IT + Digitalisierung -

Home Office Damit statt dem Coronavirus nicht ein Computervirus zuschlägt

Immer mehr Betriebe setzen in der Corona-Krise auf Home Office, um ihre Mitarbeiter vor einer Ansteckung zu schützen. Doch die virtuelle Zusammenarbeit mit den Kollegen bietet Einfallstore für Cyberkriminelle. Worauf Betriebe achten müssen, damit IT-Sicherheit auch im Home Office gewährleistet ist.

Harald Czycholl

Normalerweise sollen Arbeitnehmer im Home Office nicht ihre privaten Geräte nutzen. Unter Berücksichtigung der aktuellen Umstände könnten Datenschützer das jedoch anders bewerten. - © jittawit.21 - stock.adobe.com

Das Coronavirus beeinflusst dieser Tage nicht nur das soziale Leben, sondern ist auch wirtschaftlich und rechtlich eine große Herausforderung. Um die Ausbreitung des Virus möglichst schnell einzudämmen und das Gesundheitssystem nicht übermäßig zu belasten, rät die Bundesregierung Unternehmern daher, ihren Mitarbeitern Home-Office zu ermöglichen. Dies ist auch in vielen Unternehmen bereits Realität – noch nie zuvor haben so viele Menschen gleichzeitig vom Home Office aus gearbeitet und werden das auch auf absehbare Zeit tun.

Im Handwerk ist Home Office zumindest in Teilbereichen machbar – etwa wenn es um Verwaltungsarbeiten wie etwa die Buchhaltung, die telefonische Auftragsannahme, das Sekretariat oder auch planerische Tätigkeiten geht. Leider setzen jedoch auch Cyberkriminelle ihre Arbeit wie gewohnt fort – und setzen darauf, dass Mitarbeiter im Home Office häufig weniger gut geschützt sind als im normalen Firmennetzwerk.

So würden am heimischen Rechner oftmals weniger sichere Passwörter benutzt – und in Zeiten der ausschließlich virtuellen Zusammenarbeit mit den Kollegen seien die Menschen auch anfälliger für sogenannte Phishing-Attacken, warnt Claudia von Pawel, als Underwriting Manager Small Business verantwortlich für die Business Academy des Spezialversicherers Hiscox. "Daher ist es wichtig, dass sich das Grundwissen darüber verbreitet, wie jeder Einzelne selbst für ein sicheres, digitales Arbeiten sorgen kann.“ Denn sonst legt statt dem Coronavirus ein Computervirus das Unternehmen lahm.

Um Cyberangriffen vorzubeugen stellt Hiscox über seine Hiscox Business Academy insgesamt vier Lernvideos der Öffentlichkeit zur Verfügung, die normalerweise den Kunden und Maklern des Versicherungsunternehmens vorbehalten sind. Mit den kurzen Videos wird Wissen vermittelt zu den Themen "Starke Passwörter setzen“, "Professionelles Passwort-Management“, "Phishing-Angriffe erkennen und abwehren“ sowie "Social Engineering: Der Anwender als Sicherheitsrisiko“. Letzteres ist eine immer häufiger praktizierte Methode von Hackern, sich zum Beispiel per Anrufen oder persönlichen Mails das Vertrauen von Menschen zu erschleichen und damit an deren Passwörter oder andere sensible Daten zu kommen. Die Videos sind bis zum 30. April 2020 auf der Startseite der Hiscox Business Academy frei abrufbar.

Information der Mitarbeiter schützt vor Cyberattacken

"Viele, die von zuhause aus arbeiten, meinen, allein durch den Zugang zum Firmennetzwerk per VPN sei ein rundum sicheres digitales Arbeiten möglich“, so von Pawel. Aber eine sichere technische Infrastruktur allein genüge nicht. Vielmehr müsse, jeder Einzelne auch bestimmte Verhaltensweisen beachten. Indem man konsequent starke Passwörter setzt und managt oder sich das Wissen aneignet, um selbst sehr professionell gemachte Phishing-Attacken oder telefonisch durchgeführte Hacking-Versuche zu vereiteln, kann jeder dazu beitragen, Cyberangriffe zu vereiteln und die ohnehin von den Auswirkungen der Coronakrise gebeutelten Betriebe davor zu schützen, nun auch noch Opfer eines Hackerangriffs zu werden. "Als Spezialisten für Cyber-Sicherheit möchten wir daher unser Wissen mit der Allgemeinheit teilen, um einen wirksamen Beitrag für ein sicheres digitales Arbeiten zu leisten“, so von Pawel.

