Cyberkriminalität

Angriff im Home Office

Aufgrund der Corona-Pandemie haben viele Unternehmen ihre Mitarbeiter kurzfristig, teils überstürzt ins Home Office geschickt. E-Crime-Akteure nutzen die Ängste und Unsicherheiten der Menschen derzeit verstärkt aus und versuchen, daraus Kapital zu schlagen. Vernünftige Konzepte für Remote Work können hier Datensicherheit gewährleisten.

Hacker bearbeitet Laptop

Auch der Faktor „Mensch“, sprich die Mitarbeiter selbst, spielen im Home Office eine entscheidende Rolle, wenn es um die digitale Sicherheit geht.

Seit vielen Jahrzehnten stellt Cyberkriminalität eine wachsende Bedrohung für Unternehmen dar – und sie entwickelt sich ständig weiter. Die Schwachstellen der Cybersicherheit in Deutschland, aber auch weltweit hat die aktuelle Pandemie deutlich offengelegt. E-Crime-Akteure nutzen „die Angst und Ungewissheit sowie die aktuellen wirtschaftlichen Probleme vor allem für Phishing-Angriffe und andere Betrugsaktivitäten“, weiß Martin Schulze, Director of Strategy and Innovation bei AT&T, zu berichten. Eine kürzlich von seinem Unternehmen durchgeführte Umfrage unter 800 Cybersicherheitsexperten in Deutschland, Frankreich und Großbritannien zeige, dass sich 70 Prozent der großen Unternehmen anfälliger als zuvor gegenüber Cyberattacken fühlen. Insgesamt seien deutlich mehr Phishing-, Ransomware- und Identitätsdiebstahlangriffe auf Einzelpersonen, Organisationen und Unternehmen zu verzeichnen.

Auch Sascha Dubbel, Enterprise Sales Engineer bei Crowdstrike, hat in den letzten Wochen und Monaten einen „massiven Anstieg“ der E-Crime-Aktivitäten und insbesondere der Angriffe im Zusammenhang mit Covid-19 beobachtet. „Allein zwischen März und Juli 2020 stieg die Zahl der Corona-bezogenen Angriffe mit bösartigen Dateien um 330 Prozent“, berichtet der Experte. Vor allem zu Beginn des weltweiten Lockdowns habe er zahlreiche E-Mail-Kampagnen zum Thema „Covid-19“ beobachtet, die versuchten, Menschen auf bösartige Websites zu locken, und es gebe keine Anzeichen dafür, dass sich diese Angriffe verlangsamen würden.

Folgt man dem Allianz Risk Barometer 2020, sind Cybervorfälle gar erstmals das wichtigste Geschäftsrisiko für Unternehmen – und das weltweit. „Waren Cyberrisiken 2013 mit sechs Prozent noch recht gering, betrachtet man sie heute mit 39 Prozent als das größte Risiko“, bestätigt Elmar Geese jene Studie. Durch die zunehmende Digitalisierung fast aller Lebensbereiche werden auch die Auswirkungen und damit die Relevanz von Cybervorfällen immer größer, betont der COO von Greenbone.

Vom Büro ins Home Office

Dass viele Unternehmen ihre Mitarbeiter als Reaktion auf die Pandemie ins Home Office geschickt haben, spielt den Kriminellen dabei in die Karten. Schließlich geschah der Umzug vom Büro in die eigenen vier Wände oft überstürzt und ohne entsprechende Sicherheitsstrategien. „Viele Unternehmen waren nicht darauf vorbereitet, ihre ganze Belegschaft ins Home Office zu schicken“, weiß Marco Föllmer, IT-Experte und Geschäftsführer der EBF GmbH. „Dadurch mussten manche Firmen kurzfristig Maßnahmen einleiten, die eigentlich einiges an Planung und Vorbereitung benötigen.“ So hätte zuvor geklärt werden sollen, wie Mitarbeiter bei Nutzung des privaten Wlans sicher auf Firmendaten zugreifen oder sich bei Anwendungen anmelden können – erst recht, wenn dies über ein privates Gerät wie einen Desktop-PC passiert. Wenn so etwas ad hoc umgesetzt werden muss, bringt dies unweigerlich Risiken mit sich.

„Dass mehr Menschen von Zuhause aus arbeiten, hat natürlich die Angriffsfläche für E-Crime-Akteure massiv vergrößert“, betont auch Sascha Dubbel. Die Gefährdung der Mitarbeiter und ihr Bewusstsein für Bedrohungen der Cybersicherheit seien oft nicht mehr so klar wie zuvor in den Grenzen ihrer scheinbar sichereren Büroräume. Dies bedeutet auch, dass für die Arbeit in den eigenen vier Wänden „immer mehr persönliche mobile Geräte verwendet werden, die oft weniger sicher sind als die vom Unternehmen herausgegebenen Geräte mit ordnungsgemäß eingerichteten und konfigurierten Sicherheitsmaßnahmen“, gibt der Experte zu bedenken.

