Wie Hacker Angestellte im Homeoffice angreifen
Homeoffice klingt nach sicherer, vertrauter Umgebung. Doch auch am heimischen Schreibtisch lauern Gefahren: Eine harmlos aussehende Mail von einer internen Firmenadresse, vielleicht verbunden mit der Bitte, sich doch für einen neuen Verteiler zu registrieren. Tatsächlich jedoch sind Cyberkriminelle die Absender.
Sie wollen auf diese Weise ins Firmennetzwerk einbrechen. Am helllichten Tag. Solche Angriffe nennt man Phishing. Die Wortschöpfung setzt sich aus „password“ (Passwort) und „fishing“ (angeln) zusammen, meint also Passwort-Angeln. „Es geht beispielsweise um Versuche, Nutzer mit gefälschten Nachrichten, Mails oder SMS auf Betrugsseiten zu locken“ erklärt Andy Voß von der „Computer Bild“. Phishing-Attacken sind selbst für erfahrene Anwenderinnen oder sogar Profis nicht immer sofort erkennbar und richteten sich immer öfter auch gegen Firmenmitarbeiter im Homeoffice.
Cyberattacken können ganze Firmen lahmlegen
„Mitarbeitende im Homeoffice sind beliebte, weil leichte Opfer. Während der Firmen-Admin im Unternehmen noch eine gewisse Kontrolle über die Arbeitsrechner hat, gibt es das im Homeoffice oft nicht“, sagt Ronald Eikenberg vom „c’t“-Fachmagazin. Besonders verwundbar ist eine Firma, wenn Mitarbeitende für die Büroarbeit im Homeoffice ihren eigenen Rechner nutzen, der eben auch privat im Einsatz ist.
„Fängt sich der Mitarbeitende zu Hause einen Trojaner ein, kann dieser durch die VPN-Verbindung dann im Firmennetz wüten. Schlimmstenfalls legt man also durch einen falschen Klick die ganze Firma lahm“, warnt Eikenberg.
Das könnte Sie auch interessieren: Cyberattacke? Handelskammer Hamburg online nicht erreichbar
Der IT-Branchenverband Bitkom rät daher, private Rechner im Homeoffice außen vor zu lassen. „Besser ist es, nur Unternehmensgeräte zu nutzen, auf denen dann zum Beispiel die Zugriffsrechte beschränkt werden und die Installation von Software nur Administratoren gestattet ist“, sagt Simran Mann, IT-Sicherheitsexpertin beim Bitkom. Zudem könne so auch sichergestellt werden, dass notwendige Sicherheitsupdates tatsächlich eingespielt werden.
Ist der Heimarbeitsplatz infiziert, ist das nicht unbedingt sofort erkennbar. Ein Ziel der Angreifer ist es ja auch, möglichst lange unentdeckt zu bleiben, erklärt Eikenberg. „Hinweise darauf sind aber beispielsweise Umleitungen von Website-Aufrufen, das Auftauchen von Programmen, die man nicht installiert hat oder ein plötzlicher Anstieg der Auslastung des Systems.“ Skeptisch sollten Nutzer zudem werden, wenn der Virenscanner anschlägt.
Cyber-Hacker: Der Mensch im Mittelpunkt des Angriffs
Bei allen technischen Möglichkeiten: Am Ende ist es immer die Userin, die im Mittelpunkt einer Cyberattacke steht. „Phishing ist eine Form des Social Engineering, also ein Angriff auf die Schwachstelle Mensch. Technische Schutzmaßnahmen sind sinnvoll, können solche Angriffe aber nicht verhindern“, sagt Eikenberg.
Gleichwohl gelte immer: Nur mit aktueller Software und nur mit aktivem Virenschutzprogramm arbeiten. Der in Windows 10 und 11 integrierte Defender reiche in vielen Fällen schon aus, sagt Eikenberg. Haupteinfallstor für Cyberkriminelle sei nach wie vor die E-Mail.
Das könnte Sie auch interessieren: Aufgepasst! Falsche Haspa-Berater zocken Kunden am Telefon ab
„Aber es gab und gibt durchaus Angriffe, bei denen Beschäftigten präparierte USB-Speicher untergejubelt werden, die automatisch Schadsoftware installieren, wenn sie in das Firmen-Notebook gesteckt werden“, sagt Bitkom-Expertin Mann. Hier sei der Aufwand aber natürlich ungleich höher.
Während Mail-Angriffe früher noch relativ einfach zu erkennen waren, etwa durch schlechtes Deutsch im Textblock der Mail, sei das mittlerweile deutlich schwieriger. „Diese Mails sind teilweise sehr professionell und ausführlich recherchiert, bis hin zu E-Mail-Signaturen der vermeintlichen Absender“, warnt Simran Mann.
„Phishing“ gibt es auch am Telefon
Aber auch per Telefon versuchen Kriminelle nach wie vor, sich Zugang zu Rechnern zu verschaffen. Hier ist auch von Vishing die Rede, einer Wortschöpfung aus „voice“ (Stimme) und „fishing“. Ein Klassiker: Betrüger geben sich am Telefon als Mitarbeitende des Microsoft-Supports aus und schaffen es so immer wieder, Menschen dazu zu bringen, Software zur Fernwartung zu installieren. Dann haben sie die volle Kontrolle über den Rechner und Zugang zu allen Daten.
Andy Voß rät, bei solchen Anrufen direkt aufzulegen. Weder Microsoft noch andere seriöse Unternehmen rufen jemals ungefragt an oder schicken einfach E-Mails, in denen persönliche Daten abgefragt werden. Mit der beste Schutz gegen Cyberattacken und Social Engineering: der gesunde Menschenverstand und Skepsis.
Das könnte Sie auch interessieren: Hamburger Experte schlägt Alarm: Homeoffice begünstigt Betrug
„Wer sich aktiv über die Tricks der Angreifer informiert, erkennt diese natürlich leichter“, sagt Voß. Keinesfalls sollte man Anhänge in Mails unbekannter Absender einfach nur aus Neugierde öffnen.
Vergleichsweise leicht haben es Cyberkriminelle mit Arbeitenden im Homeoffice auch deshalb, weil die Kommunikation fast ausschließlich digital läuft. „Der persönliche Austausch unter vier Augen bleibt aus. Die Wahrscheinlichkeit ist damit viel höher, dass man auf eine gefälschte Mail hereinfällt, die vermeintlich vom Chef oder Admin stammt“, sagt Eikenberg. Wer unsicher ist, sollte lieber einmal zu viel telefonisch nachfragen, als dubiose Anhänge zu öffnen oder nebulöse Anweisungen auszuführen.
Bitkom: Firmen müssen Netzwerke sicherer machen
Es kommt aber nicht nur auf die Mitarbeitenden an. Auch die Unternehmen könnten nach Auffassung des IT-Branchenverbandes Bitkom noch deutlich mehr tun, um Firmennetzwerke sicherer zu gestalten. „Cybersicherheit muss Chefsache sein“, meint Simran Mann, IT-Sicherheitsexpertin beim Bitkom. „Unternehmen müssen erkennen, dass der Schutz der IT als zentraler Infrastruktur auch Geld kostet.“
Als Richtwert empfiehlt das Bundesamt für Sicherheit in der Informationstechnologie (BSI) empfiehlt Unternehmen in seinem Lagebild zur IT-Sicherheit, 20 Prozent der IT-Ausgaben für Cyber- und Informationssicherheit zu verwenden. Aber nur 16 Prozent der Unternehmen hätten mit einer Erhöhung des Budgets für Informationssicherheit auf die Corona-Krise reagiert.