So arbeiten Sie sicher im Home-Office

Ein Ratgeber zur IT-Sicherheit des Lernlabors Cybersicherheit

IT-Sicherheit im Home-Office ist nicht nur eine Frage der technologischen Absicherung. Der Schutz durch Software- oder Sicherheitsupdates sowie bessere VPN-Verbindungen alleine reicht in der aktuellen Situation nicht aus. Der wichtigste Akteur für die IT-Sicherheit sind Sie selbst!

Mitarbeiterinnen und Mitarbeiter im Home-Office sind für Angreifer ein bevorzugtes Ziel. Doch wie können Sie gerade jetzt – und auch langfristig – im Home-Office sicher arbeiten?

Um Ihr Bewusstsein – und das Ihrer Kolleginnen und Kollegen- zu schärfen, hat das Lernlabor Cybersicherheit einen Ratgeber entwickelt. Dieser Ratgeber beantwortet die wichtigsten Fragen rund um das Thema IT-Sicherheit im Home-Office.

 

Das Bewusstsein für Gefahren schärfen

Welche IT-Risiken sich gerade am heimischen Arbeitsplatz auftun, wie Unternehmen gegensteuern können – und welche Ansatzpunkte die Fraunhofer Academy in dieser Situation liefert, erläutert Michael Rademacher vom Fraunhofer Institut für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE).

 

Zuhause ist man Co-Sicherheitsbeauftragter

Die verstärkte Arbeit im Home-Office führt dazu, dass Mitarbeiterinnen und Mitarbeiter auch eine stärkere Verantwortung für die IT-Sicherheit erhalten. Denn Maßnahmen, die im Büro zentral geregelt werden können, sind zuhause nicht zwangsläufig etabliert.

 

Die wichtigsten Fragen und Antworten auf einen Blick

Sie fragen sich, welche kleinen aber durchaus wirksamen Maßnahmen Sie selbst ergreifen können, um Ihre Arbeit im Home-Office sicher zu machen? Antworten auf die wichtigsten Fragen haben wir für Sie in unserem FAQ zusammengestellt.

Aufgepasst – Phishing Mails!

Erst auf das Bauchgefgühl hören, dann klicken

Warum Phishing Mails für Mitarbeitenden im Home-Office so gefährlich sind?

Cyberkriminelle nehmen hierbei die Menschen zuhause ins Visier, um so in ihre Systeme einzudringen. Phishing Mails spielen dabei bewusst mit der Verunsicherung der Menschen und versprechen vermeintliche wichtige Informationen zur Pandemie oder finanziellen Gegenständen. Gleiches gilt für Mails, die angebliche Anweisungen von Vorgesetzten oder Geschäftspartnern enthalten. Die Tricks, mit denen Cyberkriminelle über gefälschte Mails Daten entwenden, Mitarbeitende irreführen oder Identitätsdiebstahl begehen, werden immer ausgefeilter.

  • Generell erkennt man gut gemachte Phishing Mails nur schwer, doch ihnen ist gemein, dass meistens eine Handlung gefordert wird: Klicken Sie hier, loggen Sie sich ein, öffnen Sie die Datei, bezahlen Sie etwas oder geben Sie Daten an. Häufig wird dies in Kombination mit einem knappen zeitlichen Rahmen oder negativen angedrohten Konsequenzen verbunden.
  • Zum Erkennen hilft außerdem schon ein Mouseover über den Link, ohne zu klicken: Der angezeigte Link verrät sich durch Kleinigkeiten als Fake. Doch hier muss man vorsichtig sein, denn es gibt die Möglichkeit Schriftzeichen zu mischen, die für das Auge kaum zu unterscheiden sind. So beispielsweise ein  statt ein I.