Unternehmen seien in der Pflicht, ihre Mitarbeiter bestmöglich vor den Gefahren in der digitalen Sphäre zu schützen, sagt Johanna Hofmann, Rechtsanwältin in der Wirtschaftskanzlei CMS in München und Expertin für IT- und Datenschutzrecht. "Eine Kette ist immer nur so stark wie ihr schwächstes Glied. Menschliches Fehlverhalten ist nach wie vor mit Abstand die häufigste Ursache für Datenschutzverletzungen.“ IT-Sicherheit betreffe prinzipiell alle Abteilungen im Unternehmen – und sämtliche Mitarbeiter. "Alle sollten an einem Strang ziehen“, so Hofmann. "Zuständigkeiten sollten klar zugewiesen sein, es sollte einen Ansprechpartner für Fragen der IT-Sicherheit geben.“

Mitarbeiter für Datenschutz sensibilisieren

Gerade in Sachen Datenschutz müssen Unternehmen und ihre Mitarbeiter bei der Arbeit im Home Office gut aufpassen, den die Datenschutzgrundverordnung (DSGVO) gilt natürlich auch in Corona-Zeiten. "Auch in der aktuellen Situation sollten Unternehmer ihre Mitarbeiter weiterhin für den Datenschutz sensibilisieren“, betont Haye Hösel, Geschäftsführer und Gründer des Datenschutz- und IT-Sicherheitsspezialisten HUBIT Datenschutz. "Was sich für viele Unternehmen bereits im Alltag als schwierig herausstellt, bedeutet in der aktuellen Situation eine noch größere Hürde.“ In jedem Fall müssten Unternehmer Regelungen treffen, wie Mitarbeiter im Home Office zu arbeiten haben. Diese sollten idealerweise in einer Richtlinie dokumentiert und direkt an die Mitarbeiter verschickt werden.

Für Unternehmen ist in Bezug auf den Datenschutz zunächst einmal relevant, ob ihre Mitarbeiter mit personenbezogenen Daten umgehen oder nicht“, sagt Hösel. "Dies trifft jedoch auf nahezu jeden Arbeitsplatz zu, denn zu den personenbezogenen oder personenbeziehbaren Daten zählen nicht nur Namen, sondern beispielswiese auch Telefonnummern, E-Mail-Adressen, Kontodaten, Personalnummern oder IP-Adressen.“ Dementsprechend sollten Unternehmen auch in der aktuellen Ausnahmesituation ihre Mitarbeiter dazu anhalten, gewisse Maßnahmen zu befolgen. So gilt zunächst, dass das Arbeitszimmer abschließbar sein muss und Unterlagen in einem abschließbaren Schrank aufbewahrt werden müssen. "Auch Laptops, PCs sowie externe Datenträger wie zum Beispiel USB-Sticks gilt es zu verschlüsseln oder einzuschließen“, so Hösel.

Sichere Passwörter, verschlüsselte Kommunikation

Normalerweise sollen Arbeitnehmer im Home Office nicht ihre privaten Geräte nutzen. "Allerdings besteht die Möglichkeit, dass unter Berücksichtigung der aktuellen Umstände, auch wenn ein DSGVO-konformer Aktenvernichter fehlt oder der Familiendrucker genutzt wird, der Einsatz von Home Office gerechtfertigt ist“, sagt Datenschutzexperte Hösel. "Für den Fall, dass ein privates Gerät zum Einsatz kommt, muss festgelegt werden, in welchem Umfang dies geschieht.“ Zudem muss sichergestellt sein, dass etwa das Betriebssystem und der Virenschutz auf dem aktuellsten Stand sind.

