[datensicherheit.de, 15.02.2023] Seit Beginn der „Corona-Pandemie“ lässt sich in Deutschland offensichtlich eine weit verbreitete Verlagerung Richtung „Remote“-Arbeit und zum sogenannten Home-Office verzeichnen. Diese Entwicklung bringt dabei nach Ansicht einer klaren Mehrheit der IT-Experten in Unternehmen neue, vielfältige Sicherheitsbedrohungen mit sich: In einer Umfrage von SoSafe haben nach eigenen Angaben neun von zehn Befragten angegeben, dass sich die Cyber-Bedrohungslage verschlechtert habe. „75 Prozent der Befragten nennen mobiles Arbeiten als einen Grund dafür“ – und das nicht zu Unrecht: Denn Mitarbeiter im Home-Office klickten fast dreimal so häufig (30%) auf Phishing-E-Mails wie Angestellte im Büro (12%). Die vorliegenden Daten von SoSafes „Human Risk Review 2022“ basierend demnach auf exklusiven Antwortdaten der „SoSafe Awareness-Platform“, die im Jahr 2021 über 4,3 Millionen simulierte Phishing-Angriffe von 1.500 Kundenorganisationen anonym ausgewertet und die Erfolgswahrscheinlichkeit verschiedener Angriffstaktiken analysiert habe.

Im Home-Office oft trügerisches Gefühl von Cyber-Sicherheit

Laut SoSafe zählen mangelnde Kommunikation im Home-Office, die Nutzung eigener Technik als Arbeitsgeräte sowie ungesicherte Arbeitsumgebungen zu den größten Sicherheitsrisiken des mobilen Arbeitens. Während diese den meisten Unternehmen durchaus bewusst seien, sei das bei den Mitarbeitern selbst nicht immer der Fall – sie hätten im Home-Office oft ein falsches Gefühl von Sicherheit.

Gerade jetzt während der Winter- und Krankheitszeit arbeiteten immer mehr Arbeitnehmer von zu Hause aus. SoSafe warnt daher vor den „größten Risiken der mobilen Arbeit“ und teilt in der aktuellen Stellungnahme einfache Tipps sowie Lösungen, um diese zu mindern.

Die größten Cyber-Risiken mobiler Arbeit:

Unzureichend geschützte Arbeitsbereiche
Mehr Mitarbeiter im Home-Office böten Cyber-Kriminellen auch mehr Angriffsfläche. Unternehmen müssten daher weitere Endpunkte, Netzwerke und Software sichern. Für die Cybersecurity-Teams sei das eine schwer zu überblickende Lage, denn sie könnten nicht alle im Home-Office verwendeten Technologien überprüfen. So sei mehr denn je die Aufmerksamkeit jedes einzelnen Mitarbeiters zu Hause gefragt, um Sicherheitslücken zu erkennen und entsprechend zu reagieren.

Optimale Bedingungen für Social Engineering und Phishing
Die mobile Arbeit verstärke außerdem die Abhängigkeit von digitalen Kommunikationsmitteln. Mitarbeiter gewöhnten sich daran, Geschäftsanfragen nur noch per E-Mail zu erhalten. Cyber-Kriminellen biete dies optimale Bedingungen, um ausgeklügelte Phishing-Angriffe zu starten – und das mit Erfolg, da mehr Mitarbeiter Phishing-Mails zuhause öffneten oder mit ihnen interagierten.

Fehlende Kommunikation mit Kolleginnen und Kollegen
Hohe Klick-Raten im Home-Office ließen sich unter anderem durch einen Mangel an direkter Kommunikation mit Kollegen erklären. Direkte Kommunikation sei schließlich notwendig, um Informationen oder geforderte Handlungen zu überprüfen – oder auch, um über alle Entwicklungen im Unternehmen auf dem Laufenden zu bleiben.

Bedarf von neuen Kommunikations- und Kollaborationswerkzeugen
Da die persönliche Kommunikation deutlich reduziert sei, kämen neue Kommunikations- und Kollaborations-Tools wie „Slack“ oder „Zoom“ zum Einsatz. Diese böten wiederum neue Einfallstore für Cyber-Kriminelle – nicht nur für den Angriff selbst, sondern auch zum Abfangen von Informationen für ihren nächsten Social-Engineering-Angriff. Insbesondere „Voice Cloning“ und „Deepfakes“ seien derzeit auf dem Vormarsch.

