Cyberangriffe im Homeoffice: Wenn das Arbeiten zuhause zum Risiko wird

Zwar sind Homeoffice und mobiles Arbeiten schon lange ein Bestandteil der Arbeitswelt, die Bedeutung von Homeoffice ist während der Corona-Pandemie, den Lockdowns und der damit einhergehenden Homeoffice-Pflicht allerdings stark gestiegen.

Neue und flexiblere Arbeitsmodelle haben sich etabliert und das Homeoffice wird für viele Arbeitnehmer im Zuge einer Work-Life-Balance immer ausschlaggebender – und in Zeiten von Fachkräftemangel bieten Arbeitgeber diese flexiblen Arbeitsmöglichkeiten auch an.

Einer Umfrage des Zentrums für europäische Wirtschaftsforschung (ZEW) zufolge, arbeiten Beschäftigte in fast 80 Prozent der befragten Unternehmen in der Informationswirtschaft mindestens einen Tag in der Woche im Homeoffice. Im verarbeiteten Gewerbe sind es immerhin noch 45 Prozent.

Was für die Arbeitnehmer einen großen Vorteil in ihrem Arbeitsalltag bietet, ist für Unternehmen und Organisationen oftmals IT-sicherheitstechnisch ein Alptraum: Ein Bericht des Instituts der Deutschen Wirtschaft zeigt auf, dass der Schaden durch Cyberangriffe im Homeoffice 2020 um 31 Mrd. Euro auf insgesamt 52,5 Mrd. Euro gestiegen ist.

Doch was macht das Homeoffice so angreifbar?

Arbeitnehmer im Homeoffice brauchen einen funktionsfähigen Computer, mit dem sie sich – auf die ein oder andere Art – mit dem Firmennetzwerk verbinden können. Dies kann z.B. durch die Herausgabe eines Firmengeräts realisiert werden, was allerdings für den Arbeitgeber kostenintensiv ist und für die IT-Administration einen hohen Arbeitsaufwand bedeutet, um die Geräte aktuell und sicher zu halten.

Eine andere Möglichkeit bietet die Nutzung der Privatgeräte der Beschäftigten (Stichwort „Bring-Your-Own-Device“, BYOD). Für den Arbeitgeber ist das BYOD-Konzept kostengünstiger. Problematisch ist aber, dass die IT-Administration keinen Zugriff auf die Privatgeräte und die dort installierte Software hat. Wichtige Sicherheitsupdates werden häufig nicht installiert und kritische Sicherheitslücken nicht zuverlässig geschlossen. Bei älteren Geräten besteht zudem die Gefahr, dass noch ein abgekündigtes Betriebssystem genutzt wird, für das es keine Updates und keinen Support mehr gibt. Nicht nur das, es muss auch eine Trennung zwischen den privaten Inhalten des Arbeitnehmers und den beruflichen Inhalten des Arbeitgebers sichergestellt sein. Datenschutz und die DSGVO sind hier die Stichworte.

Unabhängig vom gewählten Endgerät ist auch der Standort im Homeoffice sicherheitsrelevant. Das Firmengelände ist i.d.R. besser gesichert als die privaten Wohnräume (z.B. durch Zugangskontrollen, Alarmanlagen oder Kameraüberwachung). Im Homeoffice dagegen gehen Familienmitglieder und Mitbewohner – Unbefugte aus Sicht des Arbeitgebers – ein und aus.

Die technischen Arbeitsmittel sind in die private Infrastruktur im Homeoffice eingebunden, die vom Mitarbeiter oder seiner Familienangehörigen administriert werden. Die private Infrastruktur entspricht oft nicht den Sicherheitsanforderungen des Arbeitgebers, Manipulationen durch Dritte lassen sich nicht ausschließen.

Auch die Kommunikation zwischen Arbeitskollegen unterscheidet sich durch das Arbeiten im Homeoffice. Statt der persönlichen Kommunikation und dem direkten Kontakt zu Kollegen sind Mitarbeiter im Homeoffice auf digitale Mittel angewiesen. Immer bessere Technik und KI-gestützte Software können mittlerweile Stimmlagen, Tonart und Bild täuschend echt simulieren (sog. Deep Fakes). Das hat zur Folge, dass das Gegenüber authentifiziert werden muss. Doch prüft jeder Mitarbeiter immer zuverlässig, ob eine E-Mail von dem angegebenen Kollegen kommt, bevor er auf einen Link klickt oder ein angehängtes Dokument öffnet?

