Cyber-Sicherheit in Zeiten von Covid-19

Homeoffice, Video-Calls, Chats, digitale Geschäftsprozesse, Online-Handel, Videostreaming, Online-Veranstaltungen, Webinare – ohne den fast flächendeckenden Digitalisierungsschub des letzten Jahres wären die Auswirkungen der COVID-19-Pandemie für Unternehmen schwerlich zu bewältigen gewesen. „Es hat sich eindrucksvoll gezeigt, dass funktionierende und sichere Informationstechnologie zur Lebensader der modernen Gesellschaft geworden ist“, so formuliert es der Bericht zur Lage der IT-Sicherheit in Deutschland 2020 des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Doch mit zunehmender Digitalisierung haben auch Cyberkrimelle neue Einfallstore für das Kapern von Laptops, das Stehlen von Daten und das Erpressen von Geld entdeckt. Während Homeoffice-Neulinge besonders gefährdet waren und sind, werden die Social Engineering-Varianten der Attacken generell immer ausgeklügelter. Dazu kommen laut BSI-Lagebericht täglich über 300.000 neue Schadprogramme in Umlauf. Hacker machen Millionenumsätze. Noch nicht absehbar scheint, wann und in welchem Umfang Mitarbeitende nach und nach ins Büro zurückkehren. Doch Unternehmen sollten sich die Frage stellen, welche Sicherheitsmaßnahmen sie ergreifen, um sich so schnell wie möglich auf die Risiken vorzubereiten, die möglicherweise infizierte Ausstattung im Homeoffice birgt.

Risiken durch Schadsoftware auf Homeoffice-Rechnern

„Dass durch den Corona-Schock so viele Menschen gezwungen waren, von heute auf morgen auf Telearbeit umzustellen, war eine enorme Herausforderung für Unternehmen und Mitarbeitende“, sagt Sebastian Artz, Referent Informationssicherheit & Sicherheitspolitik beim Digitalverband Bitkom in Berlin. „Unternehmen, die bereits vor der Corona-Krise mobiles Arbeiten ermöglicht haben, waren natürlich besser aufgestellt, weil der Sprung nicht mehr so weit war. Für die meisten stand jedoch zunächst im Vordergrund, das Kerngeschäft aufrechtzuerhalten, das heißt den Ablauf, die Gehaltszahlungen und die Kundenprozesse am Laufen zu halten.“

Dass beim Wechsel ins Digitale die IT-Sicherheit oft erst einmal außen vor blieb, hat vielen Cyberkriminellen Tür und Tor geöffnet. Rein technisch bot die häufig noch immer bestehende „Bring-your-own-Device“-Notlösung eine der größten Angriffsflächen genau dort, wo Arbeitgeber*innen keine Möglichkeit hatten, ihre Mitarbeitenden zeitnah mit firmeneigenen Geräten wie Laptops, Tablets und Smartphones zu versorgen. Sensible Firmendaten wurden und werden zum Teil noch auf privaten Rechnern oder eigenen Cloud-Speichern abgelegt und geteilt, das häusliche WLAN ist vielleicht nicht mit starkem Passwort gesichert, Updaterate und Sicherheitsanforderungen entsprechen nicht den Unternehmensrichtlinien – um nur einige Risiken zu nennen. Möglicherweise hat Schadsoftware so bereits in den Anfangstagen der Pandemie die Rechner im Homeoffice infiltriert.

Social Engineering: Faktor Mensch als Einfallstor

Unterschiedliche Angriffe unter Ausnutzung der COVID-19-Pandemie zeigten deutlich, dass cyberkriminelle Hacker schnell auf gesellschaftlich relevante Themen und Trends reagieren. Dabei nutzen die Angreifenden den Faktor Mensch als Einfallstor, was dann als ein Türöffner für weitere Angriffe fungiert. „Die Cyberkriminellen machen sich die Angst der Menschen zunutze“, erläutert Artz, „nutzen ihre Schwächen und ihre Verwirrung aus, erzeugen eine Drucksituation, erwecken Neugier oder appellieren an ihre Hilfsbereitschaft, je nachdem, welche Zielgruppen sie mit ihren Attacken adressieren möchten.“

Eines der bekanntesten Beispiele ist, dass es Hackern zu Beginn der Pandemie gelang, Soforthilfe-Maßnahmen zu missbrauchen, indem sie die Antrag-Websites amtlicher Stellen täuschend echt nachahmten. Oder die Schadsoftware, die sich über das Öffnen von vermeintlich von der Johns-Hopkins-Universität stammenden Infografiken zu aktuellen Fallzahlen des Corona-Virus ausbreitete. Einmal draufgeklickt, und schon startet ein Drive-by-Download und im Hintergrund wurde Malware installiert. Meist vollkommen unbemerkt.

Rückkehr aus dem Home-Office sicher gestalten

„Für Unternehmen ist es höchste Zeit, sich und ihre Mitarbeitenden zu wappnen, damit der gezielte Angriff mit solchen virtuellen Viren nicht gefährlicher wird, als das sehr reale Corona-Virus“, appelliert Artz. „Es ist essentiell wichtig, jetzt zu beginnen, alle Mitarbeitenden zu sensibilisieren, wenn das noch nicht der Fall sein sollte. Es wird ja kein Zurück mehr zum Status quo vor der Krise geben. Eine Home-Office- und Digital-Komponente wird ja zum Glück erhalten bleiben.“

Diese neue digitale Transformation auch entsprechend sicher zu gestalten, bedeutet im Kontext Homeoffice vor allem, eine Balance herzustellen zwischen benutzerfreundlichem Zugriff auf Unternehmensdaten und -ressourcen und einem angemessen hohen Schutz der IT-Infrastruktur insgesamt. Unternehmen sollten die Gefahr mitdenken, dass Kriminelle sich bewusst auf die Rechner von Zielpersonen im Homeoffice geschlichen haben, in der Hoffnung, das Unternehmensnetzwerk zu infiltrieren, wenn die Mitarbeitenden zurückkehren.

„Besonders gefährlich, gerade für kleinere und mittelständische Unternehmen, ist die Kombination aus Social Engineering, Schadcode-Einsatz und Erpressung. Zunächst wird über entsprechende Phishing-Kampagnen Schadsoftware auf die Rechner geschleust, die Daten und E-Mails ausliest, um sich dann im Unternehmensnetzwerk auszubreiten, gezielt wichtige Daten zu verschlüsseln oder abzuziehen und damit Lösegeld zu erpressen, zum Beispiel, indem mit der Veröffentlichung der Daten gedroht wird“, erklärt Artz. Die bekannteste Malware dieser Art, Emotet, wurde zwar zu Beginn des Jahres durch Europol unschädlich gemacht, doch neue werden folgen.

Drei Säulen der Cybersicherheit: personell, organisatorisch, technisch

Wie können sich auch kleine und mittelständische Unternehmen gegen Cyber-Angriffe wappnen, die Schwachstellen im Homeoffice minimieren und sich auf die Rückkehr möglicherweise infizierter Hardware ins Unternehmensnetzwerk vorbereiten? „Es ist wichtig, dass IT-Sicherheit nicht nur technisch betrachtet wird, wie das häufig nach wie vor der Fall ist. Zur Cybersicherheit gehört sehr viel mehr“, erklärt Artz. „Drei Säulen sind mitzudenken: Personelles, Organisatorisches und Technisches.“

Die Mitarbeitenden sollten in speziell auf sie zugeschnittenen Security-Awareness-Trainings für die Gefahren von Phishing, Sabotage, Datendiebstahl und Spionage geschult und sensibilisiert werden – denn, so Artz, „die letzte Verteidigungslinie ist häufig der Mitarbeitende“.

Organisatorisch sollten Unternehmen ein eigenes Informationssicherheitsmanagementsystem aufbauen und kontinuierlich die getroffenen Sicherheitsmaßnahmen evaluieren, erneuern und nachjustieren, um auf dem neuesten Stand in puncto Cybersicherheit zu sein.

Technisch ist es essentiell, die Mitarbeitenden mit unternehmenseigenen Laptops und Endgeräten auszurüsten und diese kontinuierlich auf dem aktuellen Stand zu halten, etwa durch das automatisierte Einspielen von Updates. Auf dieser Basis hilft dann der Einsatz von VPN-Lösungen, um den Geräten gesicherten Zugang auf das Unternehmensnetz zu gewähren. Bedeutsam ist dabei immer die Separierung zwischen privatem Laptop oder Smartphone und den Arbeitsressourcen.

Von Cybersecurity-Checklisten zu Notfallplänen

Welche Sicherheitsvorkehrungen im Einzelnen zu treffen sind, kann je nach Unternehmensgröße und IT-Infrastruktur natürlich stark variieren. Wichtige Anhaltspunkte bietet beispielsweise das Bundesamtes für Sicherheit in der Informationstechnik (BSI), das im Kontext der COVID-19-Pandemie zielgruppengerechte Informationen und Empfehlungen veröffentlicht, mit denen sich Unternehmen und Mitarbeitende im Homeoffice gegen Cyber-Angriffe und Betrugsversuche wappnen können, darunter die „Checkliste zur Sicherheit im Home-Office“. Zudem bietet das BSI die Möglichkeit, an kostenlosen Veranstaltungen teilzunehmen, um sich mit der Thematik der IT-Sicherheit auseinanderzusetzen.

In hoffentlich seltenen Fällen wird es vorkommen, dass das Kind bereits in den Brunnen gefallen ist, der Geschäftsbetrieb aufgrund von Cyberangriffen stillliegt, keine Gehälter mehr bezahlt werden können und die Kunden warten. Dann kommt es darauf an möglichst schnell zu agieren, um den Schaden zu begrenzen. Im Zuge der Incident Response wird versucht zu retten, was zu retten ist. Wohl dem, der Backups und Datensicherungen zur Verfügung hat. Sehr empfehlenswert ist es, bereits Notfallpläne in der Schublade zu haben und sich von IT-Sicherheitsexperten individuell beraten zu lassen, um herauszufinden, welche personellen, organisatorischen und technischen Maßnahmen zur Optimierung der IT-Sicherheit kurz- und langfristig notwendig sind.