Home Office – 526 Hackern gefällt das

In einem Unternehmen stehen normalerweise alle Systeme und die gesamte IT-Infrastruktur unter der Kontrolle der firmeneigenen EDV-Abteilung. Der kontrollierte und sichere Betrieb der Firmen-EDV basiert auf Konzepten, die auf die vorhandene IT-Architektur abgestimmt sind. Eine plötzliche und unvorbereitete Einbindung von Geräten für die Arbeit im Home-Office, oft unter Einsatz von privaten Computern der Mitarbeiter, stellt eine gravierende Änderung dieser Architektur dar und erfordert somit eine adäquate Anpassung der IT-Sicherheitskonzepte. Die dafür nötige Zeit steht allerdings der raschen Aufnahme des Home-Office Betriebs entgegen. Sowohl die Ausarbeitung der Konzepte, als auch das Tätigen eventuell nötiger Beschaffungen und Konfigurationen von zusätzlichen EDV-Komponenten, würden den Start der Büroarbeit von Zuhause stark verzögern. Oft existieren auch die für eine derartige Einbindung nötigen Kompetenzen nicht. Dies ist insbesondere bei kleineren Unternehmen ohne große IT-Abteilungen mit entsprechend spezialisierten Mitarbeitern der Fall.

Resultat dieser ad-hoc Einrichtungen ist eine verringerte IT-Sicherheit. Private PCs werden über VPN zu einem Teil des Firmennetzwerkes und bilden Einfallstore für Schadsoftware. Besprechungen werden über Videokonferenztools abgehalten, deren Sicherheitslücken den Weg auch in die Medien gefunden haben. Die nötige Awareness, das Bewusstsein, dass IT-Sicherheit bei der Nutzung von Computersystemen mitgedacht werden muss, fehlt aktuell noch. Zeugnis dafür legt ein Post eines europäischen Regierungschefs ab, in dem er Daten einer Videokonferenz, ohne bösen Vorsatz, aber doch gut lesbar, verbreitet. Die Verlagerung der Kommunikation zwischen Führungskräften und Mitarbeitern auf elektronische Kanäle wird für kriminelle Zwecke ausgenutzt. Im Folgenden werden einige aktuelle Probleme in diesen Bereichen etwas genauer beleuchtet.

Ein aktuelles Phänomen ist unter dem Namen „Zoom Bombing“ bekannt. Damit wird das unerwünschte Eindringen eines fremden Teilnehmers in eine Videokonferenz, oft in Verbindung mit pornografischen Zurschaustellungen, bezeichnet.  Wiederholte Zwischenfälle dieser Art wurden von der Herstellerfirma der betroffenen Videokonferenzsoftware zum Anlass genommen, in einem Blogeintrag Tipps für die sichere Benutzung ihres Produktes zu geben.[1] Ein Aspekt, der von diesem Blogeintrag nicht erfasst wird, ist das Thema Datensicherheit. Online-Meetings transferieren schützenswerte Daten, seien es Firmengeheimnisse oder schlicht das Bild eines Gesichtes. Ist das Sicherstellen der Vertraulichkeit während eines persönlichen Gespräches relativ einfach herzustellen, ist die Situation im virtuellen Raum komplexer. Das Mittel der Wahl heißt hier Verschlüsselung – doch es ist nicht alles Gold was glänzt.

Die Kommunikation im Internet erfolgt über sogenannte Knoten. Zwei Knoten sind immer beteiligt, der Startknoten und der Endknoten. Sie stellen den Sender und den Empfänger einer Nachricht dar. Zwischen diesen beiden Knoten gibt es sogenannte Zwischenknoten. Sie leiten Daten weiter, verarbeiten sie, oder speichern sie.

Wird bei einer sogenannten „Ende-zu-Ende-Verschlüsselung“ die Kommunikation auf dem ganzen Weg vom Sender zum Empfänger verschlüsselt und ist somit auch für Zwischenknoten nicht lesbar, schützt eine Transportverschlüsselung die Nachrichten nur auf den Wegen zwischen den beteiligten Knoten, nicht aber auf den Knoten selbst. Dabei sind die übermittelten Daten auf Zwischenknoten unverschlüsselt lesbar. Eben diese Transportverschlüsselung findet bei Zoom-Meetings Verwendung. Auf den Servern liegen somit Daten unverschlüsselt vor. Auch andere führende Videomeetingsysteme nutzen diese Art der Verschlüsselung. Das Betreiben einer eigenen Onlinemeeting-Infrastruktur würde hier Abhilfe schaffen, ist jedoch für die meisten Unternehmen nicht praktikabel. Andere Anbieter derartiger Software bieten einen besseren Schutz der Daten, passen aber eventuell nicht in die bestehende IT-Landschaft. Eine entsprechende Risikoanalyse und darauf aufbauend das Setzen entsprechender Maßnahmen ist unerlässlich.

