24.03.2020

Home Office Damit statt dem Coronavirus nicht ein Computervirus zuschlägt

Immer mehr Betriebe setzen in der Corona-Krise auf Home Office, um ihre Mitarbeiter vor einer Ansteckung zu schützen. Doch die virtuelle Zusammenarbeit mit den Kollegen bietet Einfallstore für Cyberkriminelle. Worauf Betriebe achten müssen, damit IT-Sicherheit auch im Home Office gewährleistet ist.

Von Harald Czycholl

Das Coronavirus beeinflusst dieser Tage nicht nur das soziale Leben, sondern ist auch wirtschaftlich und rechtlich eine große Herausforderung. Um die Ausbreitung des Virus möglichst schnell einzudämmen und das Gesundheitssystem nicht übermäßig zu belasten, rät die Bundesregierung Unternehmern daher, ihren Mitarbeitern Home-Office zu ermöglichen. Dies ist auch in vielen Unternehmen bereits Realität – noch nie zuvor haben so viele Menschen gleichzeitig vom Home Office aus gearbeitet und werden das auch auf absehbare Zeit tun.

Im Handwerk ist Home Office zumindest in Teilbereichen machbar – etwa wenn es um Verwaltungsarbeiten wie etwa die Buchhaltung, die telefonische Auftragsannahme, das Sekretariat oder auch planerische Tätigkeiten geht. Leider setzen jedoch auch Cyberkriminelle ihre Arbeit wie gewohnt fort – und setzen darauf, dass Mitarbeiter im Home Office häufig weniger gut geschützt sind als im normalen Firmennetzwerk.

So würden am heimischen Rechner oftmals weniger sichere Passwörter benutzt – und in Zeiten der ausschließlich virtuellen Zusammenarbeit mit den Kollegen seien die Menschen auch anfälliger für sogenannte Phishing-Attacken, warnt Claudia von Pawel, als Underwriting Manager Small Business verantwortlich für die Business Academy des Spezialversicherers Hiscox. "Daher ist es wichtig, dass sich das Grundwissen darüber verbreitet, wie jeder Einzelne selbst für ein sicheres, digitales Arbeiten sorgen kann.“ Denn sonst legt statt dem Coronavirus ein Computervirus das Unternehmen lahm.

Um Cyberangriffen vorzubeugen stellt Hiscox über seine Hiscox Business Academy insgesamt vier Lernvideos der Öffentlichkeit zur Verfügung, die normalerweise den Kunden und Maklern des Versicherungsunternehmens vorbehalten sind. Mit den kurzen Videos wird Wissen vermittelt zu den Themen "Starke Passwörter setzen“, "Professionelles Passwort-Management“, "Phishing-Angriffe erkennen und abwehren“ sowie "Social Engineering: Der Anwender als Sicherheitsrisiko“. Letzteres ist eine immer häufiger praktizierte Methode von Hackern, sich zum Beispiel per Anrufen oder persönlichen Mails das Vertrauen von Menschen zu erschleichen und damit an deren Passwörter oder andere sensible Daten zu kommen. Die Videos sind bis zum 30. April 2020 auf der Startseite der Hiscox Business Academy frei abrufbar.

Information der Mitarbeiter schützt vor Cyberattacken

"Viele, die von zuhause aus arbeiten, meinen, allein durch den Zugang zum Firmennetzwerk per VPN sei ein rundum sicheres digitales Arbeiten möglich“, so von Pawel. Aber eine sichere technische Infrastruktur allein genüge nicht. Vielmehr müsse, jeder Einzelne auch bestimmte Verhaltensweisen beachten. Indem man konsequent starke Passwörter setzt und managt oder sich das Wissen aneignet, um selbst sehr professionell gemachte Phishing-Attacken oder telefonisch durchgeführte Hacking-Versuche zu vereiteln, kann jeder dazu beitragen, Cyberangriffe zu vereiteln und die ohnehin von den Auswirkungen der Coronakrise gebeutelten Betriebe davor zu schützen, nun auch noch Opfer eines Hackerangriffs zu werden. "Als Spezialisten für Cyber-Sicherheit möchten wir daher unser Wissen mit der Allgemeinheit teilen, um einen wirksamen Beitrag für ein sicheres digitales Arbeiten zu leisten“, so von Pawel.

Unternehmen seien in der Pflicht, ihre Mitarbeiter bestmöglich vor den Gefahren in der digitalen Sphäre zu schützen, sagt Johanna Hofmann, Rechtsanwältin in der Wirtschaftskanzlei CMS in München und Expertin für IT- und Datenschutzrecht. "Eine Kette ist immer nur so stark wie ihr schwächstes Glied. Menschliches Fehlverhalten ist nach wie vor mit Abstand die häufigste Ursache für Datenschutzverletzungen.“ IT-Sicherheit betreffe prinzipiell alle Abteilungen im Unternehmen – und sämtliche Mitarbeiter. "Alle sollten an einem Strang ziehen“, so Hofmann. "Zuständigkeiten sollten klar zugewiesen sein, es sollte einen Ansprechpartner für Fragen der IT-Sicherheit geben.“

