Für Verbraucher
Für Unternehmen

News 

DsiN-Tipps für’s sichere Arbeiten im Home-Office

Immer mehr Menschen arbeiten bedingt durch die Coronakrise im Home-Office – Das erweitert auch die Angriffsfläche für Cyberangriffe: DsiN gibt Tipps, um IT-Sicherheitsrisiken beim Arbeiten von zu Hause zu minimieren.
Bild: Home-Office-Arbeitsplatz mit digitalen Geräten, DsiN-Tipps zum sicheren Arbeiten von zu Hause im Home-Office
©

Roberto Nickson / Unsplash

Berlin, 17.03.2020 – Mit Ausbreitung des neuartigen Coronavirus in Deutschland rücken die Vorteile des Home-Office ungeplant in den Vordergrund: Das Home-Office bietet für viele Unternehmen große Chancen, birgt aber auch Risiken, die Arbeitgeber bei der Umsetzung eines Remote-Betriebs beachten sollten.  

Während einige Unternehmen hierbei auf bestehende Home-Office-Regelungen und Infrastrukturenzurückgreifen können, müssen andere diese erst etablieren und nun adhoc umsetzen. Das bedeutet für viele Unternehmen auch ein erhöhtes IT-Sicherheitsrisiko. Angriffsflächen bieten zum Beispiel die Unterbrechung und Neustrukturierung der Arbeits- und Kommunikationsprozesse des Bürobetriebs, die verstärkte Nutzung digitaler Kommunikationskanäle, die Verwendung privater Geräte für den Geschäftsbetrieb, und die Nutzung externer Server und Cloud-Dienste.  

DsiN zeigt die wichtigsten Tipps, damit Sie das Arbeiten von zu Hause produktiv nutzen und mögliche Risken vermeiden können.  
 

1) Definieren Sie klare Regelungen für berufliche und private Benutzung digitaler Geräte 

Grundsätzlich empfiehlt es sich, für berufliche und private Zwecke jeweils unterschiedliche Geräte zu verwenden. Das ist nicht nur für die IT-Sicherheit relevant, sondern betrifft auch den Datenschutz, besonders bei der Arbeit mit personenbezogenen Daten.  

Ist eine Trennung von privaten und beruflichen Geräten nicht möglich, ist es ratsam, für Arbeitsangelegenheiten ein separates, abgesichertes und passwortgeschütztes Profil oder einen neuen Benutzer anzulegen. In jedem Fall sollte mit dem Arbeitgeber abgestimmt werden, welche Firmendokumente auf privaten Geräten gespeichert werden dürfen und welche nicht.  

Auch sollte besonders bei beruflicher Verwendung der privaten Internetverbindung im Router unbedingt die Verschlüsselung für das WLAN aktiviert werden. Ohne Verschlüsselung können alle Menschen im Umfeld das WLAN nutzen und im Internet surfen. Für etwaige Schäden haftet der Bereitsteller des WLAN-Netzwerks. Außerdem können Hacker den Zugriff ausnutzen und unter Umständen sehr leicht auf Ihre Daten zugreifen. Es empfiehlt sich dabei, die aktuelle WPA2-Verschlüsselung zu verwenden. Anleitungen hierzu variieren je nach Gerät und können in der Bedienungsanleitung oder auf den Internetseiten des Anbieters recherchiert werden. Die älteren WEP und WAP-Verschlüsselungen können leichter geknackt werden. Sollte Ihr Router nur WEP und WAP-Verschlüsselungen bereitstellen, lohnt sich gegebenenfalls die Anschaffung eines neuen Geräts.  
 

2) Sichere Kommunikation und Verschlüsselung 

Neben Online-Meeting-Tools und Videokonferenzen ist die E-Mail ein zentraler Bestandteil der Kommunikation im Home-Office. Die meisten E-Mail-Provider setzen standartmäßig bereits eine Transportverschlüsselung ein, um den E-Mail-Verkehr zu gewährleisten. Dabei werden alle Daten, die zwischen den Kommunikationspartnern ausgetauscht werden, während des Versands verschlüsselt. 

Gerade bei sensiblen oder persönlichen Inhalten empfiehlt sich zusätzlich der Einsatz einer Ende-zu-Ende-Verschlüsselung. Sender und Empfänger können damit die E-Mail nur dann im Klartext lesen, wenn diese über den notwendigen Schlüssel verfügen. Auch wenn ein Hacker Zugriff auf Ihr E-Mail-Postfach hat, können sensible Daten nicht eingesehen werden. Exemplarische Schritt-für-Schritt-Anleitung für den Einsatz werden mittlerweile von vielen E-Mail-Dienstleistern angeboten, und können die E-Mail-Sicherheit im Home-Office erhöhen.  

Die folgenden Hinweise helfen, die Herausforderungen der sicheren Arbeitskommunikation besser zu meistern: 

  • Stellen Sie ihre Kontaktinformationen im Home-Office bereit: Beim dezentralen Arbeiten ist es wichtig, die Kontaktdaten der Kollegen zu kennen. Betrüger können sich per falscher E-Mail-Adresse oder unbekannter Telefonnummer sonst leichter als ihre Kollegin oder ihr Kollege ausgeben.  
     
  • Wählen Sie den richtigen Kanal für jede Information: Für welche Daten und Informationen ist welcher Kommunikationsweg geeignet? Beachten Sie, dass sie auch in der innerbetrieblichen Kommunikation für den Schutz von Daten Dritter Verantwortung tragen.  
     