In jedem Fall sollte das elektronische Firmennetzwerk für Arbeitnehmer nur über ein sicheres Passwort zugänglich sein, ebenso wie die Kommunikation per E-Mail nur über den Server der Firma und damit verschlüsselt ablaufen darf. Um die Sicherheit des Netzwerkes auch außerhalb des Büros zu gewährleisten, empfiehlt es sich, grundsätzlich virtuelle private Netzwerke, sogenannte VPNs, zu nutzen. "Bei der Nutzung des Diensthandys sollten Mitarbeiter Messengerdienste wie WhatsApp, die laut DSGVO als nicht datenschutzkonform gelten, meiden“, rät Hösel. "Vielmehr sollten Unternehmen auf alternative Apps oder SMS setzen.“ Und wenn Videokonferenzen die herkömmlichen Meetings ersetzen, gilt es natürlich auch hier, für eine professionelle Verschlüsselung zu sorgen, damit keine vertraulichen Informationen nach außen dringen können.

6 Regeln für gute Passwörter

Ein gutes, sicheres Passwort zu finden, ist gar nicht so leicht. Die Verbraucherzentrale Baden-Württemberg hat sechs Regeln für gute Passwörter aufgestellt:

  1. Ein Passwort sollte mindestens 10 Zeichen lang sein.
  2. Es sollte aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen (z.B. § & ? * ! ? ) bestehen und nicht in einem Wörterbuch zu finden sein oder mit dem Nutzer selbst oder der Familie im Zusammenhang stehen. Namen, Geburtsdaten, Telefonnummern oder Ähnliches sind also tabu.
  3. Es sollte keine bloße Zahlenfolge (12345…), alphabethische Buchstabenfolge (abcdef…) oder eine Reihe benachbarter Tasten auf der Tastatur (qwertz…) darstellen.
  4. Je sensibler ein Zugang ist (etwa beim Zugang zum Firmen-Netzwerk), umso mehr Sorgfalt sollte man bei der Auswahl eines starken Passworts walten lassen.
  5. Nicht das gleiche Passwort für alle Portale nutzen, sondern mindestens für die wichtigsten und meist genutzten Dienste eigene Passwörter anlegen.
  6. Wurde das Passwort von einem Anbieter übermittelt, sollte man es bei der ersten Anmeldung auf dem jeweiligen Portal ändern. Weitere Gründe zum Ändern des Codes wären, wenn der Online-Dienstleister einen dazu auffordert, große Datenlecks bekannt werden oder der Computer mit Schadsoftware infiziert worden ist.
  • Bild 1 von 13
    © EmLion - stock.adobe.com
    In den Top 20 der in Deutschland am häufigsten verwendeten Passwörter landet "1q2w3e4r" auf Platz 19. Auf den ersten Blick ganz passabel. Auf den zweiten Blick wird jedoch klar: die Nutzer haben schlicht die Zahlenfolge 1234 eingegeben, unterbrochen durch den jeweils unter der Ziffer liegenden Buchstaben.
  • Bild 2 von 13
    © Lucky Dragon - stock.adobe.com
    Noch häufiger verwenden die Deutschen jedoch simple Zahlenfolgen, nicht selten sogar bestehend aus ein und derselben Ziffer. Den besten Beweis liefert das Ranking: Platz 20: 222222 Platz 9: 000000 Platz 8: 123123 Platz 6: 111111
  • Bild 3 von 13
    © vchalup - stock.adobe.com
    Kommen wir zum anangefochtenen Liebling der Deutschen. Das am häufigsten genutzte Passwort lautet wie auch schon in den Vorjahren "123456". Auf den hinteren Rängen tummeln sich diverese Varianten wie "123456789" (Platz 2), 12345678 (Platz 3), 1234567 (Platz 4) und 1234567890 (Platz 7). Wie es besser geht? Unter dem nächsten Bild gibt das Hasso-Plattner-Institut einige Tipps.
  • Bild 4 von 13
    © adam121 - stock.adobe.com
    Die Kombination aus Buchstaben und Ziffern wird von Sicherheitsexperten empfohlen. Etwas einfallsreicher als "abc123" sollte das Passwort aber doch sein. Platz 10 im Ranking.
  • Bild 5 von 13
    © Mohsen - stock.adobe.com