Mitarbeiter für Datenschutz sensibilisieren

Gerade in Sachen Datenschutz müssen Unternehmen und ihre Mitarbeiter bei der Arbeit im Home Office gut aufpassen, den die Datenschutzgrundverordnung (DSGVO) gilt natürlich auch in Corona-Zeiten. "Auch in der aktuellen Situation sollten Unternehmer ihre Mitarbeiter weiterhin für den Datenschutz sensibilisieren“, betont Haye Hösel, Geschäftsführer und Gründer des Datenschutz- und IT-Sicherheitsspezialisten HUBIT Datenschutz. "Was sich für viele Unternehmen bereits im Alltag als schwierig herausstellt, bedeutet in der aktuellen Situation eine noch größere Hürde.“ In jedem Fall müssten Unternehmer Regelungen treffen, wie Mitarbeiter im Home Office zu arbeiten haben. Diese sollten idealerweise in einer Richtlinie dokumentiert und direkt an die Mitarbeiter verschickt werden.

Für Unternehmen ist in Bezug auf den Datenschutz zunächst einmal relevant, ob ihre Mitarbeiter mit personenbezogenen Daten umgehen oder nicht“, sagt Hösel. "Dies trifft jedoch auf nahezu jeden Arbeitsplatz zu, denn zu den personenbezogenen oder personenbeziehbaren Daten zählen nicht nur Namen, sondern beispielswiese auch Telefonnummern, E-Mail-Adressen, Kontodaten, Personalnummern oder IP-Adressen.“ Dementsprechend sollten Unternehmen auch in der aktuellen Ausnahmesituation ihre Mitarbeiter dazu anhalten, gewisse Maßnahmen zu befolgen. So gilt zunächst, dass das Arbeitszimmer abschließbar sein muss und Unterlagen in einem abschließbaren Schrank aufbewahrt werden müssen. "Auch Laptops, PCs sowie externe Datenträger wie zum Beispiel USB-Sticks gilt es zu verschlüsseln oder einzuschließen“, so Hösel.

Sichere Passwörter, verschlüsselte Kommunikation

Normalerweise sollen Arbeitnehmer im Home Office nicht ihre privaten Geräte nutzen. "Allerdings besteht die Möglichkeit, dass unter Berücksichtigung der aktuellen Umstände, auch wenn ein DSGVO-konformer Aktenvernichter fehlt oder der Familiendrucker genutzt wird, der Einsatz von Home Office gerechtfertigt ist“, sagt Datenschutzexperte Hösel. "Für den Fall, dass ein privates Gerät zum Einsatz kommt, muss festgelegt werden, in welchem Umfang dies geschieht.“ Zudem muss sichergestellt sein, dass etwa das Betriebssystem und der Virenschutz auf dem aktuellsten Stand sind.

In jedem Fall sollte das elektronische Firmennetzwerk für Arbeitnehmer nur über ein sicheres Passwort zugänglich sein, ebenso wie die Kommunikation per E-Mail nur über den Server der Firma und damit verschlüsselt ablaufen darf. Um die Sicherheit des Netzwerkes auch außerhalb des Büros zu gewährleisten, empfiehlt es sich, grundsätzlich virtuelle private Netzwerke, sogenannte VPNs, zu nutzen. "Bei der Nutzung des Diensthandys sollten Mitarbeiter Messengerdienste wie WhatsApp, die laut DSGVO als nicht datenschutzkonform gelten, meiden“, rät Hösel. "Vielmehr sollten Unternehmen auf alternative Apps oder SMS setzen.“ Und wenn Videokonferenzen die herkömmlichen Meetings ersetzen, gilt es natürlich auch hier, für eine professionelle Verschlüsselung zu sorgen, damit keine vertraulichen Informationen nach außen dringen können.

6 Regeln für gute Passwörter Ein gutes, sicheres Passwort zu finden, ist gar nicht so leicht. Die Verbraucherzentrale Baden-Württemberg hat sechs Regeln für gute Passwörter aufgestellt: Ein Passwort sollte mindestens 10 Zeichen lang sein. Es sollte aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen (z.B. § & ? * ! ? ) bestehen und nicht in einem Wörterbuch zu finden sein oder mit dem Nutzer selbst oder der Familie im Zusammenhang stehen. Namen, Geburtsdaten, Telefonnummern oder Ähnliches sind also tabu. Es sollte keine bloße Zahlenfolge (12345…), alphabethische Buchstabenfolge (abcdef…) oder eine Reihe benachbarter Tasten auf der Tastatur (qwertz…) darstellen. Je sensibler ein Zugang ist (etwa beim Zugang zum Firmen-Netzwerk), umso mehr Sorgfalt sollte man bei der Auswahl eines starken Passworts walten lassen. Nicht das gleiche Passwort für alle Portale nutzen, sondern mindestens für die wichtigsten und meist genutzten Dienste eigene Passwörter anlegen. Wurde das Passwort von einem Anbieter übermittelt, sollte man es bei der ersten Anmeldung auf dem jeweiligen Portal ändern. Weitere Gründe zum Ändern des Codes wären, wenn der Online-Dienstleister einen dazu auffordert, große Datenlecks bekannt werden oder der Computer mit Schadsoftware infiziert worden ist.