Häufig implementieren Unternehmen Sicherheitskonzept in Insellösungen, von denen viele hohe Anforderungen haben, was unnötige Reibungsverluste in der gesamten Benutzererfahrung verursacht. Das führt laut Ulf Baltin dazu, dass die Mitarbeiter auf Workarounds und Schatten-IT zurückgreifen. Die Pandemie habe die bestehenden Herausforderungen verschärft und sogenannte „Blind Spots“ in den Sicherheitsplattformen der Unternehmen aufgedeckt, weiß der Managing Director DACH/CE von Blackberry. Dabei sind die Gegner so unerbittlich wie eh und je – laut Dubbel setzen sie Social-Engineering-Techniken ein, zielen auf Remote-Dienste ab und nutzen Ransomware, die Verwirrung und Ängste im Zusammenhang mit Covid-19 ausnutzen soll. Daher sei es für Organisationen wichtiger denn je, ihre Mitarbeiter für Cyberkriminalität zu sensibilisieren.

Im Visier der Angreifer

In erster Linie greifen Cyberkriminelle die unvorsichtigsten und lukrativsten Ziele an. Ein E-Crime-Trend, der besonders hervorsticht, scheint das so genannte „Big Game Hunting“ zu sein. Was sich dahinter verbirgt? „Lösegeldattacken, bei denen hohe Geldbeträge von Unternehmen erpresst werden, anstatt sich nur darauf zu konzentrieren, Privatpersonen Geld zu stehlen“, erklärt Sascha Dubbel. Dies bedeutet allerdings nicht, dass nur große Unternehmen bzw. Konzerne im Visier von E-Crime-Akteuren stehen. Auch kleine und mittlere Unternehmen werden zunehmend Opfer von Angriffen. So scheint ein Cyberangriff auf eine Organisation nicht mehr eine Frage des „ob“, sondern vielmehr des „wann“ zu sein. Ähnlich sieht es Elmar Geese von Greenbone: „Wenn ich als Cyberkrimineller bei einem Konzern einbreche, dort Schadsoftware platziere und diese dann erpresserisch nutze, ist der Hebel natürlich am größten.“ Schlussendlich sei aber niemand vor Cyberangriffen sicher. Der Gedanke, „ich bin dafür nicht groß oder wichtig genug“, sei schon längst überholt und auch kleinere Unternehmen sowie Privatpersonen gerieten immer mehr ins Visier von Angreifern.

Die Hauptziele der Cyberkriminellen sind dabei neben dem Erpressen von Geld vor allem auch das Stehlen von geistigem Eigentum und Identitäten, geschäftliche Manipulation bzw. Sabotage sowie politische Einflussnahme. Wie gehen die Verbrecher vor? Neben den bereits erwähnten Lösegeldattacken via Ransomware werden etwa auch häufig Phishing-Methoden verwendet, um Zugangsdaten über fingierte Seiten zu erbeuten. „Die E-Mails, Textnachrichten und Chats, die den Nutzer dazu bewegen sollen, sich auf fingierten Seiten mit seinen Zugangsdaten anzumelden, werden immer trickreicher dargestellt und sind häufig erfolgreich, obwohl viele Nutzer sensibilisiert sind“, weiß Marco Föllmer von EBF zu berichten. Mit den erbeuteten Daten werden dann Zugriffe auf die Unternehmensnetzwerke vorgenommen und diese ausspioniert.

Eine recht neue, aber sehr schädigende Variante der Cyberkriminellen sind sogenannte „CEO Frauds“. „Hierbei werden im Namen des Vorstands oder der Geschäftsführung fingierte Aufträge an Mitarbeiter des Unternehmens versendet“, erklärt Föllmer. Diese beinhalten meist die Aufforderung, im Namen des Vorstands einen hohen Geldbetrag an eine bestimmte Kontonummer im Ausland zu überweisen. Der Empfänger fragt oftmals nicht nach, da davon ausgegangen wird, dass ein solcher Auftrag wohl seine Richtigkeit hat.

