So arbeiten Sie sicher im Home-Office

Ein Ratgeber zur IT-Sicherheit des Lernlabors Cybersicherheit

IT-Sicherheit im Home-Office ist nicht nur eine Frage der technologischen Absicherung. Der Schutz durch Software- oder Sicherheitsupdates sowie bessere VPN-Verbindungen alleine reicht in der aktuellen Situation nicht aus. Der wichtigste Akteur für die IT-Sicherheit sind Sie selbst!

Mitarbeiterinnen und Mitarbeiter im Home-Office sind für Angreifer ein bevorzugtes Ziel. Doch wie können Sie gerade jetzt – und auch langfristig – im Home-Office sicher arbeiten?

Um Ihr Bewusstsein – und das Ihrer Kolleginnen und Kollegen- zu schärfen, hat das Lernlabor Cybersicherheit einen Ratgeber entwickelt. Dieser Ratgeber beantwortet die wichtigsten Fragen rund um das Thema IT-Sicherheit im Home-Office.

 

Vor Hackern schützen – So kreieren Sie ein sicheres Passwort!

Ist ein langes Passwort wirklich ein sicheres Passwort? Schlecht gewählte Passwörter wie 1234 machen es Hackern besonders leicht. Und auch ein kompliziertes Passwort kann unsicher sein. Wir haben ein paar Tipps zusammengestellt, wie Sie sich ein sicheres Passwort erstellen können!…

 

Datenschutz und Messenger Apps

Egal ob jung oder alt, privat oder geschäftlich: Mehr als 2 Milliarden Menschen verwenden heutzutage Messenger Apps. Über das Netz verbinden sie kostenlos Nutzer aus aller Welt und sind so zum Inbegriff einer globalisierten Gesellschaft geworden. Gerade in Lockdown-Zeiten scheinen…

 

Das Bewusstsein für Gefahren schärfen

Welche IT-Risiken sich gerade am heimischen Arbeitsplatz auftun, wie Unternehmen gegensteuern können – und welche Ansatzpunkte die Fraunhofer Academy in dieser Situation liefert, erläutert Michael Rademacher vom Fraunhofer Institut für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE).

 

Zuhause ist man Co-Sicherheitsbeauftragter

Die verstärkte Arbeit im Home-Office führt dazu, dass Mitarbeiterinnen und Mitarbeiter auch eine stärkere Verantwortung für die IT-Sicherheit erhalten. Denn Maßnahmen, die im Büro zentral geregelt werden können, sind zuhause nicht zwangsläufig etabliert.

 

Die wichtigsten Fragen und Antworten auf einen Blick

Sie fragen sich, welche kleinen aber durchaus wirksamen Maßnahmen Sie selbst ergreifen können, um Ihre Arbeit im Home-Office sicher zu machen? Antworten auf die wichtigsten Fragen haben wir für Sie in unserem FAQ zusammengestellt.

Aufgepasst – Phishing Mails!

Erst auf das Bauchgefgühl hören, dann klicken

Warum Phishing Mails für Mitarbeitenden im Home-Office so gefährlich sind?

Cyberkriminelle nehmen hierbei die Menschen zuhause ins Visier, um so in ihre Systeme einzudringen. Phishing Mails spielen dabei bewusst mit der Verunsicherung der Menschen und versprechen vermeintliche wichtige Informationen zur Pandemie oder finanziellen Gegenständen. Gleiches gilt für Mails, die angebliche Anweisungen von Vorgesetzten oder Geschäftspartnern enthalten. Die Tricks, mit denen Cyberkriminelle über gefälschte Mails Daten entwenden, Mitarbeitende irreführen oder Identitätsdiebstahl begehen, werden immer ausgefeilter.

  • Generell erkennt man gut gemachte Phishing Mails nur schwer, doch ihnen ist gemein, dass meistens eine Handlung gefordert wird: Klicken Sie hier, loggen Sie sich ein, öffnen Sie die Datei, bezahlen Sie etwas oder geben Sie Daten an. Häufig wird dies in Kombination mit einem knappen zeitlichen Rahmen oder negativen angedrohten Konsequenzen verbunden.
  • Zum Erkennen hilft außerdem schon ein Mouseover über den Link, ohne zu klicken: Der angezeigte Link verrät sich durch Kleinigkeiten als Fake. Doch hier muss man vorsichtig sein, denn es gibt die Möglichkeit Schriftzeichen zu mischen, die für das Auge kaum zu unterscheiden sind. So beispielsweise ein  statt ein I.

