IT-Sicherheit daheim und unterwegs
Im Zug Mails beantworten, im Homeoffice kurz privat was recherchieren – schon ist es passiert: Daten-Diebstahl, Schadsoftware oder Spionage. Gerade beim Arbeiten daheim und von unterwegs ist es wichtig, auf IT-Sicherheit zu achten. Wie das jede*r Einzelne konkret machen kann, erfahren Sie hier.
Text: Daniela Knoll
Seit der Coronapandemie ist mobiles Arbeiten oder Arbeiten aus dem Homeoffice für viele Beschäftigte nicht mehr wegzudenken. Gerade am Anfang der Pandemie waren insbesondere kleinere Firmen, selbstorganisierte Vereine oder Nichtregierungsorganisationen (NGOs) überfordert, ihren Mitarbeiter*innen eine funktionierende und sichere IT-Infrastruktur für zu Hause oder unterwegs bereitzustellen. Inzwischen gibt es aber gut funktionierende IT-Sicherheitskonzepte auch im „Kleinen“
Dabei ist eine Definition vorab wichtig: Die europäische Datenschutzgrundverordnung (DSGVO) regelt, was schützenswert ist. Wohingegen die Informationssicherheit definiert, wie Daten und Informationen geschützt werden. Grundlage dafür ist das VIVA-Prinzip: Informationen werden umfassend geschützt, wenn man ihre Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität sicherstellt. Wer den Schutz personenbezogener Daten nach der DSGVO beherzigt, macht bezüglich IT-Sicherheit bereits Vieles richtig.
Begehrtes Ziel von Cyber-Attacken sind Kommunikationsdaten wie E-Mails, Kundendaten, Patent-Informationen sowie Zugangsdaten zu sensiblen Bereichen oder Cloud-Plattformen. Aber auch persönliche Informationen von Mitarbeiter*innen können in die Hände von Cyber-Kriminellen gelangen. Sogar Mitbewerber*innen oder eigene Kund*innen können zum Täter*innenkreis im Bereich Datendiebstahl, Industriespionage oder Sabotage gehören. Es gibt sogar sogenannte „Innen-Täter*innen“: das sind (ehemalige) Angestellte, die absichtlich oder versehentlich einen IT-Sicherheitsvorfall ausgelöst haben.
Multi-Faktor-Authentifizierung sinnvoll
Die Verantwortung für die IT-Sicherheit liegt in der Regel beim Arbeitgeber beziehungsweise der Geschäftsführung. Sofern diese die Arbeitsgeräte bereitstellt, braucht man sich als Fachkraft meist um die technische IT-Sicherheit wie das Installieren einer Firewall, einer Antivirenlösung oder das Einrichten virtueller privater Netzwerke (VPN) nicht selber zu kümmern. Im Idealfall gibt der Arbeitgeber diesbezüglich auch Regeln und Richtlinien zur IT-Sicherheit im Homeoffice oder beim ortsunabhängigen Arbeiten vor. Gibt es diese jedoch nicht, könnten Arbeitnehmer*innen auch eher nicht belangt werden, so Roland Hallau von der tti Technologietransfer und Innovationsförderung Magdeburg GmbH. Der IT-Experte ist zudem beim Mittelstand-Digital Zentrum Chemnitz als Fachkoordinator im Bereich IT-Sicherheit tätig.
Ziel von Cyber-Kriminellen ist häufig, die erbeuteten oder durch Schadprogramme verschlüsselten Daten – sogenannte Ransomware – zu verkaufen oder dafür Geld zu erpressen. Doch wie schützt man Kundendaten, E-Mails, Vereinsdaten und andere sensible Informationen beim mobilen Arbeiten oder im Homeoffice richtig? Ein guter Basisschutz vor Cyber-Gefahren sind starke und einzigartige Passwörter in Kombination mit Multi-Faktor-Authentifizierung (MFA), wie man es meist vom Online-Banking kennt. Einige Softwarefirmen, darunter Google und Microsoft, bieten dazu kostenlose Smartphone-Apps an. Selbstverständlich gehören auch keine Passwörter auf Klebezettel, die auf die Laptop-Unterseite oder an den Monitor geklebt sind.
Apropos Monitor. Wer viel von unterwegs aus arbeitet, kann bei seinem Arbeitgeber nach speziellen Sichtschutzfolien für den Monitor fragen. Diese halten Blicke von neugierigen Sitznachbar*innen fern. Der Sichtschutz funktioniert allerdings nicht immer zuverlässig. Deshalb hat IT-Sicherheitsexperte Roland Hallau eine deutliche, praktikable Empfehlung, wenn man zum Beispiel als Fachkraft im Veranstaltungsmanagement mit vielen Kontaktdaten arbeitet: „Wenn es keine Richtlinien von Seiten des Arbeitgebers gibt und man an der Stelle sensibel genug aufgestellt sein will, dann versucht man zu vermeiden, mit personenbezogenen Daten etwa während der U-Bahnfahrt zu arbeiten. Ich sollte mir sagen: Ich habe genug andere Arbeiten, die ich machen kann, zum Beispiel einen Text schreiben, in dem keine personenbezogenen Daten sind. Diese Arbeitsweise trägt auch dem Datenschutz Rechnung.“
Menschen als großes Sicherheitsrisiko
Weitere Grundregeln der IT-Sicherheit sind beispielsweise auch, dass man keine privaten USB-Sticks oder Ähnliches in ein Firmenlaptop steckt. Wenn das Betriebssystem nach einem Update frag, darf man auch das gerne bestätigen, um mit gutem Gewissen Sicherheitslücken zu schließen.
