Aktuelles, Branche, Studien - geschrieben von am Mittwoch, Februar 15, 2023 16:27 - noch keine Kommentare

Mobiles Arbeiten verschlechtert Cyber-Sicherheitslage vieler Unternehmen

Mangelndes Cyber-Sicherheitsbewusstsein im Home-Office

[datensicherheit.de, 15.02.2023] Seit Beginn der „Corona-Pandemie“ lässt sich in Deutschland offensichtlich eine weit verbreitete Verlagerung Richtung „Remote“-Arbeit und zum sogenannten Home-Office verzeichnen. Diese Entwicklung bringt dabei nach Ansicht einer klaren Mehrheit der IT-Experten in Unternehmen neue, vielfältige Sicherheitsbedrohungen mit sich: In einer Umfrage von SoSafe haben nach eigenen Angaben neun von zehn Befragten angegeben, dass sich die Cyber-Bedrohungslage verschlechtert habe. „75 Prozent der Befragten nennen mobiles Arbeiten als einen Grund dafür“ – und das nicht zu Unrecht: Denn Mitarbeiter im Home-Office klickten fast dreimal so häufig (30%) auf Phishing-E-Mails wie Angestellte im Büro (12%). Die vorliegenden Daten von SoSafes „Human Risk Review 2022“ basierend demnach auf exklusiven Antwortdaten der „SoSafe Awareness-Platform“, die im Jahr 2021 über 4,3 Millionen simulierte Phishing-Angriffe von 1.500 Kundenorganisationen anonym ausgewertet und die Erfolgswahrscheinlichkeit verschiedener Angriffstaktiken analysiert habe.

Im Home-Office oft trügerisches Gefühl von Cyber-Sicherheit

Laut SoSafe zählen mangelnde Kommunikation im Home-Office, die Nutzung eigener Technik als Arbeitsgeräte sowie ungesicherte Arbeitsumgebungen zu den größten Sicherheitsrisiken des mobilen Arbeitens. Während diese den meisten Unternehmen durchaus bewusst seien, sei das bei den Mitarbeitern selbst nicht immer der Fall – sie hätten im Home-Office oft ein falsches Gefühl von Sicherheit.

Gerade jetzt während der Winter- und Krankheitszeit arbeiteten immer mehr Arbeitnehmer von zu Hause aus. SoSafe warnt daher vor den „größten Risiken der mobilen Arbeit“ und teilt in der aktuellen Stellungnahme einfache Tipps sowie Lösungen, um diese zu mindern.

Die größten Cyber-Risiken mobiler Arbeit:

Unzureichend geschützte Arbeitsbereiche
Mehr Mitarbeiter im Home-Office böten Cyber-Kriminellen auch mehr Angriffsfläche. Unternehmen müssten daher weitere Endpunkte, Netzwerke und Software sichern. Für die Cybersecurity-Teams sei das eine schwer zu überblickende Lage, denn sie könnten nicht alle im Home-Office verwendeten Technologien überprüfen. So sei mehr denn je die Aufmerksamkeit jedes einzelnen Mitarbeiters zu Hause gefragt, um Sicherheitslücken zu erkennen und entsprechend zu reagieren.

Optimale Bedingungen für Social Engineering und Phishing
Die mobile Arbeit verstärke außerdem die Abhängigkeit von digitalen Kommunikationsmitteln. Mitarbeiter gewöhnten sich daran, Geschäftsanfragen nur noch per E-Mail zu erhalten. Cyber-Kriminellen biete dies optimale Bedingungen, um ausgeklügelte Phishing-Angriffe zu starten – und das mit Erfolg, da mehr Mitarbeiter Phishing-Mails zuhause öffneten oder mit ihnen interagierten.

Fehlende Kommunikation mit Kolleginnen und Kollegen
Hohe Klick-Raten im Home-Office ließen sich unter anderem durch einen Mangel an direkter Kommunikation mit Kollegen erklären. Direkte Kommunikation sei schließlich notwendig, um Informationen oder geforderte Handlungen zu überprüfen – oder auch, um über alle Entwicklungen im Unternehmen auf dem Laufenden zu bleiben.

Bedarf von neuen Kommunikations- und Kollaborationswerkzeugen
Da die persönliche Kommunikation deutlich reduziert sei, kämen neue Kommunikations- und Kollaborations-Tools wie „Slack“ oder „Zoom“ zum Einsatz. Diese böten wiederum neue Einfallstore für Cyber-Kriminelle – nicht nur für den Angriff selbst, sondern auch zum Abfangen von Informationen für ihren nächsten Social-Engineering-Angriff. Insbesondere „Voice Cloning“ und „Deepfakes“ seien derzeit auf dem Vormarsch.

Bring-Your-Own-Device (BYOD)
Viele Angestellte kompensierten das Fehlen von Firmengeräten im Home-Office, indem sie ihre privaten Laptops oder Smartphones für Arbeitszwecke nutzten. Das Problem: Die IT-Abteilung könne diese Geräte nicht auf Unregelmäßigkeiten überprüfen. Ebenso wenig könne sie das Vorhandensein der erforderlichen technischen Abwehrsysteme sicherstellen.

