Mitarbeiter im Homeoffice: Unbeaufsichtigte Computer als Einstiegstor für Hackerangriffe

Warum das Homeoffice zum Einfallstor wird

Laut TÜV-Verband gibt es vor allem drei Gründe, weshalb Hackerangriffe im Umfeld des Homeoffice oft erfolgreich sind. Vor allem die fehlende technische Ausstattung, nicht klar formulierte Verhaltensregeln für den Fall einer IT-Hackerattacke durch das Unternehmen sowie nur selten angebotene Schulungen der Mitarbeitenden, etwa zum Thema Phishing, erleichtern es nach Meinung von Dr. Ewan Fleischmann den Cyber-Kriminellen, die Maßnahmen der IT-Security von Unternehmen zu umgehen.

Penetrationstest zur Identifizierung von Schwachstellen

Viele nutzen heute gekaufte oder kostenlos verfügbare Antivirenprogramme, um ihren Laptop vor Schadsoftware zu schützen. Diese Programme sind sinnvoll, können aber das Risiko eines professionellen Hackerangriffs nur minimal reduzieren. Ein Penetration Test hingegen kann sämtliche, bereits vorhandene oder potenzielle Schwachstellen in der IT-Sicherheit eines Unternehmens identifizieren. Um ein System zu testen, setzt der ausführende IT-Experte Hackerwissen ein, das bedeutet, dass er bei seinem Versuch, in den vorher abgesprochenen Bereich der IT-Infrastruktur einzudringen, genauso agiert, wie ein professioneller Hacker. Bei einem Penetrationstest handelt es sich also um einen Cyber-Angriff, der in einem geschützten Rahmen mit klar definierten Details stattfindet. In einem Vertrag zwischen Auftraggeber und Auftragnehmer wird vor allem schriftlich festgehalten, wer den Penetrationstest durchführt, ob das gesamte IT-Netzwerk oder nur einzelne Bereiche (z. B. Web-Application & API oder Cloud) getestet werden sollen. Auch der Zeitraum, in dem der Test stattfinden soll, wird festgelegt. Ebenso ist zu definieren, ob der Test als externer Penetrationstest über das Internet als Zugang durchgeführt wird oder ob er als interner Penetration Test organisiert sein soll. Darüber hinaus ist zu klären, ob das beauftragende Unternehmen den Test ankündigt oder ob er als unangekündigte Attacke durchgeführt wird. Auch der Umfang der Informationen, die das Unternehmen dem IT-Experten zur Verfügung stellt kann unterschiedlich sein. Erhält der Pentester alle Informationen zum Netzwerk, handelt es sich um einen sogenannten White-Box-Penetrationstest. Stellt das Unternehmen nur einzelne Informationen zur Verfügung, wird der Test als Grey-Box-Penetrationstest bezeichnet. Bekommt der Pentester gar keine Informationen, ist der Test ein sogenannter Black-Box-Penetrationstest. Für den externen wie den internen Penetrationstest gibt es jeweils den optimalen Zeitpunkt. Der externe Penetration Test wird empfohlen, wenn ein Unternehmen vorher z. B. nach außen gerichtete Parameter gestärkt hat. Das kann durch Erneuerung seiner Firewalls oder die Einführung eines Password Managements geschehen sein. Der Tester handelt bei diesem Test aus der Perspektive eines externen Angreifers. Ein interner Penetrationstest ist auf die internen Systeme fokussiert. Er kann zeigen, wozu ein Hacker in der Lage ist und auf welche Informationen oder Systeme er Zugriff erhält, wenn es ihm gelingt, ein internes System, also einen Host, einen Server in der DMZ oder sogar einen Mitarbeitenden zu kompromittieren.