Datenschutz und Datenverarbeitung

Wir setzen zum Einbinden von Videos den Anbieter YouTube ein. Wie die meisten Websites verwendet YouTube Cookies, um Informationen über die Besucher ihrer Internetseite zu sammeln. Wenn Sie das Video starten, könnte dies Datenverarbeitungsvorgänge auslösen. Darauf haben wir keinen Einfluss. Weitere Informationen über Datenschutz bei YouTube finden Sie in deren Datenschutzerklärung unter: https://policies.google.com/privacy

Unsere Tipps

Tipp 1: Achtsamkeit und ein gesundes Misstrauen stellen einen ersten guten Schutz gegen solche Mails dar. Mitarbeitende sollten deshalb immer auf ihr Bauchgefühl hören und lieber einmal mehr nach dem Wahrheitsgehalt von Mailabsender oder Inhalten fragen.

Tipp 2: Echte Dokumente kommen in der Regel per Post. Um zudem sicherzugehen, können sich Nutzerinnen und Nutzer auch in dem entsprechenden Online-Konto einloggen – natürlich selbst herausgesucht und nicht aus der Mail. Gibt es dort keinen Hinweis auf eine Kontosperrung, war der Sperrverweis nicht echt.

Tipp 3: Sie wurden gehackt – was tun? Wenn trotz all dieser Maßnahmen ein Anwender dennoch Opfer eines Angriffes geworden ist, für den gilt: Rechner sofort herunterfahren, vom Netz nehmen und die IT-Abteilung informieren. Nur eine Neuinstallation kann hier zuverlässig helfen.

Ausgewählte Seminarangebote

 

Grundlagenwissen für Mitarbeiter

Datenschutz am Arbeitsplatz

Mit den Neuerungen der DSGVO und des BDSG seit Mai 2018 steigen die Anforderungen in jeglichen Bereichen eines Unternehmens, so auch für Mitarbeiter. Den Datenschutz am Arbeitsplatz einzuhalten und dafür zu sorgen, dass jeder Mitarbeiter geschult ist spielt eine essentielle Rolle, um im Unternehmen datenschutzkonform zu handeln.

 

 

Risiken erkennen, bewerten und managen

IT-Risikomanagement

Das Vorhersagen von Chancen und Risiken im IT-Bereich eines Unternehmens spielt eine sehr entscheidende Rolle. Zu Wissen welcher  Nutzen oder welcher Schaden bei positiven und negativen Fällen  entsteht, beeinflusst Entscheidungen maßgeblich.

 

Aufbauschulung mit optionalem Personenzertifikat des BSI

BSI-Vorfall-Experte

Aufgrund der starken Abhängigkeit von einer funktionierenden Informationstechnik, ist es essenziell angemessen auf IT-Sicherheitsvorfälle zu reagieren und somit das Schadensausmaß möglichst auf ein Minimum zu reduzieren. Insbesondere soll es kleinen und mittelständischen Unternehmen und regionalen Behörden ermöglicht werden IT-Sicherheitsvorfälle schnell und effektiv zu beheben. 

 

 

Zertifikatskurs

TeleTrusT Information Security Professional (T.I.S.P.)

Expertenzertifikat zur Informationssicherheit nach höchsten Qualitätsstandards: Kenntnisse der Informationssicherheit vertiefen mit Grundlagen zur Netzwerksicherheit, Kryptografie, Sicherheitsmanagement, rechtliche Grundlagen und Systemsicherheit.

 

So arbeiten Sie sicher im Home-Office!

In unserem Inhouse Seminar erhalten Sie einen Überblick über das Thema IT-Sicherheit und lernen die verschiedenen Aspekte und Grundbegriffe der IT-Sicherheit kennen. Wir zeigen Ihnen auf, welche Angriffsmethoden es gibt und wie Sie diese erfolgreich abwehren.

Weitere Inhouse Schulungen

Sie interessieren sich für unsere Inhouse Seminare? 

Dann empfehlen wir Ihnen unsere
Individuelle Schulungsseite! 

