Drucken


In Zeiten von Corona und Home-Office: Attivo Networks gibt 12 Tipps zur Cyberhygiene


Fremont/Kalifornien, 25. März 2020

Aufgrund der aktuellen Lage ermöglichen viele Unternehmen ihren Mitarbeitern, von zu Hause aus zu arbeiten. Um ihre Aufgaben im Home-Office weiterhin zu erledigen, greifen Mitarbeiter entweder über Remote-Desktop- oder VPN-Lösungen auf das Unternehmens-Netzwerk zu. Da außerhalb gut geschützter Firmen-Netzwerke gearbeitet wird, und Unternehmen die Sicherheits-Situation jedes Mitarbeiters nicht überprüfen können, sind viele Unternehmens-Informationen in Heimnetzwerken potenziell einem hohen Sicherheitsrisiko ausgesetzt.  

Im Folgenden hat Attivo Networks 12 Tipps zusammen gestellt, mit denen sich Mitarbeiter bei der Arbeit im Home Office vor Cybergefahren schützen können:

1. Software aktuell halten: Oft genutzte Programme wie Acrobat Reader sollten auf die neueste Version aktualisiert werden, und man sollte sich vergewissern, dass alle aktuellen Sicherheits-Patches und Hotfixes für das Betriebssystem eingespielt wurden. Zudem ist es wichtig, Browser-Plugins sowie mobile Anwendungen zu überprüfen, um sicherzustellen, dass diese alle auf dem neuesten Stand sind. Zudem sollte eine Antivirus-Lösung auf dem Rechner und auf Mobilgeräten installiert sein und die Datenbanken der Lösung sollten mindestens einmal pro Tag aktualisiert werden. Eine Firewall oder ein Host Intrusion Prevention-System verbessern die Sicherheit zusätzlich.

2. Bewusstsein für Phishing-Mails schärfen: Dies gilt unabhängig davon, ob im Büro oder im Home-Office gearbeitet wird. Man sollte immer genau überlegen, auf was man klickt. Egal, ob es sich dabei um eine Website, einen Dateianhang oder eine E-Mail eines unbekannten Absenders handelt – man sollte nur auf Dinge aus einer vertrauenswürdigen Quelle klicken. Im Zweifelswall kann man den Mauszeiger über den Link bewegen, um sich den Link in der Vorschau komplett anzeigen zu lassen. Noch wichtiger: Man sollte sich die Absender-Adresse genau ansehen. Handelt es sich um eine dubiose Adresse, dann sollte man lieber die Finger davon lassen. Bevor Dateianhänge geöffnet werden, sollte man sie grundsätzlich von der installierten Antivirus-Lösung scannen lassen.

3. Passwörter aktualisieren: Angreifer verfügen über ein ganzes Arsenal an Tools, um ein System zu kompromittieren. Oft versuchen sie per gestohlenen Anmeldedaten (Credential Stuffing) in das Unternehmens-Netzwerk einzubrechen. Unternehmen sollten ihren Mitarbeitern daher grundsätzlich die Verwendung starker Passwörter vorschreiben. Starke Passwörter beinhalten Sonderzeichen, Zahlen, kleine und große Buchstaben und sind in der Regel mehr als 10 Zeichen lang. Je länger und komplizierter ein Passwort ist, desto schwieriger ist es zu knacken. Auch sollte nicht ein und dasselbe Passwort für mehrere Zugangspunkte verwendet werden. Passwörter auf Zettel zu notieren, ist ein absolutes No-Go. Abhilfe schafft auch ein Passwortmanager. Mit ihm können mehrere Passwörter in einem Container gespeichert werden.

4. Einrichten von Zwei-Faktor-Authentifizierung: Viele Anbieter schützen ihre Anwendungen inzwischen über Authentifizierungs-Mechanismen. Bei der häufigsten Methode, der so genannten Zwei-Faktor-Authentifizierung, kommt ein mehrstufiger Anmeldeprozess zum Einsatz. Sobald Benutzername und Passwort erfolgreich eingegeben wurden, verlangt das Programm nach einen Zahlen-Code. Dieser wird vom Anbieter per SMS an ein zuvor registriertes Gerät oder an eine E-Mail-Adresse versendet. Nur nach korrekter Eingabe dieses Zahlen-Codes gelangt man in das Programm. Der Vorteil dieser Methode: Ein Hacker muss zum Beispiel erst physisch über das entsprechende Mobiltelefon verfügen, um an den SMS-Code zu gelangen oder ebenfalls über die E-Mail-Login-Daten. Die Zwei-Faktor-Authentifizierung lässt sich bei vielen Programmen im Menü 'Sicherheit' einstellen und konfigurieren.