Datenschutz und Datenverarbeitung

Wir setzen zum Einbinden von Videos den Anbieter YouTube ein. Wie die meisten Websites verwendet YouTube Cookies, um Informationen über die Besucher ihrer Internetseite zu sammeln. Wenn Sie das Video starten, könnte dies Datenverarbeitungsvorgänge auslösen. Darauf haben wir keinen Einfluss. Weitere Informationen über Datenschutz bei YouTube finden Sie in deren Datenschutzerklärung unter: http://www.youtube.com/t/privacy_at_youtube

Unsere Tipps

Tipp 1: Achtsamkeit und ein gesundes Misstrauen stellen einen ersten guten Schutz gegen solche Mails dar. Mitarbeitende sollten deshalb immer auf ihr Bauchgefühl hören und lieber einmal mehr nach dem Wahrheitsgehalt von Mailabsender oder Inhalten fragen.

Tipp 2: Echte Dokumente kommen in der Regel per Post. Um zudem sicherzugehen, können sich Nutzerinnen und Nutzer auch in dem entsprechenden Online-Konto einloggen – natürlich selbst herausgesucht und nicht aus der Mail. Gibt es dort keinen Hinweis auf eine Kontosperrung, war der Sperrverweis nicht echt.

Tipp 3: Sie wurden gehackt – was tun? Wenn trotz all dieser Maßnahmen ein Anwender dennoch Opfer eines Angriffes geworden ist, für den gilt: Rechner sofort herunterfahren, vom Netz nehmen und die IT-Abteilung informieren. Nur eine Neuinstallation kann hier zuverlässig helfen.

Ausgewählte Seminarangebote

 

Social Engineering verstehen und Hacker-Angriffe abwehren

Security Awareness

Durch die Digitalisierung erhalten alte Angriffsmuster aus dem Bereich Social Engineering eine neue und größere Bedeutung. Cyberkriminellen wird durch zunehmende Vernetzung eine größere Angriffsfläche geboten, welche Hacker nutzen um in Unternehmensnetze einzudringen und an relevante Informationen zu gelangen. Hierbei kann der Angreifer oftmals auf eine Vielzahl von öffentlichen Informationen zurückgreifen und so authentische Phishing-Mails verfassen. Die Betroffenen erkennen solche Angriffe selten und öffnen dem Hacker die Tür ins Unternehmen.

 

Grundlagen der IT-Sicherheit

Von Prävention bis Reaktion

Aktueller Überblick über das Thema IT-Sicherheit. Verschiedene Aspekte und Grundbegriffe der IT-Sicherheit kennenlernen. Praktische Beispiele zu Angriffsmethoden und entsprechenden Schutzmechanismen sowie der Identifikation von Schutzzielen.

 

Erste Schritte erfolgreich managen

Cyber Crisis Management

Gerade in diesen stürmischen Zeiten nutzen Hacker verstärkt die Chance, Angriffe auszuüben. Schützen Sie sich und Ihr Unternehmen! Getreu dem Motto: Mit System durch die Krise – nehmen wir Sie mit an Bord, um sicher und gestärkt aus dieser Zeit herausgehen zu können.

 

Zertifikatskurs

TeleTrusT Information Security Professional (T.I.S.P.)

Expertenzertifikat zur Informationssicherheit nach höchsten Qualitätsstandards: Kenntnisse der Informationssicherheit vertiefen mit Grundlagen zur Netzwerksicherheit, Kryptografie, Sicherheitsmanagement, rechtliche Grundlagen und Systemsicherheit.

  • Damit Sie Spam- oder Phishing-Mails erkennen, können Sie sich zunächst an den altbekannten Klassikern orientieren: dem unbekannten oder kryptischen Absendernamen, einer seltsamen Betreffzeile, der anonymen Anrede (sehr geehrte Damen und Herren), dem mitgesendeten Dateien-Anhang (zip-, Word-, Excel-Dateien), Weblinks oder verlinkten Bilder. Da Angreifer sich allerdings stets verbessern, können solche E-Mails von vermeintlich bekannten Absendern kommen oder täuschend echt aussehen - vom Logo bis zum sehr gut formulierten Text.

    Sie sollten deshalb besonders vorsichtig sein, wenn Sie aufgefordert werden, persönliche Daten preiszugeben (Passwörter, Bankdaten, etc.). Oft wird auch ein gewisser Druck ausgeübt, indem gedroht wird: „Zahlen Sie die Rechnung im Anhang innerhalb der nächsten drei Tage, ansonsten wird Ihr Konto gesperrt.“ Behalten Sie hier im Hinterkopf: Sie sollen bewusst zum schnellen Handeln bewegt werden und Ihre Bedenken vergessen.