Das schwächste Glied in der Kette

Nur wenige Organisationen waren auf das Ausmaß der Störungen, die mit Beginn der Covid-19-Pandemie kamen, und auf die damit einhergehende Notwendigkeit der Fernarbeit vollständig vorbereitet. Es fehlten Lösungen, die es den Mitarbeitern ermöglichten, hinter der Firewall auf Unternehmensdaten und -ressourcen zuzugreifen. Am gravierendsten war jedoch, so Ulf Baltin, dass sie über keine oder kaum Infrastruktur verfügten, um die Sicherheit von Daten, Geräten und Anwendungen zu gewährleisten, da sie Lösungen verschiedener Anbieter zurechtbasteln mussten, um die Lücke zu schließen. „Was die heiße Phase der Covid-19-Pandemie anbelangt, so haben wir gesehen, dass viele Unternehmen es versäumt haben, ihre Mitarbeiter ordnungsgemäß zu schulen, wenn sie ins Home Office geschickt wurden“, bemängelt auch Sascha Dubbel. Viele Beschäftigte mussten plötzlich ihre eigenen Geräte benutzen, da die Unternehmen oft nicht vorbereitet waren, eine derart große Zahl an Mitarbeitern mit entsprechenden Devices zu versorgen. Eine große Last für die IT-Abteilungen – schließlich müssen sie bis heute nicht nur darum kämpfen, die große Zahl an Remote-Mitarbeitern zu sichern, sondern zugleich dafür sorgen, dass diese überhaupt alle überhaupt Zugang zu den Unternehmensnetzwerken erhalten.

Nicht zuletzt spielt auch der Faktor „Mensch“, sprich die Mitarbeiter selbst, im Home Office eine entscheidende Rolle, wenn es um die digitale Sicherheit geht. „Viele Schäden werden nach wie vor von sehr trivialen Schädlingen verursacht, die durch eine sensible Nutzung hätten vermieden werden können“, spricht Elmar Geese aus Erfahrung. Sogar der Klassiker „Ransomware via Mail-Versand“ funktioniere immer noch erstaunlich gut. Da kann ein Unternehmen noch so hohe Summen und noch so viele Aktivitäten für die Sicherheit aufwenden: Wenn ein Post-it mit dem Passwort am Monitor klebt oder der dienstlich genutzte Rechner voller Drittsoftware ist, hilft das wohl alles nichts. Mitarbeiter müssen auf jeden Fall wissen, welche Risiken von einer Fake-App, einem schadhaften Link oder einem unternehmensfremden Wlan ausgehen. „Der Mensch ist immer das schwächste Glied in der Sicherheitskette“, betont auch nochmals Sascha Dubbel. Ganz gleich, wie gut die Technologie ist – „ein menschlicher Akteur wird in der Lage sein, jede Sicherheitsmaßnahme zu umgehen“. Angreifer wissen das natürlich und haben ihre Taktiken so weit entwickelt, dass selbst die vorsichtigsten Benutzer anfällig dafür sind, irgendwann Opfer einer sorgfältig ausgearbeiteten Phishing-Kampagne zu werden.

Um ein vernünftiges Remote-Work- respektive Cyberresilienz-Konzept aufsetzen zu können, sollten sich Unternehmen zunächst einige grundsätzliche Fragen stellen. Dazu gehören laut Marco Föllmer: Wer soll wann und zu welchem Zweck zu Hause arbeiten? Welche Daten- und Anwendungszugriffe sind dafür notwendig? Welche Geräte sollen hierfür verwendet werden? Anschließend sei zu klären, wie die Verwaltung der Geräte gelingt, wie eine sichere Verbindung zu den Unternehmensservern aufgebaut werden kann und wie der Zugriff auf die Geräte und Anwendungen gesteuert wird. „Cyberresilienz ist ein Prozess und beginnt immer damit, dass ich meine Schwachstellen identifiziere, meine Mitarbeiter auf mögliche Vorfälle gut vorbereitet sind, die Risiken kennen und damit umgehen können“, wirft Elmar Geese ein.

Passende Konzepte

Als konkrete Lösung schlägt Sascha Dubbel an dieser Stelle eine Cloud-verwaltete Sicherheitstechnologie vor. Diese gewährleiste, dass die verwendeten Geräte sicher seien, unabhängig davon, ob sie im Büro innerhalb der engen Grenzen eines ordnungsgemäß gesicherten Netzwerks oder zu Hause mit einem weniger sicheren persönlichen Wlan verwendet werden. Eine moderne Lösung ist seiner Meinung nach auch nicht auf Signaturen angewiesen, die regelmäßig aktualisiert werden müssten. Vielmehr stelle die Cloud-Architektur sicher, dass alle verwalteten Systeme umgehend gesichert seien, sobald ein neuer Angriffsvektor entdeckt werde.

Dies ist ein Artikel aus unserer Print-Ausgabe 09-10/2020. Bestellen Sie ein kostenfreies Probe-Abo.