Ein weiterer wichtiger Aspekt in Sachen IT-Sicherheit ist der „Faktor Mensch“. Denn Menschen machen Fehler, lassen sich ablenken oder haben manchmal auch zu viel Vertrauen in alles und jeden um sie herum. Umso wertvoller und sensibler die Daten und Informationen sind, mit denen man beruflich zu tun hat, desto größer ist das Risiko, gezielt Opfer von Cyber-Attacken zu werden. Wer beispielsweise in einer Forschungs- und Entwicklungsabteilung an einem lukrativen und patentierbaren Produkt arbeitet, könnte Opfer von sogenannten Social-Engineering-Angriffen werden. Dabei versuchen die Angreifer mittels Mails oder gar gefälschten, schadhaften Websites beim Opfer Gefühle wie Angst oder Dringlichkeit zu wecken. Damit soll die Zielperson dazu gebracht werden, bestimmte Handlungen auszuführen, wie etwa Geld zu überweisen oder Zugangsdaten preiszugeben. Doch man muss nicht unbedingt ein*e wichtige*r Geheimnisträger*in sein, um auf diese Weise attackiert zu werden: Die häufigste Form vom Social Engineering sind Phishing-Angriffe, und eine solche E-Mail hatte wohl jeder schon einmal im Postfach.
Das ist auch einer der Gründe, warum man privates Surfen im Netz sicherheitshalber auf den Feierabend und auf die eigenen Computer auslagern sollte. Klickt das potenzielle Opfer nämlich auf einen präparierten Link, schnappt die Cyber-Falle zu: die Angreifer*innen gelangen über den PC des Opfers in interne Firmennetzwerke, zum Beispiel über eine dauerhaft offene VPN-Verbindung. Und dann können sich die Cyber-Kriminellen in den fremden Datennetzen Schritt für Schritt vorarbeiten. Dass der „Faktor Mensch“ die größte Schwachstelle in der IT-Sicherheit ist, weiß auch Roland Hallau: „Etwa 80 Prozent der IT-Sicherheitsvorfälle passieren durch uns selbst. Wenn ich nicht weiß, was Phishing ist, wie soll ich dann richtig reagieren, wenn ich eine Phishing-Mail bekomme? Ich kann logischerweise nicht von jedem Arbeitnehmer erwarten, dass er zum IT-Experten wird. Aber Grundlagenwissen kann ich verlangen. Wenn man das jedoch nicht vermittelt, kann man den Arbeitnehmern auch keine Schuld geben. Mein Tipp: Schulungsmaßnahmen für die Belegschaft ansetzen, die auch dokumentiert sind. Das ist von unserer Seite auch ein Angebot: egal, ob für Arbeitgeber oder Arbeitnehmer.“
Das Mittelstand-Digital Zentrum Chemnitz wird öffentlich durch das Bundesministerium für Wirtschaft und Klimaschutz gefördert und unterstützt deutschlandweit kleine und mittlere Unternehmen (KMUs) sowie das Handwerk bei der Digitalisierung. Es gibt in Deutschland zahlreiche Mittelstand-Digital Zentren, an die man sich kostenfrei wenden kann.
Trennen und Verschlüsseln
Ein weiteres Beispiel aus dem Arbeitsalltag, wie man die Angriffsfläche für Cyber-Kriminelle im Homeoffice oder unterwegs minimieren kann, ist Folgendes: Man bleibt nicht ununterbrochen per VPN mit dem Firmenlaufwerk verbunden. Besser holt man sich nur die Dateien ab, an denen man aktuell arbeiten möchte, trennt die VPN-Verbindung und am Ende des Tages lädt man die bearbeiteten Dateien wieder hoch. Sollte der eigene Rechner durch einen Virus oder Trojaner infiziert werden, ist das entfernte Firmennetzwerk besser geschützt, weil es nicht permanent erreichbar ist. Solch eine Arbeitsweise kann sogar vor (versehentlichem) Datenverlust schützen, wie Roland Hallau aus eigener Erfahrung weiß: „Ich habe mit einer Standverbindung an einer Datei gearbeitet und plötzlich war die Internetverbindung abgebrochen. Dadurch war dann eine Word-Datei so beschädigt, dass ich sie nicht wiederherstellen konnte. Bis heute speichere ich mir die Dateien lokal zwischen und lege sie dann nach getaner Arbeit wieder mit einer neuen Kennung auf den Server zurück.“
Gut beraten ist, wer regelmäßige Sicherungen wichtiger Daten, E-Mails oder Kundendaten auf einem verschlüsselten externen Speichermedium macht. Denn sollte es trotz aller IT-Schutzmaßnahmen aufgrund einer Cyber-Attacke zu Datenverlust kommen, kann man mit Hilfe der Backups trotzdem weiterarbeiten.
Zu allerletzt noch ein Tipp, um Informationen sowohl datenschutzkonform als auch verschlüsselt per E-Mail versenden zu können, wenn es keine firmenseitige Verschlüsselung für E-Mails gibt, wie beispielsweise die Verfahren GnuPG oder S/MIME: Man kann mit wenigen Klicks Dokumente oder PDF-Dateien mit einem sicheren Passwort verschlüsseln. Dafür sucht man in einem der Programme oder im PDF-Drucker in den erweiterten Speicheroptionen nach einer Möglichkeit, Dateien zu schützen. Dann vergibt man ein sicheres Passwort und teilt dieses Kennwort dem oder Empfänger*in telefonisch oder per Chatnachricht mit.