Teilzeitarbeit, Stau auf den Strassen, Grossraumbüros oder zeitliche Flexibilität führen zu einem verstärkten Wunsch nach Heimarbeit. Jeder moderne Haushalt besitzt heute eine leistungsfähige Internetanbindung, die privaten Rechner sind mindestens so gut wie die Rechner am Arbeitsplatz und moderne Kommunikations-Tools erlauben eine sehr gute Integration des Home Office in die betriebliche IT-Umgebung. Aber wie steht es mit der Sicherheit im Home Office? Wie vermeidet man, dass Firmen, Organisationen und Mitarbeiter Opfer von Hacking-Angriffen werden?
Die Gefährdung des Home-Office-Arbeitsplatzes ist massgeblich von dessen Konfiguration abhängig. Hier gibt es grosse Unterschiede. Viele Firmen stellen für Home-Office-Arbeitsplätze speziell aufgesetzte Rechner bereit, die von der internen IT-Abteilung umfassend verwaltet werden können. Diese Rechner sind meistens in das Netzwerk der Firma integriert, so dass der Zugriff aufs Internet durch die Firewall der Firma geschützt wird. Alle Sicherheitsaspekte werden durch die IT-Abteilung der Firma kontrolliert.
Immer häufiger aber arbeiten heute Mitarbeitende auf eigenen Rechnern im Home Office und sind damit auch selbst für deren Sicherheit verantwortlich. Dies betrifft insbesondere Arbeitnehmerinnen und Arbeitnehmer mit mehreren Teilzeitanstellungen oder Portfolio-Worker, die nur projektbezogen für eine Firma arbeiten.
Die Sicherheitsrisiken
Das grösste Risiko ist heute, dass man Opfer von professionell agierenden Cyber-Kriminellen wird. Die mit Cyber-Kriminalität erreichbaren finanziellen Gewinne sind gewaltig, das Risiko von rechtlichen Konsequenzen ist minimal. Die benutzten Methoden und Techniken haben in den letzten Jahren eine beängstigende Perfektionsstufe und Komplexität erreicht, so dass es auch für Fachleute immer schwieriger wird, sich ausreichend zu schützen.
Eine Firma, die ihre IT-Risiken im Griff haben will, führt jährlich eine Risikoanalyse durch. Diese zeigt in der Regel, dass sich die Bedrohungslage von Jahr zu Jahr stark ändert, da die Cyber-Kriminellen ständig neue, noch effizientere Angriffsmethoden entwickeln. Eine Privatperson ist in der Regel nicht in der Lage, die aktuelle Bedrohungslage abzuschätzen, und muss sich auf Ratschläge in den Fachmedien stützen. Nachfolgend wird versucht, die aktuelle Risikolage des Home Office darzustellen.
1. Das Risiko MalwareIn den letzten Jahren haben die Bestrebungen, private Rechner mit Malware zu infizieren, stark zugenommen. Gegen einen gezielten, professionellen Angriff bieten moderne Antivirenprogramme nur noch einen minimalen Schutz, denn die Malware wird so gebaut, dass sie von den gängigen Programmen nicht mehr entdeckt wird. Da professionelle Malware zunehmend bloss gegen ausgesuchte Ziele eingesetzt wird und deshalb kaum verbreitet ist, kann es lange dauern, bis man sie entdeckt. Im letzten Jahr wurde beispielsweise die Schad-Software Flame gefunden, die nachweislich schon seit fünf bis sechs Jahren im Einsatz war, ohne dass sie von einem Antivirenprogramm erkannt worden wäre. Sehr häufig wird die Malware nach Beendigung des Auftrages rückstandsfrei entfernt, so dass der Angriff nie entdeckt wird. Professionelle Malware eignet sich vor allem für die Industriespionage, deshalb sind besonders Home-Office-Benutzer bedroht, die in einem sensitiven Umfeld arbeiten.
Neben der gezielt eingesetzten Malware gegen ausgesuchte Ziele gibt es auch herkömmliche Viren, die breiter gestreut werden. Diese werden relativ schnell entdeckt, so dass gute Antivirenprogramme bereits wenige Stunden nach der Entdeckung einen Schutz davor bieten. Die in dieser Form von Schad-Software implementierte Funktionalität wird immer subtiler:
-Informationsgewinnung: Auf vielen Home-Office-Rechnern befinden sich sensitive Informationen wie beispielsweise Passwörter, Kontaktadressen, sensitive Dokumente, E-Mails oder Kreditkartennummern. Es hat sich weltweit ein Schwarzmarkt für solche Informationen etabliert.