Diesen Umstand machen sich Angreifer zu Nutze und richten ihre Cyberangriffe danach aus.

Unter Cyberangriffe verstehen wir Attacken auf digitale Systeme und Netzwerke mit dem Ziel sensible Daten zu stehlen, zu manipulieren, Geld zu erpressen oder das Opfer auszuspionieren. Die Angreifer nehmen gezielt Unternehmen, Organisationen oder bestimmte Personen ins Visier. Oft sind die Szenarien langfristig ausgelegt und bestehen aus verschiedenen Angriffsmethoden, um sich Zugriff auf vertrauliche Informationen oder Netzwerke zu verschaffen. Dabei ist der Mensch am angreifbarsten. Mithilfe von Social Engineering und Social Hacking nutzen Angreifer diese Schwachstelle aus.

Was ist Social Engineering/Social Hacking?

Unter Social Engineering versteht man den Versuch, die Verhaltensweisen von Menschen zu steuern, in dem mit ihrer Hilfsbereitschaft, ihrem Vertrauen oder auch ihrem Respekt bzw. ihrer Angst vor Autoritäten gespielt wird. Dadurch erhoffen sich Angreifer z.B. die Herausgabe von sensiblen Informationen oder den Zugriff auf Daten und Netzwerke. Versuchen Angreifer unbefugten Zugriff auf Computersysteme und Netzwerke zu bekommen, spricht man auch von Social Hacking.

Social Engineering ist nicht neu. Zu den bekanntesten Betrugsmaschen gehört der Enkel-Trick, bei dem versucht wird, von älteren Menschen durch Vortäuschen einer Verwandtschaft Geld zu erschleichen. Mit der Ausbreitung der digitalen Welt haben auch die Angriffsmöglichkeiten für Social Engineering zugenommen.

Haben sich die Angreifer erst einmal das Vertrauen einer Privatperson erschlichen, ist es ein Leichtes für sie an Informationen zum Arbeitgeber zu gelangen und das Unternehmen zum Ziel zu machen.

Welche Methoden gibt es beim Social Engineering/Social Hacking?

Neben den menschlichen Eigenschaften ziehen die Angreifer oft auch frei zugängliche Informationen heran, die z.B. leicht über die Webseite des Unternehmens einsehbar sind oder die ein Mitarbeiter in den Sozialen Medien postet. Für Angreifer gibt es keine unwichtigen Informationen.

Eine der beliebtesten Methoden des Social Engineerings ist das Phishing. Mithilfe von gefälschten E-Mails werden die Empfänger z.B. dazu verleitet, auf täuschend echt aussehende, aber gefälschte Webseiten zu gehen, um Anmeldedaten einzugeben oder verseuchte Dokumente herunterzuladen.

Das gezielte Versenden von E-Mails an bestimmte Personen wird Spear Phishing genannt. Diese Mails sind oftmals direkt auf den Empfänger zugeschnitten. Eine vermeintliche E-Mail vom Chef, der darum bittet, ihm doch schnell ein bestimmtes Dokument zuzusenden oder eine Überweisung zu tätigen (sog. CEO Fraud). Und das Ganze bitte „gestern“, um den Mitarbeiter damit unter Druck zu setzen.

Beim Tailgating geben sich die Angreifer als Service-Techniker aus, die z.B. ein defektes Gerät austauschen oder ein neues Gerät einbauen muss. Damit kann die eigene Hardware in die vorhandene Infrastruktur eingebaut werden.

Media Dropping bezeichnet das Einschleusen von infizierten Speichermedien. Ein Mitarbeiter findet z.B. auf dem Parkplatz einen USB-Stick, der doch vermutlich einem anderen Mitarbeiter gehört. Durch Anschließen an einen Rechner prüft der Finder, ob er nicht anhand der vorhandenen Daten herausfinden kann, wem der Stick gehört. Dabei lädt er dann unabsichtlich Schadsoftware herunter.