Wichtige Aspekte der IT-Sicherheit beim Homeoffice

Es gibt bekanntermaßen besonders anfällige Stellen, über die Hacker versuchen, in die Systeme eines Unternehmens einzudringen, unabhängig davon, ob sich die Komponente am eigentlichen Firmensitz oder im Homeoffice eines Mitarbeitenden befindet. Als bevorzugte Angriffspunkte gelten Konfigurationen, Verschlüsselungen, Programmierungen sowie das Session-Management. Gelingt es einem Hacker, auf einen offenen Port, ein schwaches Kennwort oder mangelhaft geschützte Zugriffsrechte zuzugreifen, kann er diese verwenden, um von einem sogenannten Data Breach zu profitieren oder das System gleich ganz zu übernehmen. In beiden Fällen würde er vermutlich ein „Lösegeld“ fordern, dessen Zahlung im „worst case“ die einzige Möglichkeit wäre, gestohlene Daten zurückzuholen bzw. die Kontrolle über das System wiederzuerlangen. Leider sind viele, für das Homeoffice bereitgestellte Laptops oder Computer aufgrund der kurzen Vorbereitungszeit auf den Einsatz nur unzureichend mit Sicherheitsvorkehrungen geschützt. Aufgrund der seltenen Schulungen und oft nur unzureichend formulierten Verhaltensregeln von Seiten der Unternehmen, gelingt es vielen Hackern, sich mittels Phishing wichtige Daten oder Zugriffsrechte zu sichern und in die IT-Infrastruktur des Unternehmens einzudringen. Gerade bei der Arbeit vom heimischen Büro aus haben Mitarbeitende nicht immer die Möglichkeit, zeitnah Informationen einzuholen oder bei der IT-Abteilung nachzufragen, wie sie sich verhalten sollen. Hier ist es notwendig, die im Homeoffice befindlichen, unbeaufsichtigten Computer einer regelmäßigen Sicherheitsüberprüfung, auch im Rahmen eines Penetrationstests, zu kontrollieren und nach möglichen Schwachstellen zu suchen. Das gleiche gilt natürlich für die Internetverbindung, sofern die private Leitung des Mitarbeitenden genutzt wird. Eine mögliche Lösung ist ein VPN (Virtual Privat Network), bei dem sämtliche Daten zusätzlich verschlüsselt sind. Es gibt sogar schon VPN für Smartphones. Mit dieser Verbindungsvariante arbeiten inzwischen immer mehr Unternehmen.

Penetrationstests – einmalig oder regelmäßig?

Penetrationstests können stets nur eine Momentaufnahme sein, denn die getestete IT-Infrastruktur und auch die Methoden der Hacker entwickeln sich immer weiter. Deshalb verliert das Ergebnis eines Penetrationstests nach einer gewissen Zeit an Aussagekraft. Aus diesem Grund ist es sinnvoll, wenn Unternehmen solche Tests in regelmäßigen Zeitabständen durchführen lassen. Dabei gilt es zu beachten, dass nicht alle Bereiche gleichermaßen intensiv getestet werden müssen. Vielmehr raten IT-Experten dazu, dass bei den regelmäßig angesetzten Pentests vor allem die in der Zwischenzeit vorgenommenen Veränderungen einem Test unterzogen werden. Hier kann bzw. sollte dann auch die Hard- und Software einbezogen werden, die für das Homeoffice besonders wichtig ist. Die Mehrheit der IT-Sicherheitsexperten rät dazu, nach jeweils zwei Jahren einen Penetrationstest für das gesamte Netzwerk zu beauftragen.

Fazit: IT-Sicherheit im Homeoffice gibt es nur durch hohe Sicherheitsstandards

Wer als Unternehmen Mitarbeitende ins Homeoffice schickt und die Sicherheit der unternehmenseigenen IT gewährleisten möchte, der muss dem Mitarbeitenden Hard- und Software zur Verfügung stellen, die sicherheitstechnisch auf dem neuesten Stand ist. Darüber hinaus ist das Unternehmen gefordert, klare Verhaltensregeln zu kommunizieren und die Mitarbeitenden im Idealfall vor dem Beginn des Homeoffice entsprechende Schulungen zu ermöglichen, in denen ihnen beispielsweise gezeigt wird, woran sie eine Phishing-Mail erkennen und wie sie adäquat auf eine solche reagieren. Über diese Maßnahmen hinaus sollte die unternehmenseigene IT-Infrastruktur mithilfe von Penetrationstests auf schon vorhandene und auch potenzielle Schwachstellen getestet werden. Denn wenn ein Unternehmen diese kennt, kann es ein IT-Sicherheitskonzept entwickeln und für noch größere Sicherheit der eigenen Systeme sowie die von Geschäftspartnern sorgen.