-Botnet: Wird ein Rechner durch Botnet-Malware verseucht, kann er unbemerkt zu einem Mitglied in einem weltweiten Botnet werden. Solche Rechner werden von zentralen Servern ferngesteuert und häufig für das Versenden von Spam-E-Mail verwendet. In der Regel werden auch sensible Informationen wie beispielsweise Kontakt-Einträge, E-Mail-Adressen, Passwörter und Kreditkartennummern an die zentralen Server übertragen. Diese Art von Malware ist weit verbreitet, wird aber von modernen Antivirenprogrammen recht zuverlässig entdeckt.
-Sperrtrojaner: Gemäss den Informationen der Melde- und Analysestelle Informationssicherung des Bundes (Melani) haben sich in letzter Zeit Sperrtrojaner in der Schweiz stark verbreitet. Dabei handelt es sich um eine erpresserische Schad-Software, die den Rechner blockiert und gegen ein Lösegeld wieder freigibt. Häufig tarnen sich diese Sperrtrojaner als Überwachungsprogramme der Polizei oder anderer Organisationen und fordern die Bezahlung einer Busse.
Malware gelangt heute meistens über eine sogenannte Drive-by-Infektion oder über verseuchte E-Mails in das Home Office.
Für eine Drive-by-Infektion reicht es aus, eine verseuchte Webseite zu besuchen. Immer häufiger werden seriöse Webseiten bekannter Firmen und Organisationen gehackt und so manipuliert, dass bereits ein Besuch der Webseite zu einer Drive-by-Infektion führt. Verbreitet sind auch Drive-by-Infektionen durch eingeblendete Werbe-Banner oder Beiträge in einem Internetforum. Drive-by-Infektionen nützen in der Regel Sicherheitsschwachstellen in Betriebssystemen oder in weit verbreiteten Applikationen des Home Office aus. Im letzten Jahr wurden insbesondere Schwachstellen im Adobe Reader oder im Flash Player ausgenützt. Da diese Applikationen in den Browser integriert sind, ist eine Verseuchung sehr einfach möglich.
Verseuchte E-Mails enthalten in der Regel ein Attachment, das den Schad-Code enthält. Beim Öffnen des Attachments wird eine Schwachstelle des ausführenden Programms ausgenützt.
In einem Home Office sind insbesondere drei Schutzmassnahmen zwingend notwendig:
-Es muss eine Antiviren-Software installiert sein und sichergestellt werden, dass die Aktualisierungsfunktion dieses Programms einwandfrei funktioniert.
-Das Betriebssystem und alle Programme müssen auf dem aktuellen Stand gehalten werden. Insbesondere sind Security-Patches des Betriebssystemherstellers sofort einzuspielen. Die modernen Betriebssysteme sind oft so konfiguriert, dass dies automatisch geschieht. Ebenso wichtig ist, dass auch Programme wie Adobe Reader, Flash Player und die Office-Programme aktuell gehalten werden.
-Es dürfen keine Attachments in E-Mails geöffnet werden, ausser man ist überzeugt, dass die E-Mail von einer absolut vertrauenswürdigen Stelle kommt. Ein grosses Risiko sind auch in E-Mail eingebettete Links, da diese auf gefälschte Webseiten mit Schad-Code führen können.
2. Das Risiko der geklauten Identität
Cyber-Kriminelle verdienen heute viel Geld mit geklauten Identitäten. Für Home-Office-Benutzer ist ein kompromittierter E-Mail-Account das grösste Risiko, da heute der Passwort-Rücksetzungsmechanismus von Internet-Accounts und Cloud-Diensten in der Regel über diesen E-Mail-Account abgewickelt wird. Mit einem kompromittierten E-Mail-Account kann in kurzer Zeit die gesamte digitale Identität, das heisst alle im Internet gespeicherten Informationen eines Home-Office-Benutzers, in falsche Hände gelangen.
Für Home-Office-Benutzer ist es daher zwingend notwendig, dass sie im Internet sichere, nicht zu erratende Passwörter wählen. Wichtig ist, dass für jeden Account im Internet ein anderes Passwort verwendet wird. Dies ist notwendig, da es den Cyber-Kriminellen immer häufiger gelingt, verbreitete Internet-Dienste zu hacken und an die verwendeten Passwörter zu kommen. Die heute noch vielfach propagierte Methode, einzelne Buchstaben in Wörtern auszutauschen (beispielsweise Pa55-w0rd) ist wertlos, da moderne Brute-Force-Hacking-Programme problemlos damit umgehen können. Für ein sicheres Arbeiten im Internet kommt man heute nicht mehr ohne einen Passwort-Safe wie beispielsweise das Programm Keepass aus, das in der Lage ist, sichere Passwörter zu generieren.
Da die Erfahrung gezeigt hat, dass auch seriöse Cloud-Dienste wie zum Beispiel Evernote erfolgreich angegriffen werden, wird ein verantwortungsvoller Home-Office-Benutzer sensitive Informationen nicht in der Cloud speichern oder darauf achten, dass die Informationen in verschlüsselter Form in der Cloud gespeichert sind.
3. Das praktische Smartphone
Jeder Home-Office-Benutzer hat mehrere Arbeitsplätze. Sehr praktisch sind die modernen Smartphones, die überallhin mitgenommen werden können und die einen ständigen Zugriff auf wichtige Informationen sicherstellen. Viele Home-Office-Benutzerinnen und -Benutzer schätzen den Zugriff auf berufliche E-Mails, Kalendereinträge und Kontaktinformationen. Moderne Smartphones synchronisieren auch alle in der Cloud (z.B. auf Dropbox) gespeicherten Informationen. Ein abhanden gekommenes Smartphone kann heute ein immenses Sicherheitsproblem darstellen. Die Schutzmechanismen von Smartphones können in der Regel leicht umgangen werden, so dass fremde Personen auf alle Informationen zugreifen können. Zudem sind immer mehr Apps im Umlauf, die Informationen auf dem Smartphone auslesen und an zentrale Server übertragen.
Der verantwortungsvolle Home-Office-Benutzer stellt sicher, dass keine sensitiven Informationen auf dem Smartphone gespeichert sind. Zudem wird er seine Geräte mit einem Zugangscode sichern und die Verschlüsselung des Smartphones aktivieren.
4. Die verschwundenen Daten
Ein sehr häufiges Problem, mit dem Home-Office-Benutzer konfrontiert sind, stellt der Datenverlust infolge des Ausfalls einer Harddisk oder dem versehentlichen Löschen oder Überschreiben von Daten dar. In der Regel werden die Daten in einem Home Office weniger regelmässig gesichert als dies im Unternehmensumfeld üblich ist. Es ist daher von zentraler Bedeutung, dass alle beruflich benötigten Daten regelmässig gesichert werden. Dabei kann es durchaus sinnvoll sein, auf Dienste im Internet zuzugreifen. So bieten mehrere Firmen in der Schweiz professionelle Backup-Lösungen für das Home Office an, die vollautomatisch ständig die wichtigsten Informationen via Internet sichern. Achtung: Heikel kann bei sensitiven Informationen die Verwendung von Cloud-Diensten wie Dropbox sein, da die Daten in der Regel im Ausland gespeichert werden.
Laufend Informieren
Viele Mitarbeitende schätzen es, zumindest teilweise im Home Office arbeiten zu können. Jeder Home-Office-Benutzer muss wissen, welche Sorgfaltspflichten er gegenüber dem Arbeitgeber hat und wie er sicherstellen kann, dass vertrauliche Informationen vertraulich bleiben und nicht verloren gehen.
Von zentraler Bedeutung aber ist, dass man sich ständig über die aktuelle Bedrohungslage für das Home Office informiert. In den Fachmedien sind regelmässig Artikel darüber zu finden. Informativ sind zudem auch die Lageberichte der Melde- und Analysestelle Informationssicherung des Bundes (Melani) die halbjährlich erscheinen.
Prof. Roland Portmann ist Dozent für IT-Security an der Hochschule Luzern – Technik & Architektur. Zudem arbeitet er als externer Mitarbeiter für mehrere Firmen und ist Fachexperte bei IT-Sicherheitszertifizierungen nach ISO/IEC 27001.
Home Office an der Hochschule Luzern
Dieser Artikel entstand vollständig im Home Office. Dozenten der Hochschule Luzern haben das Privileg, im Home Office arbeiten zu dürfen, was sehr geschätzt wird.
Mit dem hochschuleigenen Notebook ist man vom Home Office vollständig in die IT-Infrastruktur der Hochschule eingebunden. Die Hochschule unterstützt aber auch die Verwendung von eigenen Rechnern. So kann man über eine VPN-Verbindung auf sämtliche Ressourcen der Hochschule zugreifen. Die grosse Gerätevielfalt führt jedoch dazu, dass es dabei immer wieder zu Problemen kommt. So ist beispielsweise aktuell ein VPN-Zugriff mit Windows 8 oder Linux-Betriebssystemen nicht möglich. Dies führt dazu, dass viele Dozierende auf Cloud-Services wie Dropbox zurückgreifen.