  • Damit Sie Spam- oder Phishing-Mails erkennen, können Sie sich zunächst an den altbekannten Klassikern orientieren: dem unbekannten oder kryptischen Absendernamen, einer seltsamen Betreffzeile, der anonymen Anrede (sehr geehrte Damen und Herren), dem mitgesendeten Dateien-Anhang (zip-, Word-, Excel-Dateien), Weblinks oder verlinkten Bilder. Da Angreifer sich allerdings stets verbessern, können solche E-Mails von vermeintlich bekannten Absendern kommen oder täuschend echt aussehen - vom Logo bis zum sehr gut formulierten Text.

    Sie sollten deshalb besonders vorsichtig sein, wenn Sie aufgefordert werden, persönliche Daten preiszugeben (Passwörter, Bankdaten, etc.). Oft wird auch ein gewisser Druck ausgeübt, indem gedroht wird: „Zahlen Sie die Rechnung im Anhang innerhalb der nächsten drei Tage, ansonsten wird Ihr Konto gesperrt.“ Behalten Sie hier im Hinterkopf: Sie sollen bewusst zum schnellen Handeln bewegt werden und Ihre Bedenken vergessen.

  • Ein erster Schritt um Cyberkriminellen keine Chance zu geben, ist die Aktivierung des Spam-Schutzes Ihres E-Mailprogramms. Dieser lässt sich einfach über die Programm-Einstellungen aktivieren.  Deaktivieren Sie zudem die Einstellung „Anzeige von E-Mail im HTML-Format“. Entgegen der schlichten Text-E-Mails, sind E-Mails im HTML-Format mit Bildern und verschiedenen Schriften aufbereiten. Sie enthalten Codes, die beim Öffnen der E-Mail von Ihrem Computer automatisch runtergeladen werden.

    Da diese zwei Schutzmaßnahmen keinen 100%igen Schutz garantieren, sollten Sie stets misstrauisch gegenüber E-Mails sein, die Ihnen unsicher vorkommen (Anhaltspunkte siehe: Wie erkenne ich unsichere E-Mails?). Öffnen Sie keine Anhänge oder klicken Sie keine Bilder an, geben Sie keine persönlichen Daten Preis - auch nicht Ihrem vermeintlichen Bankberater. Bezahlen Sie keine Rechnungen, ohne die Rechnungsstelle überprüft bzw. telefonisch nachgefragt zu haben. Antworten Sie niemals auf dubiose E-Mails, denn auch so können Cyberkriminelle Ihren Nutzen ziehen.

    Unser Tipp: Achten Sie auf Ihr Bauchgefühl und fragen Sie nach. Greifen Sie zum Telefon und rufen bei der Institution, bei dem Geschäftspartner oder bei Ihrem IT-Experten an. Gehen Sie in jedem Fall auf Nummer sicher.

  • Das Erste, was Sie tun sollten, ist das drohende Lauffeuer zu verhindern. Bei Ransomware (Sperrbildschirm mit Zahlungsaufforderung) oder einem Hack heißt dies: Trennen Sie Ihre Netzwerkverbindung und schalten Sie Ihren Computer aus. Bei anderen Schadprogrammen sollten Sie so schnell wie möglich Ihre PIN-Codes und Passwörter für Online-Accounts von Banken, Shops, E-Mailprogrammen, etc. ändern. Erledigen Sie dies allerdings nicht an dem befallenen Computer, sondern an einem nicht-infizierten Ersatz-PC. Geben Sie unbedingt Ihrer IT-Abteilung Bescheid, hier erhalten Sie weitere Anweisungen oder die Kollegen übernehmen für Sie. Sollten Sie keine eigene IT-Abteilung haben, sprechen Sie mit Ihren Vorgesetzten und fragen Sie bei einer IT-Firma an, die die Schadsoftware entfernt. Warnen Sie auch Ihre Geschäftskontakte. Beobachten Sie verdächtige Aktivitäten Ihrer Accounts und externe Loginversuche, damit Sie rechtzeitig handeln können.

  • Die private Haftpflichtversicherung springt in den meisten Fällen für den Schaden ein, die Sie unwissentlich Ihren Kollegen online zufügen. Das kann zum Beispiel bei einer sehr gut getarnten Phishing-Mail der Fall sein. Prüfen Sie in Ihren Vertragsbedingungen, ob Ihre Versicherung auch für Schäden an Dritten durch Cyberkriminalität aufkommt. Auch die Rechtsschutzversicherung greift in vielen Fällen bei unverschuldetem Verhalten.