Es gibt viele weitere Methoden, die Angreifer nutzen, um ihre Opfer zu bestimmten Handlungen zu bewegen. Allen gemein ist, dass sie oft einen wie auch immer gearteten realen Hintergrund besitzen, um Glaubwürdigkeit und Plausibilität vorzugaukeln: Das Wissen um die Geschäftsreise des Vorgesetzten, seine Flugdaten oder bekannte Inhouse-Termine von externen Wartungsfirmen.

Social Engineering/Social Hacking lässt sich daher gut in ein komplexes Langzeitangriffsszenario einbinden.

Weitere Angriffsmethoden

Langzeitangriffsszenarien bestehen aus verschiedenen Methoden. Neben dem Social Engineering werden auch technische Sicherheitslücken ausgenutzt: Fehlende Software- und Sicherheitsupdates, Konfigurations- und Supportfehler.

Haben die Angreifer den initialen Eintrittspunkt gefunden, z.B. mit gestohlenen Zugangsdaten, Schadsoftware oder durch eine Sicherheitslücke, geben sie sich als legitime Mitarbeiter aus und tasten sich innerhalb des Netzwerks schrittweise voran. Das wird als Lateral Movement bezeichnet. Sie suchen nach weiteren Schwachstellen, die sie ausnutzen können, um höhere Rechte innerhalb des Netzwerks zu erhalten, bis sie schließlich Administrationsrechte erhalten.

Durch die Langfristigkeit solcher Angriffe, können die Angreifer problemlos im normalen Netzwerkverkehr untertauchen und so unentdeckt bleiben. Haben sie die notwendigen Rechte ergattert, beginnt der eigentliche Angriff: Sensible und vertrauliche Daten werden verschlüsselt oder gestohlen und hohe Geldsummen überwiesen oder erpresst.

Wie schützen sich Unternehmen und Mitarbeiter vor Angriffen im Homeoffice? Eine der wichtigsten Maßnahmen ist die regelmäßige Sensibilisierung und Weiterbildung der Mitarbeiter. Einerseits sollten sie im Umgang mit der Technik geschult werden und die Anzeichen für eine technische Kompromittierung kennen. Anderseits sollten die Mitarbeiter allgemein zum mobilen Arbeiten geschult werden. Es sollten sichere Arbeitsbereiche im Homeoffice geschaffen werden, um effektiv zu arbeiten und gleichzeitig die beruflichen Daten und Informationen zu schützen.

Ebenso sollten die Mitarbeiter in den verschiedenen Angriffsmethoden des Social Engineerings geschult werden. Worauf ist bei E-Mails zu achten? Erwarte ich tatsächlich diese E-Mail von diesem Absender? Werde ich tatsächlich auf die Seite geleitet, wenn ich diesen Link anklicke? Für Phishing-Sensibilisierung gibt es z.B. einige kostenlose Online-Tools, die jeder einmal durchspielen kann. Der Phishing-Radar des Verbraucherschutzes bietet eine gute Übersicht über aktuelle Phishing-Versuche.

Daten und Dokumente sollten betriebsintern klassifiziert werden. Eine zu lasche Klassifizierung führt zu leichter zugänglichen Daten, die für Angriffe genutzt werden können, um die Plausibilität und die vermeintliche Authentizität zu suggerieren.

Aus technischer Sicht sollten die Endpunkte komplett abgesichert werden, statt nur einen VPN-Client zu verwenden. Zusätzliche technische Schutzmaßnahmen umfassen:

• Den Einsatz von Multi-Faktor-Authentisierung, um den Gefahren von Phishing, etc. entgegenzuwirken.
• Ein durchgängiges Identity & Access Management (IAM), um Zugriffsberechtigungen wirksam durchzusetzen.
• Das Einbinden der Geräte und Benutzer in einer zentrale Public-Key-Infrastruktur (PKI).
• Das regelmäßige Einspielen von Sicherheitsupdates und –patches, um bekannte Schwachstellen zu schließen.
• Die Durchführung von regelmäßigen Penetrationstests, um Schwachstellen zu erkennen und schließen zu können.

Den Schutz und die Überwachung der Protokolle der vorhandenen Systeme vor Manipulation.