Von Dr.-Ing. Michael Rademacher, Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE), Abteilung Cyber Analysis & Defense

Das Bewusstsein für Gefahren schärfen

28. Mai 2020

Für die IT-Abteilungen bedeutete das flächendeckende Home-Office vielfach einen Blitzeinsatz: Von heute auf morgen galt es, die Mitarbeiter für die Arbeit von zuhause auszustatten. Neben der Hardware dürfte sie aktuell das Thema IT-Security umtreiben. Welche IT-Risiken sich gerade am heimischen Arbeitsplatz auftun, wie Unternehmen gegensteuern können – und welche Ansatzpunkte die Fraunhofer Academy in dieser Situation liefert, erläutert Michael Rademacher.

© iStock

Gerade in der aktuellen Krise entstehen für die IT-Abteilunge neue Herausforderungen, speziell mit Blick auf die Situation im Home-Office: Schon jetzt zeichnet sich eine Zunahme von Phishing-Attacken ab, die verstärkte Nutzung externer Plattformen für Datenaustausch und Videokonferenzen bietet Boden für Industriespionage.

Für Unternehmen gilt es jetzt mehr denn je, bei ihren Teams ein Bewusstsein für die Gefahrenlage zu schaffen. Denn in der Regel benötigt ein erfolgreicher IT-Angriff auch das Zutun der Mitarbeiter – ob es nun um aufgeschobene Updates oder die Unachtsamkeit beim Öffnen von E-Mail-Anhängen geht.

Sicherheitsfalle Phishing

Unter Phishing versteht man Angriffe mit gefälschten Websites, E-Mails oder Nachrichten, die darauf abzielen, persönliche Daten der Nutzer zu erbeuten. Phishing-Angriffe haben also immer auch eine psychologische Komponente – schließlich liegt es am Nutzer, einen Anhang zu öffnen oder eine Verlinkung anzuklicken. Viele Menschen sind derzeit ohnehin angespannt – für Hacker die perfekte Ausgangslage. Wer klickt, riskiert beispielsweise den Rechner über Schadsoftware zu infizieren. Erst vor Kurzem kursierte beispielsweise der Phishing-Zwilling einer Website des Landes Nordrhein-Westfalen, über die Unternehmen Hilfegelder in der Corona-Krise beantragen konnten. Hier hatten die Angreifer nicht nur die Originalseite täuschend echt gestaltet, sondern ihr Imitat zusätzlich durch SEO-und SEA-Optimierung in den Suchmaschinenergebnissen sehr weit vorne platziert, was die Glaubwürdigkeit zusätzlich erhöhte. Die Variante Spear-Phishing hingegen nimmt sehr gezielt einzelne Personen ins Visier. Auf Basis im Netz frei verfügbarer Informationen - wie beispielsweise zu Geschäftsführer, Teamkollegen oder Adressdaten - schneiden die Angreifer ihre Taktik auf eine bestimmte Person zu und untermauern so die vorgebliche Echtheit ihrer Anfrage.

So schützen sich Unternehmen und Anwender

Der beste Schutz gegen Angreifer ist es daher: Das Bewusstsein für eine Angriffslage zu schaffen. Die Fraunhofer Academy beispielsweise richtet sich mit ihrem Seminar „IT-Sicherheit – von Prävention bis Reaktion“ explizit an Anwender. Das Training verschafft einen aktuellen Überblick über das Thema IT-Sicherheit und führt in die verschiedenen Aspekte und Grundbegriffe der IT-Sicherheit ein. Die Teilnehmer lernen Schutzziele zu identifizieren, Angriffsmethoden, Bedrohungen sowie Schutzmechanismen werden betrachtet, mit denen sie diesen entgegenwirken können. In praktischen Übungen demonstrieren und erproben sie das Gelernte. Denn wer versteht, wie der Gegner arbeitet, kann sich auch besser schützen. Im Zweifel ist es immer ratsam, auf ein ungutes Bauchgefühl zu hören und wenn möglich, im persönlichen Austausch zweifelhafte E-Mail-Anfragen oder Websites zu verifizieren. Bei Links gilt: Nie direkt klicken, sondern selbst in den Browser tippen. Das kostet Zeit – stellt aber einen effektiven Schutz dar. Updates sollten regelmäßig aufgespielt werden, sie bilden den IT-Basisschutz. Zudem empfiehlt es sich, die Verschlüsselung des Heim-WLANs zu prüfen. Nur über WPA2- und WPA3-Verschlüsselungen sind die Datenpakete sicher unterwegs. Alle anderen Verschlüsselungsarten erlauben theoretisch, dass Externe mitlesen können.

Einfallstor Datenaustausch

Eine sichere Übertragung von Daten wird über ein Virtual Private Network (VPN) möglich. Greift also ein Nutzer aus dem Home-Office über eine VPN-Verbindung auf den Unternehmensserver zu, kann kein Externer mitlesen. Nur: Je mehr Anwender sich über eine solche Verbindung einwählen, desto langsamer reagiert sie in der Regel. Um Zeit zu sparen, tauschen Mitarbeiter deshalb vielfach Daten behelfsweise über Cloud-Dienste aus. Deren Datenschutzregelungen richten sich in der Regel allerdings nach dem Ursprungsland der Plattformen. Und sind damit theoretisch für alle Mitlesenden offen. An dieser Stelle sollten Mitarbeiter sich immer fragen: Möchte ich gerade die Daten meines Unternehmens bzw. meiner Kunden auf einem anderen Computer ablegen? Denn eine Cloud ist im Prinzip nichts anderes als ein Speicherort, der jemand anderem gehört.

Ähnlich verhält es sich mit Videokonferenzen: Die Datenschutzbestimmungen unterliegen der gewählten Plattform. Hier sollten Unternehmen überlegen, welche Themen sie per Video besprechen – und welche doch besser direkt per Telefon geklärt werden. Auch sollte der Moderator die Identität der Teilnehmer im Blick haben und Teilnehmer mit ihm unbekannter Rufnummer direkt ansprechen. Denn: Die URL zur Teilnahme an einer Videokonferenz lässt sich erraten. Sogenanntes „Crashing“, also die unbemerkte Teilnahme an Videokonferenzen, ist ein Phänomen, das sich in den letzten Monaten als Spaß unter Schülern verbreitet hat, aber eben auch zur Industriespionage genutzt werden kann.

Angriffe melden

Wenn trotz all dieser Maßnahmen ein Anwender dennoch Opfer eines Angriffes geworden ist, für den gilt: Rechner sofort herunterfahren, vom Netz nehmen und die IT-Abteilung informieren. Nur eine Neuinstallation kann hier zuverlässig helfen. Gerade vor dem Hintergrund der aktuellen Situation wird deutlich, dass die IT-Sicherheit eine Vielzahl unterschiedlicher Facetten ist. Die Forderungen nach Grundkenntnissen in diesem Bereich wachsen, je weiter die Digitalisierung voranschreitet.