    Drachen als Hüter des eigenen Datenschatzes? Keine gute Idee. Das Passwort "dragon" ist ein Flop - und landet auf Platz 11 der am häufigsten verwendeten Passwörter.
  • Bild 6 von 13
    © sewcream - stock.adobe.com
    Kein Begriff, nein, ein ganzer Satz findet sich auf Platz 12 der schlechtesten Passwörter wieder. Leider ist es ein sehr geläufiger Satz, was ihn aus Sicherheitsaspekten nicht sehr empfehlenswert macht: "iloveyou" - eine schöne Liebesbekundung, jedoch ein mieses Passwort.
  • Bild 7 von 13
    © Eric Isselée - stock.adobe.com
    In den Top 20 der dümmsten Passwörter geht es affig weiter. Und erneut ist es ein englischsprachiger Begriff, der es sich in der deutschen Hitliste bequem macht: "monkey", zu Deutsch: "Affe" landet auf Rang 14. Liegt es daran, dass das At-Zeichen (@) umgangssprachlich auch "Klammeraffe" genannt wird? Wir wissen es nicht.
  • Bild 8 von 13
    © pathdoc - stock.adobe.com
    Die Aufforderung "Bitte Passwort eingeben" scheinen viele Deutsche falsch verstanden zu haben. Denn "password" ist eines der am häufigsten verwendeten Kennwörter Deutschlands. Auf Platz 13 landet "password1", auf Rang 5 "password".
  • Bild 9 von 13
    © nesta9 - stock.adobe.com
    "qwertz" - immerhin ein Wort, das sich nicht im Duden findet. In der Hitliste der schlechtesten Passwörter landet es dennoch auf den vorderen Rängen. In den Top 20 ist es genau genommen gleich zweimal vertreten. Auf Platz 18 (qwertz) und auf Platz 15 (qwertz123). Das Geheimnis hinter dem seltsamen Begriff ist schnell gelüftet. Wirft man einen Blick auf die Tastatur, sieht man, dass dort die ersten sechs Buchstaben links oben von links nach rechts gelesen Q, W, E, R, T und Z lauten.
  • Bild 10 von 13
    © BillionPhotos.com - stock.adobe.com
    Offensichtlich sind englischsprachige Passwörter allgemein recht verbreitet im deutschen Raum. Auf Platz 16 der in Deutschland am häufigsten genutzten Passwörter landet "target123". Zu Deutsch: "Ziel123". Auch wenn das Passwort sowohl Buchstaben als auch Ziffern beinhaltet: es verfehlt sein eigentliches Ziel.
  • Bild 11 von 13
    © BillionPhotos.com - stock.adobe.com
    Klingeling. Auf Platz 17 der schlechtesten Passwörter landet das englische Wort "tinkle". Zu Deutsch: klimpern, klingeln, bimmeln - umgangssprachlich kann "tinkle" auch mit "pinkeln" übersetzt werden. Wie auch immer: Die Datensicherheit dürfte mit diesem Passwort uriniert - äh - ruiniert sein.
  • Bild 12 von 13
    © pathdoc - stock.adobe.com
    Bei der Passwortwahl empfiehlt das Hasso-Plattner-Institut:
    • Lange Passwörter (> 15 Zeichen)
    • Alle Zeichenklassen verwenden (Groß-, Kleinbuchstaben, Zahlen, Sonderzeichen)
    • Keine Wörter aus dem Wörterbuch
    • Keine Wiederverwendung von gleichen oder ähnlichen Passwörtern bei unterschiedlichen Diensten
    • Verwendung von Passwortmanagern
    • Passwortwechsel bei Sicherheitsvorfällen und bei Passwörtern, die die obigen Regeln nicht erfüllen
    • Zwei-Faktor-Authentifizierung aktivieren, wenn möglich
  • Bild 13 von 13
    © Maxim Grebeshkov - stock.adobe.com
    Allen Warnungen zum Trotz: viele Deutsche verwenden noch immer miserable Passwörter. Das Hasso-Plattner-Institut (HPI) hat jetzt eine Hitliste mit den meistgenutzten - und damit auch unsichersten - Passwörtern veröffentlicht.

    Die Daten stammen aus dem HPI Identity Leak Checker, dem Online-Sicherheitscheck des HPI. Datengrundlage waren 67 Millionen Zugangsdaten, die auf E-Mail-Adressen mit .de-Domäne registriert sind und 2019 geleakt, also veröffentlicht wurden.
keyboard_arrow_left Zurück zur Startseite