5. Absichern des Routers: Neben einer sicheren WLAN-Verbindung sollten alle am Heimnetz angeschlossenen Geräte wie drahtlose Drucker oder andere IoT-Geräte überprüft werden. Zudem sollten sichere Passwörter für die Router gewählt werden. Außerdem sollte die Firmware des Gerätes regelmäßig aktualisiert werden. Bei vielen Produkten geschieht dies automatisch.

6. Sicherheit mobiler Geräte: Oft wird die Sicherheit mobiler Geräte vernachlässigt, insbesondere, wenn sie für geschäftliche Zwecke wie Firmen-E-Mails oder Code-Generatoren für den VPN-Zugang verwendet werden. Viele Mobiltelefone bieten inzwischen komplexe Entsperrmuster oder biometrische Methoden an. Im Google Play Store oder im App Store können seriöse Virenschutz-Lösungen heruntergeladen und installiert werden. Zusätzlich kann die Firmen-IT ein Gerät verschlüsseln.

7. Ransomware kann jeden treffen: Auch Privatpersonen können Ziel von erpresserischer Software werden. Da Cyberkriminelle immer leichter an entsprechende Malware-Kits gelangen, weiten sie ihre Angriffe auf alle möglichen Vektoren aus. Und sie wissen: Bei Einzelpersonen ist die Wahrscheinlichkeit sehr hoch, dass das Lösegeld zur Entsperrung des Computers aus Verzweiflung oder Scham gezahlt wird.  

8. Achtsamkeit bei der Verwendung von VPN-Zugängen: Die Verwendung eines Virtual Private Networks (VPN) ist für den Austausch privilegierter Daten unerlässlich. Es gibt mehrere kostenlose oder kostengünstige Angebote für den persönlichen Gebrauch, und oft stellen Unternehmen diese für ihre Mitarbeiter zur Verfügung. Die Verwendung eines Unternehmens-VPNs schützt Ihr Unternehmen jedoch nicht vollständig. Anders als in einem Büro bieten VPNs den Benutzern vollen Zugang zu Unternehmensnetzwerken, ohne viele der Beschränkungen oder Sicherheitskontrollen, die normalerweise vorhanden wären.

9. Regelmäßige Sicherheitskopien: Gerade bei der Verwendung von Remote-Rechnern sollte innerhalb eines Unternehmens genau geprüft werden, inwiefern die Daten von Mitarbeitern regelmäßig gespiegelt beziehungsweise Time-Snaps erstellt werden. Für Selbstständige oder kleine Unternehmen gibt es inzwischen eine große Auswahl an zuverlässigen und schlanken Backup-Programmen. Grundsätzlich sollten vertrauliche Informationen sorgfältig behandelt und nicht an unautorisierten Orten wie auf USB-Sticks gespeichert werden.

10. Festplattenverschlüsselung: Mit Programmen wie Bitlocker von Microsoft können komplette Festplatten verschlüsselt werden. Dadurch wird verhindert, dass jemand schnell auf sensible Dateien auf einem Computer zugreifen kann, wenn dieser verloren geht oder gestohlen wird.

11. Datenschutz beachten: Bei kostenlosen Tools, die den Mitarbeitern zur Verfügung gestellt werden, können Probleme mit dem Datenschutz auftreten. Einige Anwendungen enthalten Standard-Datenschutz-Einstellungen, die es ermöglichen, Daten weiterzugeben. Andere wiederum enthalten gesonderte Klauseln. Ebenfalls überprüfenswert sind Cookie-Richtlinien besuchter Websites.

12. Support-Telefonnummer sofort zur Hand: Das klingt banal, aber im Zweifelsfall zählen Sekunden. Mitarbeiter sollten dazu angehalten werden, sich wichtige Telefonnummern für den technischen Support zu notieren. Dies gilt auch für wichtige Kontakte, falls der Computer durch einen Angriff oder einen technischen Defekt funktionsuntüchtig ist.