  • Geben Sie persönliche Daten nicht ohne Einwilligung weiter: Übertragen Sie personenbezogene Daten nur mit Einwilligung der Betroffenen, das gilt besonders bei der Verwendung privater Geräte. Dazu zählt auch die E-Mail-Adresse eines Kunden. 
     
  • Verschicken Sie sensible Daten nur geschützt: Versehen Sie Dokumente und Daten mit einem Passwortschutz und übermitteln Sie das Passwort separat über einen weiteren Kanal. Hochsensible Daten und Anhänge sollten nur komplett verschlüsselt übertragen werden. Das betrifft neben Finanz- und Kontodaten besonders auch personenbezogene Daten im Sinne der DSGVO.  
     
  • Prüfen Sie E-Mails auf Plausibilität: Viele IT-Angriffe beginnen mit gefälschten E-Mails. Seien Sie deshalb bei jeder eingehenden Nachricht aufmerksam: Erwarten Sie diese? Wer ist der Absender und ist es stimmig? Besonders im Home-Office sollte man bei unbekannten Absendern skeptisch werden.  
     

3) Cyberangriffen vorbeugen 

Ein hohes Maß an Aufmerksamkeit ist ein wirksamer Schutz gegen Betrug. Die folgenden Hinweise helfen Ihnen, im Home-Office-Alltag aufmerksamer zu sein: 

  • Seien Sie neuen Kontaktanfragen gegenüber skeptisch: Vergewissern Sie sich im Zweifel noch einmal über die Vertraulichkeit des neuen Kontakts durch öffentlich zugängliche Informationen. Das gilt auch für vermeintliche Kollegen aus dem Home-Office, die sie unter neuer E-Mail-Adresse oder neuer Rufnummer kontaktieren.  
     
  • Öffnen Sie keine unerwarteten E-Mails und Anhänge: Insbesondere bei der Chef-Masche setzen Angreifer auf die E-Mail – und erzeugen beispielsweise Zeitdruck auf den Empfänger. Wenden Sie sich direkt an Ihren Chef und vergewissern Sie sich lieber zurück, wenn Ihnen etwas nicht geheuer vorkommen sollte! 
     
  • Erkennen Sie Phishing-Angriffe: Die Universität Darmstadt bietet ein Online-Lehrprogramm für Phishing an, mit dem Sie routinierter bei der täglichen Arbeit mit E-Mail und Co und so für Angriffe sensibler werden. 
     
  • Gehen Sie vorsichtig mit allzu guten Angeboten um: Auch in der Geschäftswelt gilt: Seien Sie stets skeptisch gegenüber allzu verlockenden Angeboten oder Offerten. Oftmals verbirgt sich dahinter ein Trick, um schnell an Informationen zu gelangen. 
     
  • Versenden Sie keine Passwörter und Zugangsdaten per E-Mail: Um den Schutz sensibler Konten zu schützen, sollten die Zugänge niemals per E-Mail versendet werden um das Risiko des Ausspionierens von Daten durch Dritte zu minimieren.  
     

4) Phishing und Co.: Cyberangriffe erkennen und handeln 

  • Phishing: zu Deutsch „nach Passwörtern angeln“. Dabei versucht der Angreifer, über gefälschte Webseiten, E-Mails oder Kurznachrichten an Passwörter und Daten eines Internetnutzers zu gelangen. Im Home-Office bietet man ein dafür eine größere Angriffsfläche, da mehr Kommunikation auf digitalem Wege erfolgt. Die Aufforderung zur Weitergabe von Daten sollte immer skeptisch hinterfragt werden. 
     
  • Social Engineering: Beim Social Engineering versuchen Kriminelle ihre Opfer dazu zu verleiten, eigenständig Daten preiszugeben, Schutzmaßnahmen zu umgehen oder selbstständig Schadprogramme auf ihren Systemen zu installieren, oft, in dem sie sich als jemand anderes ausgeben. Sie erhalten Mails von unbekannten Kollegen? Oder erhalten unerwartete Anrufe von einem vermeintlichen IT-Dienstleister Ihres Unternehmens und werden aufgefordert, Passwörter preiszugeben? Werden Sie skeptisch, lassen Sie sich nicht unter Zeitdruck bringen, und kontaktieren Sie Ihre Geschäftsstelle.  
     
  • Malware: Schadsoftware ist nicht immer klar als solche zu erkennen und versteckt sich oft etwa hinter gut gemachten E-Mails, Anhängen, Werbeanzeigen auf Webseiten und in  Messenger-Nachrichten. Den besten Schutz bieten Virenscanner und regelmäßige Sicherheitsupdates. Besonders im E-Mail-Verkehr sollten Anhänge nur nach sorgfältiger Prüfung und von bekannten Kontakten geöffnet werden. Prüfen Sie auch, ob der vorgebliche Dokument-Typ der Datei zutrifft. Bei einer vermeintlichen PDF mit dem Kürzel .exe handelt es sich mit großer Wahrscheinlichkeit um Schadsoftware.  

Die SiBa-App von Deutschland sicher im Netz informiert tagesaktuell über bekannte Sicherheitsvorfälle und Cyber-Angriffe und gibt Tipps und erste Handlungsempfehlungen für Betroffene.  

Deutschland sicher im Netz
Jetzt engagieren und Menschen aufklären
Jetzt bei DsiN mitmachen