Anfällige Mitarbeiter aufgrund von Unsicherheit und ständiger Veränderung
Neue Arbeitsbedingungen und ein unvorhersehbares Umfeld ermüdeten Mitarbeiter – und machren sie damit anfälliger für Cyber-Angriffe, welche diese Veränderung für anlassbezogenes Phishing laufend instrumentalisierten. So kümmerten sich Mitarbeiter beispielsweise weniger um Sicherheitsrichtlinien, hinterfragten Inhalte seltener und machten eher Fehler.

Cyber-Kriminelle nutzten besonderen Umstände im Home-Office aus und verschafften sich über Angestellte Zugang zu Unternehmenssystemen

„Es steht außer Frage, dass technische Vorkehrungen im ständigen Kampf gegen Sicherheitsverstöße unverzichtbar sind. Aber die weit verbreitete Verlagerung zur Remote-Arbeit bedeutet auch: Es ist wichtiger denn je, eine starke ‚menschliche Firewall‘ aufzubauen und durchzusetzen, die Unternehmen und Einzelpersonen sowohl im Büro als auch zu Hause schützt“, betont Dr. Niklas Hellemann, „CEO“ von SoSafe.

Während sich Mitarbeiter zu Hause in falscher Sicherheit wiegten, nutzten Cyber-Kriminelle die besonderen Umstände im Home-Office aus und verschafften sich mit ausgeklügelten Angriffen über die Angestellten Zugang zu Unternehmenssystemen. In einer Zeit, in der Arbeitnehmer von anhaltender Unsicherheit umgeben seien und zunehmend unter Druck stünden, seien sie auch massiv anfälliger für Cyber-Angriffe. Dr. Hellemann rät: „Unternehmen sollten deshalb ihre Angestellten für die Sicherheitsrisiken im Home-Office sensibilisieren. So wissen sie über Bedrohungen Bescheid und können entsprechend reagieren.“

Tipps von SoSafe für Cyber-Sicherheit bei der Arbeit im Home-Office:

Schulen Sie sich regelmäßig zum Thema Cyber-Sicherheit!
„Informieren Sie sich regelmäßig über Cyber-Sicherheitsbedrohungen und neue Entwicklungen, um eine gute Intuition für Cyber-Gefahren zu entwickeln – dies schützt Unternehmen und Einzelpersonen sowohl im Büro als auch zu Hause.“

Überprüfen Sie Informationen und geforderte Maßnahmen!
„Wenn ein Projekt oder eine Information völlig neu für Sie ist, die angeforderte Handlung ungewöhnlich ist oder Sie stark unter Druck setzt, rufen Sie Ihre Führungskraft oder Kolleginnen und Kollegen an, um dies zu überprüfen.“

Vergewissern Sie sich, dass Ihr System und Ihre Programme auf dem neuesten Stand sind!
„Und: Befolgen Sie die Anweisungen Ihrer IT- und Sicherheitsteams.“

Dokumente und Daten separat halten!
„Bewahren Sie Dokumente und tragbare Datenspeichergeräte an einem Ort auf, an dem Ihre Familie und Gäste keinen Zugriff darauf haben.“

Sperren Sie immer Ihren Bildschirm oder Computer, wenn Sie ihn nicht benutzen!
„Und: Stellen Sie sicher, dass er für andere nicht einsehbar ist (z. B. durch ein Fenster).“

Stellen Sie sicher, dass Sie nur passwortgeschützte WLAN-Verbindungen nutzen und sich über ein VPN mit Ihrem Firmennetzwerk verbinden!
„Verwenden Sie außerdem nur ,Cloud’-Tools, die von Ihrer IT-Abteilung genehmigt wurden.“

Schließen Sie niemals ungeprüfte externe Datenspeichergeräte (wie USB-Sticks) an Ihr Arbeitsgerät an!

Stellen Sie sicher, dass vertrauliche oder sensible Dokumente zerstört, unkenntlich oder unleserlich gemacht werden, bevor Sie sie wegwerfen!

Weitere Informationen zum Thema:

datensicherheit.de, 15.02.2022
Fachkräftemangel, Insiderbedrohungen und Home-Office – Cyber-Risiken mit Wurzeln in den Unternehmen / Hendrik Schless kommentiert die von Unternehmen viel zu häufig unterschätzten Risiken

datensicherheit.de, 26.01.2022
Home-Office: 80 Prozent wünschen sich mehr Cyber-Sicherheit / Arbeitgeber-Vorgaben zur IT-Absicherung im Home-Office noch immer die Ausnahme

datensicherheit.de, 17.08.2021
Home-Office im Sommer-Modus: Datenschutz macht keinen Urlaub / Sasa Petrovic benennt drei Datenschutz-Aspekte für Unternehmen, welche der Belegschaft Outdoor-Arbeit einräumen



Kommentieren

Kommentar

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung