Die COVID-19-Pandemie hat das tägliche Leben von Millionen von Menschen auf den Kopf gestellt. Da so viele Menschen von zu Hause aus arbeiten, um sicher zu sein, sieht der „normale Geschäftsbetrieb“ ganz anders aus als vor dem Lockdown. Während Telearbeit eine Vielzahl von Herausforderungen mit sich bringt, wird das erhöhte Cybersicherheitsrisiko für Unternehmen mit Mitarbeitern, die remote arbeiten, oft übersehen. Die meisten Unternehmen waren nicht auf die Umstellung auf Telearbeit vorbereitet, und einige sind Betrügern zum Opfer gefallen, die das Chaos ausnutzen. Social-Engineering-Angriffe funktionieren am besten, wenn Mitarbeiter ihre Wachsamkeit verlieren, und die Arbeit in der behaglichen Umgebung ihres eigenen Zuhauses hat selbst die technisch versiertesten Mitarbeiter dazu veranlasst, Sicherheitsfehler zu begehen.
Mitarbeiter gehen oft davon aus, dass die IT-Abteilung ihres Unternehmens ihre digitale Arbeitsumgebung gesichert hat. Diese vermeintliche Sicherheit führt häufig dazu, dass Phishing-Angriffe erfolgreich sind und Unternehmensdaten gefährdet werden. Die Aufrechterhaltung einer sicheren Arbeitsumgebung kann selbst am Arbeitsplatz eine Herausforderung sein, doch bei der Arbeit im Homeoffice ist es umso wichtiger, die Bedeutung der Cybersicherheit zu betonen.
Phishing-Versuche, die sich gegen Mitarbeiter im Homeoffice richten, sind aus drei Hauptgründen allzu oft erfolgreich:
- Mangelnde technische Kenntnisse
- Fehlen geeigneter Protokolle und Prozesse oder solche, die nicht einfach durchgesetzt werden können
- Mangelnde Schulungen zum Thema Cybersicherheit
Wir haben unsere Partner von Global Learning System – einem führenden Anbieter von Schulungen zum Thema Cybersicherheit – gefragt, wo sie die größten Schwachstellen in der Sicherheit von Homeoffices sehen und welche Maßnahmen Arbeitgeber und Arbeitnehmer ergreifen können, um Phishing-Versuche und Cyberangriffe zu vermeiden. Hier sind ihre Antworten:
Risiko Nr. 1: COVID-19 – das perfekte Umfeld für Phishing-Angriffe
Phishing ist eine Form der Cyberkriminalität, bei der Betrüger Personen dazu verleiten, sensible Informationen preiszugeben, indem sie sich per E-Mail oder Telefon als legitime Person ausgeben. Die COVID-19-Pandemie hat Betrügern, die Phishing-Angriffe durchführen, die perfekte Gelegenheit geboten, ihre Opfer durch Dringlichkeit und die Angst, etwas zu verpassen, zu manipulieren. Zu den gängigen COVID-19-Phishing-Angriffen gehören Aufforderungen zum Handeln wie „Finden Sie heraus, wo sich die neuen Fälle in Ihrer Nähe befinden!“ und „Neuer Impfstoff verfügbar, holen Sie ihn sich jetzt!“.
Da mehr Menschen zu Hause sind, hat außerdem die Zahl der COVID-19-bezogenen Telefonbetrügereien zugenommen, die sowohl Festnetz- als auch Mobiltelefone betreffen. Beispiele für solche Betrügereien sind Angebote zur Desinfektion Ihres Zuhauses, die Vortäuschung, ein Kunde zu sein, der Informationen benötigt, oder sogar die Ausgabe als technischer Support Ihres Unternehmens. Arbeitgeber müssen ihre Mitarbeiter schulen, damit sie bei COVID-19-bezogenen E-Mails und Telefonanrufen besonders wachsam sind.
Machen Sie deutlich, wie Ihr Unternehmen Informationen im Zusammenhang mit der Pandemie an die Mitarbeiter weitergibt, damit diese zwischen echten Mitteilungen und Phishing-Versuchen unterscheiden können. Geben Sie den Mitarbeitern Beispiele für Phishing-E-Mails oder -Anrufe, damit sie das Muster verstehen und wissen, worauf sie achten müssen. Raten Sie ihnen, Anrufe von unbekannten Nummern zu überprüfen. Stellen Sie sicher, dass jeder weiß, dass Phishing-Versuche Ihrem Sicherheitsteam oder der Geschäftsleitung gemeldet werden müssen, damit alle im Unternehmen auf dem Laufenden bleiben.
Risiko Nr. 2: Zunahme der SMS-Kommunikation im beruflichen Umfeld
Da immer mehr alltägliche Gespräche aus der Ferne stattfinden, hat die Zahl der arbeitsbezogenen Textnachrichten zugenommen. Mitarbeiter nutzen Textnachrichten mittlerweile als Mittel zur Kommunikation mit Kollegen und Kunden. SMS-basierte Betrugsmaschen machen sich dies zunutze, indem sie Nutzer auffordern, auf einen Link zu klicken, der sie zu einer Website mit weiteren Informationen oder zum Herunterladen eines Dokuments führt. Nachdem Nutzer auf den Link geklickt haben, wird Malware auf ihrem Smartphone installiert und gespeicherte Informationen können abgegriffen werden.
Um SMS-Betrug zu bekämpfen, können Unternehmen die Verwendung verschlüsselter Messaging-Apps vorschreiben, die eine End-to-End-Verschlüsselung für die arbeitsbezogene Kommunikation bieten. Erstellen Sie spezifische Protokolle für die Verwendung von SMS zur Kommunikation am Arbeitsplatz, z. B. dass niemals Passwörter oder andere sensible Informationen per SMS versendet werden dürfen. Schulen Sie Ihre Mitarbeiter darin, niemals auf Links zu klicken oder Dateien per SMS zu verschicken.
KOSTENLOSE SCHULUNG ZUR SICHERHEIT BEIM REMOTE-ARBEITSPLATZ
Risiko Nr. 3: Verstärkte Nutzung sozialer Medien auf Arbeitsgeräten
Da die Mitarbeiter zu Hause festsitzen und viele nach sozialen Kontakten suchen, hat die Nutzung sozialer Medien zugenommen. Soziale Medien waren schon immer ein beliebter Weg für Phishing-Angriffe, und Mitarbeiter, die mit ihren Arbeitsgeräten auf ihre persönlichen Social-Media-Konten zugreifen, können Ihre Daten gefährden. Ein harmloses Facebook-Quiz kann Informationen preisgeben, die zum Knacken von Passwörtern verwendet werden können. Ein lustiges Instagram-Foto Ihres Heimbüros kann durch den Bildschirm im Hintergrund oder die Papiere auf dem Schreibtisch Informationen über Ihr Unternehmen preisgeben.
Um dieses riskante Verhalten zu unterbinden, sollten Sie Ihren Mitarbeitern den Zugriff auf persönliche Social-Media-Plattformen über vom Unternehmen bereitgestellte Geräte untersagen. Mitarbeiter sollten für persönliche Social-Media-Aktivitäten stets ein privates Gerät verwenden, auf dem keine Unternehmensdaten gespeichert sind. Sie können auch ein Endpunktmanagementsystem einsetzen, um die Gerätenutzung Ihrer Mitarbeiter zu überwachen.
Risiko Nr. 4: Multitasking bei der Arbeit von zu Hause aus
Multitasking ist bei der Arbeit von zu Hause aus unvermeidlich. Wenn Sie Ihre Arbeitsgeräte verlassen, um sich um Ihre Kinder oder den Haushalt zu kümmern, kann dies zu unvorhergesehenen Sicherheitsrisiken führen. Die Sicherheitsprotokolle Ihres Unternehmens sollten geeignete Maßnahmen zum Schutz von Geräten und Daten enthalten, wenn ein Mitarbeiter seinen Arbeitsplatz verlässt. Die gleichen Regeln gelten auch für das Homeoffice.
Es ist unerlässlich, Mitarbeiter darin zu schulen, ihre Gerätebildschirme zu sperren, sobald sie ihren Arbeitsplatz verlassen. Die Einhaltung einer „Clean Desk“-Richtlinie und die Forderung nach abschließbaren Aufbewahrungsmöglichkeiten im Homeoffice minimieren ebenfalls Sicherheitsrisiken. Mitarbeiter sollten außerdem Smart-Geräte wie Amazon Alexa oder Google Home ausschalten oder stumm schalten, um ein versehentliches Durchsickern von Unternehmensinformationen zu vermeiden.
Risiko Nr. 5: Herunterladen nicht genehmigter Anwendungen auf Arbeitsgeräte
Wenn Sie Ihren Mitarbeitern Administratorrechte auf firmeneigenen Geräten gewähren, können diese frei Anwendungen herunterladen und installieren. Im Homeoffice könnten Mitarbeiter versucht sein, neue Software, Browser-Plugins oder Erweiterungen herunterzuladen, um sich die Arbeit zu erleichtern. Dies kann zum Herunterladen von Malware und zum Diebstahl von Daten führen.
Um die Sicherheit der Unternehmensgeräte und -daten zu gewährleisten, sollten Sie Ihren Mitarbeitern niemals Administratorrechte für Geräte gewähren. Informieren Sie sie stattdessen über das Verfahren zur Anforderung neuer Software und stellen Sie ihnen eine Liste der zugelassenen Anwendungen zur Verfügung. Gewähren Sie Zugriff auf sichere Software-as-a-Service-Optionen (SaaS) und verbieten Sie die Verbindung von Arbeitsgeräten mit externer Hardware wie Druckern oder Wechseldatenträgern.
Schützen Sie Ihre Daten, indem Sie Risiken minimieren.
Die oben aufgeführte Liste möglicher Sicherheitsrisiken ist leider nicht vollständig. Angesichts der zunehmenden Raffinesse von Phishing-Angriffen und der COVID-19-Situation ist es wichtiger denn je, die Einrichtung für Remote-Mitarbeiter zu überprüfen und potenzielle Risiken zu minimieren.
Durch umfassende Schulungen zum Thema Sicherheitsbewusstsein für alle Mitarbeiter, die auch eine Komponente zum Thema Remote-Arbeitsplatz umfassen, stärken Sie Ihre „menschliche Firewall“ und senken das Risiko einer Datenverletzung. Diese Schulungen werden online angeboten und können dazu beitragen, häufige Vorfälle zu verhindern, die zu Bedrohungen wie Malware, Phishing und Ransomware führen.
——————————————–
Global Learning Systems bietet eine Vielzahl kostenloser Ressourcen an, um Unternehmen dabei zu helfen, sich in diesem neuen Zeitalter mit Cybersicherheit vertraut zu machen. Dazu gehören ein kostenloser Online-Kurs, Blogbeiträge und Handouts für Mitarbeiter.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich auf Syntrio.com veröffentlicht. Im Januar 2024 übernahm Mitratech Syntrio, einen führenden Anbieter von Lösungen für Ethik- und Compliance-Schulungen, Prävention von Belästigung am Arbeitsplatz und anonyme Hotline-Meldungen. Der Inhalt wurde seitdem aktualisiert, um unser erweitertes Lösungsangebot, die sich entwickelnden Compliance-Vorschriften und bewährte Praktiken im Bereich Ethik und Risikomanagement zu berücksichtigen.