  • Ein erster Schritt um Cyberkriminellen keine Chance zu geben, ist die Aktivierung des Spam-Schutzes Ihres E-Mailprogramms. Dieser lässt sich einfach über die Programm-Einstellungen aktivieren.  Deaktivieren Sie zudem die Einstellung „Anzeige von E-Mail im HTML-Format“. Entgegen der schlichten Text-E-Mails, sind E-Mails im HTML-Format mit Bildern und verschiedenen Schriften aufbereiten. Sie enthalten Codes, die beim Öffnen der E-Mail von Ihrem Computer automatisch runtergeladen werden.

    Da diese zwei Schutzmaßnahmen keinen 100%igen Schutz garantieren, sollten Sie stets misstrauisch gegenüber E-Mails sein, die Ihnen unsicher vorkommen (Anhaltspunkte siehe: Wie erkenne ich unsichere E-Mails?). Öffnen Sie keine Anhänge oder klicken Sie keine Bilder an, geben Sie keine persönlichen Daten Preis - auch nicht Ihrem vermeintlichen Bankberater. Bezahlen Sie keine Rechnungen, ohne die Rechnungsstelle überprüft bzw. telefonisch nachgefragt zu haben. Antworten Sie niemals auf dubiose E-Mails, denn auch so können Cyberkriminelle Ihren Nutzen ziehen.

    Unser Tipp: Achten Sie auf Ihr Bauchgefühl und fragen Sie nach. Greifen Sie zum Telefon und rufen bei der Institution, bei dem Geschäftspartner oder bei Ihrem IT-Experten an. Gehen Sie in jedem Fall auf Nummer sicher.

  • Das Erste, was Sie tun sollten, ist das drohende Lauffeuer zu verhindern. Bei Ransomware (Sperrbildschirm mit Zahlungsaufforderung) oder einem Hack heißt dies: Trennen Sie Ihre Netzwerkverbindung und schalten Sie Ihren Computer aus. Bei anderen Schadprogrammen sollten Sie so schnell wie möglich Ihre PIN-Codes und Passwörter für Online-Accounts von Banken, Shops, E-Mailprogrammen, etc. ändern. Erledigen Sie dies allerdings nicht an dem befallenen Computer, sondern an einem nicht-infizierten Ersatz-PC. Geben Sie unbedingt Ihrer IT-Abteilung Bescheid, hier erhalten Sie weitere Anweisungen oder die Kollegen übernehmen für Sie. Sollten Sie keine eigene IT-Abteilung haben, sprechen Sie mit Ihren Vorgesetzten und fragen Sie bei einer IT-Firma an, die die Schadsoftware entfernt. Warnen Sie auch Ihre Geschäftskontakte. Beobachten Sie verdächtige Aktivitäten Ihrer Accounts und externe Loginversuche, damit Sie rechtzeitig handeln können.

  • Die private Haftpflichtversicherung springt in den meisten Fällen für den Schaden ein, die Sie unwissentlich Ihren Kollegen online zufügen. Das kann zum Beispiel bei einer sehr gut getarnten Phishing-Mail der Fall sein. Prüfen Sie in Ihren Vertragsbedingungen, ob Ihre Versicherung auch für Schäden an Dritten durch Cyberkriminalität aufkommt. Auch die Rechtsschutzversicherung greift in vielen Fällen bei unverschuldetem Verhalten.

  • Der Hauptunterschied zwischen dem WLAN im Office und dem Heimnetzwerk liegt in der Verschlüsselung. Bei einer WPA2- oder WPA3-Verschlüsselung wird zwischen dem Personal-Mode und dem unternehmensspezifischen Enterprise-Mode unterschieden. Ein zentraler Server steuert jeweils den Zugang für den Router, indem eine Zugangsliste entscheidet, ob sich ein Rechner mit dem Router verbinden darf. Dieser Zugang ist mit einem individuellen WLAN-Passwort geschützt. Da sich die meisten Anwender zu Hause mit einem gemeinsamen Passwort (Pre-Shared-Key) anmelden, kann grundsätzlich das Sicherheitsrisiko steigen: Wird durch ein WLAN-Gerät der Router gehackt, könnten alle verbundenen Geräte befallen werden.