  • Der Hauptunterschied zwischen dem WLAN im Office und dem Heimnetzwerk liegt in der Verschlüsselung. Bei einer WPA2- oder WPA3-Verschlüsselung wird zwischen dem Personal-Mode und dem unternehmensspezifischen Enterprise-Mode unterschieden. Ein zentraler Server steuert jeweils den Zugang für den Router, indem eine Zugangsliste entscheidet, ob sich ein Rechner mit dem Router verbinden darf. Dieser Zugang ist mit einem individuellen WLAN-Passwort geschützt. Da sich die meisten Anwender zu Hause mit einem gemeinsamen Passwort (Pre-Shared-Key) anmelden, kann grundsätzlich das Sicherheitsrisiko steigen: Wird durch ein WLAN-Gerät der Router gehackt, könnten alle verbundenen Geräte befallen werden.

  • Prüfen Sie, wie Ihr heimisches Netzwerk gesichert ist. Sie sollten mindestens eine Verschlüsselung mit WPA2 (WI-FI-Protected Access) nutzen und die veralteten Versionen WPA-TKIP oder WEP vermeiden. Da nicht alle Geräte mit WPA3 ausgestattet sind bzw. erweitert werden können, sollten Sie unbedingt ein sicheres Passwort nutzen. Die Mindestlänge liegt bei 20 Zeichen und es sollte keine Wörter enthalten, die in einem Wörterbuch nachzulesen sind. Möchten Sie die Verschlüsselungen an Ihrem Router verändern, wählen Sie hierfür optimaler Weise den „Kabelweg“ – nicht die Funkverbindung.

  • Die Antwort ist einfach: Dritte sollen E-Mails nicht mitlesen oder vertrauliche Daten abfangen. Indem Sie Ihre Daten schützen, behalten Sie auch die Kontrolle über die Daten der Geschäftskontakte und die des Unternehmens. Damit Dritte keine Chance haben, Daten und Informationen abzugreifen, sollten Sie Ihre E-Mails und Datenübertragungen im Allgemeinen verschlüsseln. Eine Verschlüsselung stellt sicher, dass fremdes Mitlesen ausgeschlossen wird und nur autorisierte Personen Nachrichten und Daten einsehen können.

  • Eine sichere Datenübertragung ist eine Ende-zu-Ende-Verschlüsselung. Dabei werden Datenpakete auf der Absenderseite gebündelt verschlüsselt und auf Empfängerseite wieder entschlüsselt. Diese Art der Verschlüsselung gilt als einer der sichersten Wege, Daten schadenfrei zu übertragen, da Externe während der Übertragung keine Möglichkeit haben, Ihre Daten zu lesen. Zum Öffnen der Datenpakete braucht es den Schlüssel auf Empfängerseite, um das Datenpaket wieder zu dechiffrieren. Eine Möglichkeit, um sicher aus dem Home-Office auf Unternehmensdaten im Firmennetz zugreifen zu können, ist das Virtual Privat Network (VPN).

  • Ein Virtual Privat Network (VPN) ist ein Netzwerk, über das sich räumlich voneinander getrennte Teilnehmer sicher verbinden können. Im Gegensatz zum heimischen Netzwerk sind die Geräte nicht physisch (Netzwerkkabel, WLAN) miteinander verbunden. Über ein privates oder öffentliches Netzwerk werden die Daten durch einen IP-Tunnel zwischen dem Endgerät des Nutzers und einem Gateway im Firmennetz verschlüsselt übertragen. So ist es möglich, dass Sie aus dem Home-Office sicher auf das Intranet oder lokal gespeicherte Dateien Ihres Firmennetzes zugreifen können. Auch bei der Nutzung von öffentlichen WLAN-Hotspots macht die Ende-zu-Ende-Verschlüsselung des VPNs es quasi für Cyberkriminelle unmöglich, die verschlüsselten Daten abzufangen.

  • Ein VPN verschlüsselt Ihre Daten auf der einen Seite (Ihr Endgerät), schickt sie durch einen sogenannten Tunnel und entschlüsselt sie wieder auf der anderen Seite. Die Endgeräte müssen sich beim Aufbau der Verbindung identifizieren und beispielsweise durch Nutzernamen und Passwort oder Zertifikate authentifizieren. Durch das Zuweisen einer internen IP-Adresse für das jeweilige Endgerät durch den VPN-Server ist das Endgerät logisch ein Teil des Firmennetzwerks, selbst wenn es sich physisch anderswo befindet. Die Tunnel (Gateways) stellen somit ein abhörsicherer Weg durch das Internet dar.