Bring-Your-Own-Device (BYOD)
Viele Angestellte kompensierten das Fehlen von Firmengeräten im Home-Office, indem sie ihre privaten Laptops oder Smartphones für Arbeitszwecke nutzten. Das Problem: Die IT-Abteilung könne diese Geräte nicht auf Unregelmäßigkeiten überprüfen. Ebenso wenig könne sie das Vorhandensein der erforderlichen technischen Abwehrsysteme sicherstellen.

Anfällige Mitarbeiter aufgrund von Unsicherheit und ständiger Veränderung
Neue Arbeitsbedingungen und ein unvorhersehbares Umfeld ermüdeten Mitarbeiter – und machren sie damit anfälliger für Cyber-Angriffe, welche diese Veränderung für anlassbezogenes Phishing laufend instrumentalisierten. So kümmerten sich Mitarbeiter beispielsweise weniger um Sicherheitsrichtlinien, hinterfragten Inhalte seltener und machten eher Fehler.

Cyber-Kriminelle nutzten besonderen Umstände im Home-Office aus und verschafften sich über Angestellte Zugang zu Unternehmenssystemen

„Es steht außer Frage, dass technische Vorkehrungen im ständigen Kampf gegen Sicherheitsverstöße unverzichtbar sind. Aber die weit verbreitete Verlagerung zur Remote-Arbeit bedeutet auch: Es ist wichtiger denn je, eine starke ‚menschliche Firewall‘ aufzubauen und durchzusetzen, die Unternehmen und Einzelpersonen sowohl im Büro als auch zu Hause schützt“, betont Dr. Niklas Hellemann, „CEO“ von SoSafe.

Während sich Mitarbeiter zu Hause in falscher Sicherheit wiegten, nutzten Cyber-Kriminelle die besonderen Umstände im Home-Office aus und verschafften sich mit ausgeklügelten Angriffen über die Angestellten Zugang zu Unternehmenssystemen. In einer Zeit, in der Arbeitnehmer von anhaltender Unsicherheit umgeben seien und zunehmend unter Druck stünden, seien sie auch massiv anfälliger für Cyber-Angriffe. Dr. Hellemann rät: „Unternehmen sollten deshalb ihre Angestellten für die Sicherheitsrisiken im Home-Office sensibilisieren. So wissen sie über Bedrohungen Bescheid und können entsprechend reagieren.“

Tipps von SoSafe für Cyber-Sicherheit bei der Arbeit im Home-Office:

Schulen Sie sich regelmäßig zum Thema Cyber-Sicherheit!
„Informieren Sie sich regelmäßig über Cyber-Sicherheitsbedrohungen und neue Entwicklungen, um eine gute Intuition für Cyber-Gefahren zu entwickeln – dies schützt Unternehmen und Einzelpersonen sowohl im Büro als auch zu Hause.“

Überprüfen Sie Informationen und geforderte Maßnahmen!
„Wenn ein Projekt oder eine Information völlig neu für Sie ist, die angeforderte Handlung ungewöhnlich ist oder Sie stark unter Druck setzt, rufen Sie Ihre Führungskraft oder Kolleginnen und Kollegen an, um dies zu überprüfen.“

Vergewissern Sie sich, dass Ihr System und Ihre Programme auf dem neuesten Stand sind!
„Und: Befolgen Sie die Anweisungen Ihrer IT- und Sicherheitsteams.“

Dokumente und Daten separat halten!
„Bewahren Sie Dokumente und tragbare Datenspeichergeräte an einem Ort auf, an dem Ihre Familie und Gäste keinen Zugriff darauf haben.“

Sperren Sie immer Ihren Bildschirm oder Computer, wenn Sie ihn nicht benutzen!
„Und: Stellen Sie sicher, dass er für andere nicht einsehbar ist (z. B. durch ein Fenster).“

Stellen Sie sicher, dass Sie nur passwortgeschützte WLAN-Verbindungen nutzen und sich über ein VPN mit Ihrem Firmennetzwerk verbinden!
„Verwenden Sie außerdem nur ,Cloud’-Tools, die von Ihrer IT-Abteilung genehmigt wurden.“

Schließen Sie niemals ungeprüfte externe Datenspeichergeräte (wie USB-Sticks) an Ihr Arbeitsgerät an!

Stellen Sie sicher, dass vertrauliche oder sensible Dokumente zerstört, unkenntlich oder unleserlich gemacht werden, bevor Sie sie wegwerfen!