  • Prüfen Sie, wie Ihr heimisches Netzwerk gesichert ist. Sie sollten mindestens eine Verschlüsselung mit WPA2 (WI-FI-Protected Access) nutzen und die veralteten Versionen WPA-TKIP oder WEP vermeiden. Da nicht alle Geräte mit WPA3 ausgestattet sind bzw. erweitert werden können, sollten Sie unbedingt ein sicheres Passwort nutzen. Die Mindestlänge liegt bei 20 Zeichen und es sollte keine Wörter enthalten, die in einem Wörterbuch nachzulesen sind. Möchten Sie die Verschlüsselungen an Ihrem Router verändern, wählen Sie hierfür optimaler Weise den „Kabelweg“ – nicht die Funkverbindung.

  • Die Antwort ist einfach: Dritte sollen E-Mails nicht mitlesen oder vertrauliche Daten abfangen. Indem Sie Ihre Daten schützen, behalten Sie auch die Kontrolle über die Daten der Geschäftskontakte und die des Unternehmens. Damit Dritte keine Chance haben, Daten und Informationen abzugreifen, sollten Sie Ihre E-Mails und Datenübertragungen im Allgemeinen verschlüsseln. Eine Verschlüsselung stellt sicher, dass fremdes Mitlesen ausgeschlossen wird und nur autorisierte Personen Nachrichten und Daten einsehen können.

  • Eine sichere Datenübertragung ist eine Ende-zu-Ende-Verschlüsselung. Dabei werden Datenpakete auf der Absenderseite gebündelt verschlüsselt und auf Empfängerseite wieder entschlüsselt. Diese Art der Verschlüsselung gilt als einer der sichersten Wege, Daten schadenfrei zu übertragen, da Externe während der Übertragung keine Möglichkeit haben, Ihre Daten zu lesen. Zum Öffnen der Datenpakete braucht es den Schlüssel auf Empfängerseite, um das Datenpaket wieder zu dechiffrieren. Eine Möglichkeit, um sicher aus dem Home-Office auf Unternehmensdaten im Firmennetz zugreifen zu können, ist das Virtual Privat Network (VPN).

  • Ein Virtual Privat Network (VPN) ist ein Netzwerk, über das sich räumlich voneinander getrennte Teilnehmer sicher verbinden können. Im Gegensatz zum heimischen Netzwerk sind die Geräte nicht physisch (Netzwerkkabel, WLAN) miteinander verbunden. Über ein privates oder öffentliches Netzwerk werden die Daten durch einen IP-Tunnel zwischen dem Endgerät des Nutzers und einem Gateway im Firmennetz verschlüsselt übertragen. So ist es möglich, dass Sie aus dem Home-Office sicher auf das Intranet oder lokal gespeicherte Dateien Ihres Firmennetzes zugreifen können. Auch bei der Nutzung von öffentlichen WLAN-Hotspots macht die Ende-zu-Ende-Verschlüsselung des VPNs es quasi für Cyberkriminelle unmöglich, die verschlüsselten Daten abzufangen.

  • Ein VPN verschlüsselt Ihre Daten auf der einen Seite (Ihr Endgerät), schickt sie durch einen sogenannten Tunnel und entschlüsselt sie wieder auf der anderen Seite. Die Endgeräte müssen sich beim Aufbau der Verbindung identifizieren und beispielsweise durch Nutzernamen und Passwort oder Zertifikate authentifizieren. Durch das Zuweisen einer internen IP-Adresse für das jeweilige Endgerät durch den VPN-Server ist das Endgerät logisch ein Teil des Firmennetzwerks, selbst wenn es sich physisch anderswo befindet. Die Tunnel (Gateways) stellen somit ein abhörsicherer Weg durch das Internet dar.