherheitslösung auf allen Privatgeräten installiert werden, die auch beruflich genutzt werden. Der allgemeine Ratschlag, alle Geräte durch regelmäßige Updates und Patches stets auf dem aktuellen Stand zu halten, gilt natürlich in der aktuellen Situation umso mehr. Außerdem sollten Nutzer auf alle Unternehmensdaten (inklusive E-Mail-Zugang) nur über ein gesichertes Virtuelles Privates Netzwerk (VPN) zugreifen. Mittels Zweifaktor-Authentifizierung lässt sich der Zugang zusätzlich schützen.