Weitere Informationen zum Thema:

datensicherheit.de, 15.02.2022
Fachkräftemangel, Insiderbedrohungen und Home-Office – Cyber-Risiken mit Wurzeln in den Unternehmen / Hendrik Schless kommentiert die von Unternehmen viel zu häufig unterschätzten Risiken

datensicherheit.de, 26.01.2022
Home-Office: 80 Prozent wünschen sich mehr Cyber-Sicherheit / Arbeitgeber-Vorgaben zur IT-Absicherung im Home-Office noch immer die Ausnahme

datensicherheit.de, 17.08.2021
Home-Office im Sommer-Modus: Datenschutz macht keinen Urlaub / Sasa Petrovic benennt drei Datenschutz-Aspekte für Unternehmen, welche der Belegschaft Outdoor-Arbeit einräumen

[datensicherheit.de, 13.10.2022] „Jüngere Menschen sind digital versierter und daher auch besser in der Lage, Phishing-E-Mail zu erkennen – das erscheint im ersten Moment naheliegend. Tatsächlich sind ,Digital Natives’ im Alter von 18 bis 29 Jahren jedoch die anfälligste Altersgruppe für Phishing-Betrug.“ Das ist nach eigenen Angaben das Ergebnis einer aktuellen Analyse von SoSafe.

31% Prozent der Teilnehmer klickten auf mindestens eine simulierte Phishing-E-Mail

Diese Studienergebnisse machten deutlich, dass das Bewusstsein für Cyber-Sicherheit nach wie vor besorgniserregend niedrig sei. „So klickten 31 Prozent der Teilnehmenden auf mindestens eine simulierte Phishing-E-Mail.“ Somit wäre in der Realität einer von drei Cyber-Angriffen erfolgreich gewesen.

Eine weitere Erkenntnis der Untersuchung sei, dass die E-Mail-Betreffzeilen, die am ehesten angeklickt wurden, in der Regel auf emotionaler Manipulation beruhten: „Sie erzeugen Druck, Angst oder Neugierde oder wecken Hoffnungen auf finanzielle Vorteile bei den Empfängerinnen und Empfängern.“

Schlüsselergebnisse der Phishing-Studie im Überblick:

• Bei den „Digital Natives“ (18 bis 39 Jahre) liege die durchschnittliche Klickrate auf Phishing-E-Mails bei 29 Prozent. Menschen über 50 seien mit einer durchschnittlichen Klickrate von 19 Prozent deutlich vorsichtiger beim Öffnen von E-Mails.
• Männer klickten tendenziell häufiger auf Phishing-Links als Frauen: 23 Prozent der männlichen Teilnehmer hätten mindestens eine der simulierten Phishing-E-Mails geöffnet. Bei den Teilnehmerinnen habe die durchschnittliche Klickrate mehr als zehn Prozent niedriger gelegen.
• Organisationen des öffentlichen Sektors seien mit 36 Prozent geöffneter Phishing-E-Mails am anfälligsten für Angriffe dieser Art. Den Gegenpol hierzu bilde die verarbeitende Industrie: Die durchschnittliche Klickrate liege dort bei nur 19 Prozent.
• 99 Prozent der Befragten hätten angegeben an, dass der Ausbau und die Förderung der Sicherheitskultur in ihren Unternehmen im kommenden Jahr von großer Bedeutung sein werde.

Technik allein unzureichend: Menschen als zusätzliche Verteidigungslinie gegen Phishing nutzen

„Cyber-Kriminelle setzen schon lange eine breit gefächerte Palette psychologischer Taktiken ein, die menschliche Emotionen wie Stress, Angst oder Respekt vor Autorität ausnutzen. Unsere Studie zeigt, dass das Bewusstsein für diese potenziellen Gefahren nach wie vor zu niedrig ist – und es somit eine entscheidende Rolle für die Cyber-Sicherheit spielt, die ,Awareness’ für Cyber-Gefahren zu stärken“, betont Dr. Niklas Hellemann, „CEO“ von SoSafe.

Vor allem diejenigen, mit neuer Technik Aufgewachsenen seien sich der digitalen Bedrohungen oft nicht bewusst. Neben Investitionen in technologische Barrieren sei deshalb vor allem wichtig, Menschen als zusätzliche Verteidigungslinie zu nutzen: Unternehmen sollten ihre Mitarbeiter dabei unterstützen, Cyber-Bedrohungen zu erkennen und entsprechend zu reagieren – „denn Technologie alleine ist kein ausreichender Schutz gegen moderne, professionalisierte Cyber-Kriminalität”, warnt Dr. Hellemann abschließend.

Weitere Informationen zum Thema:

datensicherheit.de, 29.03.2021
KnowBe4-Umfrage zu Häufigkeit verschiedener Phishing-Arten / Fast jeder schon mal von E-Mail-Phishing betroffen