So eine Situation hat es noch nie gegeben: Durch das Corona-Virus hat sich unser Lebensalltag innerhalb weniger Tage komplett verändert. Es sind Zeiten, in denen Unsicherheit und Sorge herrschen: Um die Gesundheit von Familienangehörigen und Freunden, die wirtschaftliche Lage und das eigene Leben.
Diese existenziellen Ängste der Menschen und die vielerorts getätigte Umstellung der Arbeit auf das Home-Office bieten Angriffspunkte, die Cyber-Kriminelle ausnutzen: Medien berichten von trügerischen Angeboten wie einer „Corona-Tracking-App“ oder angeblichen Live-Zahlen zur Verbreitung des Virus, hinter denen sich Schadsoftware verbirgt. Damit lesen die Kriminellen sensible Daten wie Passwörter und Kreditkartennummern aus oder blockieren kurzerhand das Smartphone, um Erpressungsgeld zu fordern.
Dies könnte erst der Anfang sein – denn die Umstellung vieler Unternehmen und Organisationen auf Heimarbeit steckt vielerorts noch in den Kinderschuhen. Wo dabei Schwachstellen liegen und worauf jetzt besonders geachtet werden muss, erklären Prof. Angela Sasse (Lehrstuhl Mensch-Zentrierte Sicherheit) und Prof. Thorsten Holz (Lehrstuhl Systemsicherheit) im Interview.
Viele Unternehmen und Organisationen stellen derzeit auf Home-Office-Betrieb um, Mitarbeiter*innen nehmen ihre Laptops mit nach Hause oder nutzen ihr Privat-Equipment. Bieten sich Cyberangreifern durch diese Umstellung mehr Einfallstore?
Thorsten Holz: Die IT-Infrastruktur der Unternehmen wird nun anders genutzt, als sie von ihren Administratoren geplant war. Dies ermöglicht potentiell neue Angriffsvektoren. Beispielsweise sind IT-Systeme in einer Firma typischerweise hinter einer Firewall und durch zusätzliche Sicherheitslösungen geschützt, darüber hinaus werden die Systeme zentral administriert und insbesondere aktualisiert. Diese Mechanismen sind im Home-Office nicht unbedingt gegeben, insofern muss dort umgedacht werden.
Welche technischen Lösungen wären da denkbar?
Thorsten Holz: Durch VPN-Lösungen kann man sichere Verbindungen ins Firmennetz aufbauen, technisch kann man solche Probleme also adressieren. Eventuell müssen aber auch Firewalls oder Sicherheitslösungen umkonfiguriert oder privates Equipment genutzt werden, hier müssten weitere Schritte genauer überlegt werden.
Frau Sasse, Sie erforschen den Faktor Mensch in der IT-Sicherheit. Worin sehen Sie weitere Probleme?
Angela Sasse: Änderungen von Arbeitsprozessen und innerbetrieblicher Kommunikation können Schwachstellen schaffen, die Cyberkriminelle durch Social-Engineering-Angriffe ausnutzen könnten: Ein Beispiel wäre eine gefälschte E-Mail des Unternehmens-Finanzchefs, mit dem Appell, Zahlungsprozesse aufgrund der Corona-Situation zu ändern. Darauf könnten Mitarbeiter*innen anspringen. Wir wissen bereits, dass Unternehmen während Übernahmen oder Zusammenschlüssen besonders anfällig sind, wenn Mitarbeiter*innen nicht klar ist, welche Regeln gelten, wer wofür zuständig ist – daher ist eine explizite Kommunikation über Zuständigkeit, Verantwortung und Regeln, über einen sicheren Kanal, sehr wichtig.
Warum sind Arbeitnehmer*innen besonders anfällig für solche Angriffe?
Angela Sasse: Viele Mitarbeiter*innen sind zur jetzigen Zeit allgemein verunsichert, gestresst und besorgt um ihre Zukunft. Unter Stress machen wir eher Fehler, und in Zeiten der Verunsicherung sind wir eher anfällig für scheinbar attraktive Angebote, die meine Probleme lösen würden – z. B. ein Sonderangebot für Bedarfsgegenstände, die im Supermarkt aktuell nicht erhältlich sind. Auch für Gerüchte in sozialen Netzwerken, zum Beispiel über die Zahlungsfähigkeit des Unternehmens, sind Mitarbeiter eher anfällig. Hinter solchen Informationen können sich jedoch Schadprogramme verbergen, die unbemerkt auf den Computer gelangen.
Wie können Unternehmen ihre Mitarbeiter*innen an dieser Stelle unterstützen?
Angela Sasse: Regelmäßige und ehrliche Kommunikation kann Mitarbeiter*innen beruhigen, genauso wie die Möglichkeit, Fragen mit den Verantwortlichen diskutieren zu können. Dies trifft übrigens auch für technische Mitarbeiter*innen zu, Support-Desks sind im Moment überlastet und mit mehr Anfragen und Forderungen von – manchmal sehr gestressten – Mitarbeiter*innen konfrontiert. Aus meiner Sicht ist es am effektivsten, auf der unternehmenseigenen Website versuchte Angriffe und Falschinformationen darzustellen. Am Wichtigsten ist die Möglichkeit, Fragen zu stellen und sich bei Unklarheit melden zu können – da müssen die Kapazitäten vorhanden sein.
Es werden nun allerorts Tools genutzt, die das Arbeiten von zu Hause erleichtern sollen. Sind diese Programme sicher genug, um sensible Firmendaten zu tauschen?
Thorsten Holz: Neue Tools bieten immer neue Angriffsflächen und haben potentiell Lücken. So wurde beispielsweise im September 2019 eine größere Sicherheitslücke in der populären Videokonferenz-Lösung Zoom entdeckt, die aber mittlerweile geschlossen ist. Außerdem verlassen die über solche Tools geteilten Daten das Firmennetz und werden auf potentiell im Ausland liegenden Servern dauerhaft gespeichert. Regeln zum Datenschutz und der Datensicherheit sollte man weiterhin befolgen, kritische und sensible Daten sollte man besser nicht über solche Tools tauschen.
Angela Sasse: Hier könnten Trainings zur Nutzung der Tools und klare Sicherheitsanweisungen helfen. Wenn beispielsweise festgelegt worden ist, dass Kundendaten nicht über einen bestimmten Kanal geschickt werden dürfen, müssen Führungskräfte sich ebenso daran halten wie die Mitarbeiter*inndn. Kriminelle nutzen aber nicht nur neue Tools, sondern greifen auch über klassische Kanäle wie Telefon, SMS und E-Mail an – ihre Vorgehensweise ist gut durchdacht, sie setzen ihre Opfer zusätzlich unter Zeit- oder Autoritätsdruck.
Bekommen User es mit, wenn ihr Computer infiltriert worden ist?
Thorsten Holz: Das Erkennen von Kompromittierungen ist nicht immer einfach, Cyberkriminelle setzen schließlich alles daran, unentdeckt zu bleiben. Mit Phishing-Mails werden User beispielsweise dazu gebracht, bösartige Programme unbemerkt zu installieren. Sobald der Angreifer oder die Angreiferin die Schadsoftware auf dem Rechner des Opfers ausführen kann, verstecken sie sich und sammeln im Hintergrund relevante Infos. Nur bei Ransomware läuft es anders: Hier werden Dateien auf dem Computer des Opfers verschlüsselt, um ein Lösegeld zu erpressen. Dort fällt der Angriff natürlich auf.
Angela Sasse: Hier ist es besonders wichtig, dass Mitarbeiter*innen keine Angst davor haben, dem Unternehmen zu melden, dass sie ein Problem haben oder einen Fehler gemacht haben. Denn je schneller ein Problem gemeldet wird, desto besser können die Sicherheitsexperten darauf reagieren.
Was sollten Firmen und Organisationen jetzt leisten, um sich zu schützen?
Thorsten Holz: Überlegungen zu IT-Sicherheit und Datenschutz dürfen vor Veränderungen im Betriebsablauf nicht vergessen werden, um potentielle Angriffe gegen Firmennetze zu vermeiden sowie die Möglichkeit von zusätzlichen Angriffen zu minimieren. Darüber hinaus bietet die aktuelle Situation aber auch die Chance, neue Methoden zur Zusammenarbeit zu testen und das Arbeiten im Home-Office zu ermöglichen. Viele Arbeitsvorgänge und Abstimmungsmechanismen werden in Zukunft digitalisiert.
Angela Sasse: Die Mitarbeiter*innen sollten durch regelmäßige Kommunikation und gezielte, relevante Schulungsmaßnahmen einbezogen werden. Sicherheit und Datenschutz sind dabei Bausteine für die digitale Fitness jedes einzelnen und des Unternehmens. Gerade im deutschsprachigen Raum gibt es dafür einige Anbieter erprobter IT-Sicherheitskompetenz-Konzepte und Schulungs-Angeboten.
Presseanfragen richten Sie bitte an:
Prof. Dr. Martina Angela Sasse, Lehrstuhl Human-Centred Security
Mail: Martina.Sasse@ruhr-uni-bochum.de
Prof. Dr. Thorsten Holz, Lehrstuhl Systemsicherheit
Mail: Thorsten.Holz(at)ruhr-uni-bochum.de
Allgemeiner Hinweis: Mit einer möglichen Nennung von geschlechtszuweisenden Attributen implizieren wir alle, die sich diesem Geschlecht zugehörig fühlen, unabhängig vom biologischen Geschlecht.