Ulf Baltin von Blackberry rät zu einem einzigen Management-Tool zur Überwachung des gesamten Sicherheitsnetzwerks. Damit könnten Unternehmen eine verbesserte Sicherheitslage mit optimierter Sichtbarkeit und größerer Kontrolle erreichen, wodurch eine weitreichende Risiko-minderung in einer heterogenen IT-Infrastruktur erreicht werde. Ferner leiste die einheitliche Endpunktsicherheit durch den Einsatz von Künstlicher Intelligenz (KI), maschinellem Lernen, Lean Management und Automatisierung eine erstklassige Prävention und Beseitigung von Cyberbedrohungen. Zugleich sorge sie für Transparenz an allen Endpunkten, einschließlich Desktops, mobilen Geräten, Servern und dem Internet of Things (IoT) – ohne die Produktivität der User zu beeinträchtigen. Einheitliche Endgerätesicherheit biete somit ein wegweisendes Konzept für die Zukunft der Arbeit. Ähnlich sieht es Marco Föllmer. Eine Lösung, die seiner Meinung nach nicht fehlen sollte, ist ein Unified-Endpoint-Management-System (UEM). „Es ermöglicht Administratoren, sämtliche Geräte – ganz gleich, ob Android, Windows, iOS oder MacOS – sicher und effizient über eine einzige Plattform zu verwalten“, so der Experte. Darüber können Unternehmen sicherstellen, dass die Geräte gemäß ihrer Sicherheitsrichtlinien konfiguriert, Software-Updates aufgespielt und Unternehmensdaten im Bedarfsfall wieder vom Gerät gelöscht werden.

Aus der Krise lernen

Für ein umfassendes Sicherheitskonzept sollte es letztlich keinen Unterschied machen, ob die Mitarbeiter von zu Hause oder vom Büro aus arbeiten. Aber gerade wenn sie nach längerer Zeit im Home Office wieder in die Räumlichkeiten ihres Arbeitgebers zurückkehren, sollten Unternehmen in jener Phase „besonderen Wert auf die Sicherheitshygiene legen“, empfiehlt Carsten Hoffmann, Manager Sales Engineering bei Forcepoint. Dazu gehörten mitunter Basics wie die Aktualisierung von Software und das Einspielen von Sicherheits-Patches. Zugleich warnt er: „Niemand, der monatelang erfolgreich und ungebunden mit seinem eigenen Tablet, Smartphone oder Notebook gearbeitet hat, wird wieder zu seinem verstaubten Arbeits-PC zurück wollen.“ Und auch von den bewährten Cloud-Diensten möchten sich Mitarbeiter wohl kaum mehr verabschieden. Deshalb sollten Unternehmen diese Geräte und Dienste von vorneherein besser unterstützen und mit den genannten Lösungen absichern. „Wie so häufig wird damit eine Ausnahmesituation zu einem Innovationsschub führen“, ist sich Hoffmann sicher, nach dessen Ansicht der entscheidende Fehler schon vor der heißen Corona-Phase gemacht wurde. Viele Unternehmen hätten sich bis dato gegen Cloud Computing, Mobility und Remote-Working gestemmt.

Nun führt die aktuelle Krise den Unternehmen deutlich vor Augen, dass das alte Cybersicherheitsmodell tot ist, weil es mit der neuen Normalität des Remote-Arbeitens nicht mehr richtig mithalten kann. Die wichtigsten Erkenntnisse für Unternehmen sollten laut Sascha Dubbel darin bestehen, dass Remote-Mitarbeiter eine spezielle Sicherheitsschulung erhalten müssen, um das Bewusstsein für potenzielle Bedrohungen zu schärfen, denen sie ausgesetzt sind, und so das potenzielle Risiko für sich selbst und die Daten des Unternehmens zu verringern. „Sie müssen auch erkennen“, ergänzt er, „dass sich der Arbeitsplatz dramatisch verändert hat und dass die neue Normalität höchstwahrscheinlich bleiben wird.“ Daher seien Investitionen in eine ganzheitliche Cybersicherheitsstrategie für Sicherheit und Wachstum unerlässlich, ergänzt Martin Schulze von AT&T. Hierzu zähle u.a. auch die Zusammenarbeit mit vertrauenswürdigen Partnern in der Branche. „Sicherheit gehört zu digitalen Infrastrukturen wie das Geländer zur Treppe“, bringt es Elmar Geese abschließend auf den Punkt. Sie sei ein funktionaler Bestandteil, der Schaden verhindere, idealerweise bevor er entstehen könne.

Bildquelle: Getty Images / iStock

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok