Während der Coronakrise wurden die Mitarbeiter praktisch von einem Tag auf den nächsten ins Home-Office geschickt - zum Schutz ihrer Gesundheit. Aber wie sieht es mit dem Schutz vor Computerviren aus?
Schon jetzt ist klar, dass es kein Zurück mehr in alte Strukturen geben wird: Zu Beginn der Corona-Pandemie hatte laut Digitalverband Bitkom jeder dritte Arbeitgeber in der Digitalwirtschaft (64 %) seinen Beschäftigten die Arbeit in den eigenen vier Wänden vorgeschrieben. Die Mitarbeiter haben sich mittlerweile nicht nur ans Home-Office gewöhnt, sondern auch das Arbeiten hat sich verändert. In den vergangenen Monaten lässt sich eine steigende Eigenverantwortung feststellen, der Trend geht in Richtung Unbossing (d. h. einer Abschaffung von Hierarchien in der Unternehmensstruktur) und es ist eine nachhaltige Akzeptanz auf Seiten der Arbeitgeber für die Arbeit von der eigenen Couch oder vom Café aus zu spüren.
In den Anfangstagen der Pandemie musste die Umschaltung auf das Home-Office schnell erfolgen. Business Continuity stand meist an oberster Stelle, erst dann kam die IT-Sicherheit. Unternehmen hatten keinen betrieblichen Notfallplan erstellt. In der Corona-Krise wurde jedoch sehr deutlich, dass dringend Handlungsbedarf in puncto Cyber Security besteht.
Harte Fakten und bedenkliche Zahlen
Aus einer Umfrage des Bundesverbands IT-Sicherheit e.V. (TeleTrusT) geht hervor, dass nur 65 % der User im Home-Office ihren Rechner durch ein Passwort geschützt haben. Noch weniger von ihnen (61 %) haben ein Virenschutzprogramm installiert, und 12 Prozent der Befragten gab an, keine besonderen Sicherheitsmaßnahmen getroffen zu haben. Dabei setzen über die Hälfte der Befragten (51 %) den Dienstrechner auch für private Zwecke ein. Außerdem werden private Geräte beruflich benutzt, wenn die Kapazitäten über sichere VPN-Zugänge nicht ausreichen – und diese entsprechen in den seltensten Fällen den Sicherheitsanforderungen des Unternehmens.
Die Folge: Günstige Zeiten für Cyberkriminelle. Diese nutzen nicht nur schlecht geschützte Rechner im Home-Office aus, sondern machen sich zudem die Angst und Unsicherheit vieler Menschen bezüglich der aktuellen Entwicklungen zunutze, die die verstärkte Nutzung von Online-Anbietern und Internet-Recherche nach sich zieht. Laut einer Studie von AT&T stellen Ransomware und /oder Malware die größte Gefahr dar (44 %), dicht gefolgt von Phishing oder Hacking (je 39 %).
In der Tat hat die Anzahl der Phishing-Aktivitäten in den letzten Monaten massiv zugenommen: Mehr als 500 000 Nachrichten, 300 000 gefälschte URLs und 200 000 schädliche Dateianhänge wurden im Rahmen von etwa 170 Phishing-Kampagnen verschickt. Die IT-Teams kämpfen mit einem erhöhten Arbeitsvolumen, es mangelt an qualifizierten Fachkräften. Gute Zeiten also für IT-Spezialisten, sich nach einer neuen beruflichen Herausforderung umzusehen.
Abhilfe schaffen durch Awareness, Cyber-Hygiene und IT-Support
Der größte Risikofaktor für Cyberangriffe ist der Mensch. Für Unternehmen ist es deshalb essenziell, ihren Mitarbeiter die Gefahren im virtuellen Raum vor Augen zu führen und sie über sich verändernde Angriffsmuster auf dem Laufenden zu halten. Mit einem Workshop ist es nicht getan, Mitarbeiter müssen langfristig für Datenschutz und -sicherheit sensibilisiert werden. Dazu gehören klare Vorgaben für den Umgang mit privaten Geräten und Netzwerken, aber auch mit internen Dokumenten. Da nicht alle Beschäftigte eines Unternehmens IT-affin sind, sollten auch verständliche Anleitungen (z. B. für das Ver- und Entschlüsseln von E-Mails) erstellt werden.
Wichtig ist es auch, dass Mitarbeiter wissen, wo sie sich bei Bedarf Rat einholen können. Der Zugriff auf eine IT-Hotline oder ein IT Service Desk mit Experten, die rund um die Uhr erreichbar sind, gehört zu einem flexiblen Arbeitsumfeld dazu.
Die Aufgabe der IT-Verantwortlichen ist es, die übliche Cyber-Hygiene aufrecht zu erhalten, d. h. USB-Geräte zu überwachen, veraltete Software zu entfernen, regelmäßige Backups durchzuführen, Netzwerkverkehr auf Auffälligkeiten zu kontrollieren und Guidelines zu setzen, die potenzielle Risiken aufdecken, eingrenzen und abwehren.
Für Unternehmen wäre es jetzt äußerst sinnvoll, in eine Software zu investieren, die den Sicherheitsstatus der Geräte besitzerunabhängig überprüft. IT-Verantwortliche können so infiltrierte Geräte erkennen und die Schwachstellen patchen bzw. die Verbindung des betroffenen Endgeräts für Sicherheitsupdates unterbrechen.
Die Corona-Krise mit der Umstellung auf das Home-Office hat Cyberkriminellen Tür und Tor in zuvor adäquat geschützte Systeme geöffnet. Unternehmen sind gut beraten, umfassende Maßnahmen zur Erhöhung der IT-Sicherheit zu ergreifen und ihre Mitarbeiter kontinuierlich über aktuelle Entwicklungen zu informieren. Damit virtuelle Viren ihnen nicht noch größeren Schaden zufügen als das Coronavirus selbst.