Die erhöhte räumliche Distanz zwischen Mitarbeitern eines Unternehmens begünstigt ebenso „CEO Fraud“. Mit dieser Methode versuchen Cyberkriminelle durch Vorspiegelung eines Überweisungsauftrages einer Führungskraft, Mitarbeiter zur Überweisung hoher Summen zu bewegen. Unklare Freigabeprozesse im Zuge der Umstellung auf Home-Office, und eben die große Distanz zwischen der ausführenden Person und der Führungskraft für die sich die Kriminellen ausgeben, erhöhen hier das Risiko. Die Methode selbst ist nicht neu und auch schon vor Corona mit Erfolg angewendet worden, wie die umfangreiche Berichterstattung über den Fall des österreichischen Unternehmens FACC dokumentiert.

„Ransomware“, auch bekannt unter dem Namen „Verschlüsselungstrojaner“, stellen eine weitere Cyberbedrohung dar, die IT-Administratoren seit einiger Zeit beschäftigen. Durch das vermehrte Arbeiten von Zuhause erhält diese IT-Bedrohung eine zusätzliche Dynamik. Home-Office-Tätigkeiten werden oft auf privaten, nicht gewarteten Computern durchgeführt. Werden diese nicht korrekt und sicher mit dem Unternehmensnetzwerk verbunden, stellen sie ein Einfallstor für Schadsoftware, und damit auch für Ransomware dar. Werden Daten von diesen Schadprogrammen verschlüsselt, hilft meist nur mehr die Zahlung der verlangten Summe, um die Daten wieder nutzbar zu machen. Eine Garantie, dass nach Zahlung die Daten wiederhergestellt werden können, gibt es freilich nicht. Das Geschäftsmodell dahinter ist sehr profitabel und bringt zweistellige Milliardenbeträge in die Kassen der Kriminellen. Entsprechend professionell ist die Abwicklung. Die Schadsoftware wird von professionellen Softwareentwicklern programmiert und Servicecenter kümmern sich um die „Kundenbetreuung“ der Opfer. Auch die geforderte Summe ist – insbesondere bei größeren Organisationen – auf den konkreten Fall zugeschnitten, um den Erlös zu maximieren. Schließlich fließt nur dann Geld in die Kassen, wenn das Opfer die geforderte Summe auch aufbringen kann.

Neben der erhöhten Aufmerksamkeit beim Surfen im Internet und beim Öffnen von Emails und Emailanhängen, ist eine aktuelle Antivirensoftware die Basis für die Abwehr solcher Angriffe. Für den privaten Gebrauch sind viele Antivirenprogramme kostenfrei verfügbar. Auch der integrierte Virenschutz des meistverbreitenten Betriebssystems Microsoft Windows, ist in der aktuellen Version deutlich besser als sein in der Vergangenheit durchaus verdienter Ruf.

Die Aktualität des Systems ist ein weiterer wichtiger Aspekt bei der Erhöhung der IT-Sicherheit. Sicherheitslücken in Betriebssystemen werden laufend behoben und die entsprechenden Patches den Nutzern zur Verfügung gestellt. Damit diese Updates auch zeitnah installiert werden, ist es empfehlenswert, automatische Updates zu aktivieren. Da „Patches“ nur für Software innerhalb der Wartungsdauer zur Verfügung gestellt werden, ist es unerlässlich aktuelle Softwareversionen einzusetzen. Zahlen von Net Marketshare bescheinigen Windows 7 im März 2020 trotz des Wartungsendes im Jänner, einen Marktanteil von noch immer über 25%. Wird eine ausnutzbare Sicherheitslücke von Hackern entdeckt, ist es keine Frage, ob diese Sicherheitslücke für Angriffe verwendet wird, sondern wann dies geschieht. Dieses „wann“ kann durch hochautomatisierte Angriffsmethoden auch die Ausprägung von wenigen Stunden annehmen. Wichtig ist also, dass Sicherheitslücken von den Softwareherstellern geschlossen werden, idealerweise bevor diese für Angriffe genutzt werden können. Bei Software, die keine Updates mehr erhält, wird dies jedenfalls nicht der Fall sein.

Ganz zentral ist, wie in allen Bereichen des Lebens, der gesunde Menschenverstand. Cyberkriminelle nutzen die Verunsicherung und die längeren Kommunikationswege, um mit gefälschten Emails Mitarbeiter zu schädlichem Handeln zu motivieren, Downloads durchzuführen, Software zu installieren, oder Zugriffsberechtigungen zu erteilen. Die intensivere Nutzung von Emails als Kommunikationsweg einerseits, und die physische Distanz andererseits begünstigt die Verbreitung von Schadsoftware durch unvorsichtiges Handeln. Das Anklicken eines Links oder das Öffnen eines Emailanhangs kann ausreichen, um einem Virus den Weg in das eigene System zu eröffnen. Dies ist insbesondere im Home-Office problematisch, da am privaten PC oft mit Usern mit Administratorrechten gearbeitet wird. Um hier entgegenzuwirken empfiehlt es sich, ein eingeschränktes Konto anzulegen und mit diesem zu arbeiten.

Seitens der Unternehmen gibt es diverse Möglichkeiten, die Sicherheit im Home-Office zu erhöhen. Der Einsatz von entsprechenden Remote Access Tools statt der Einbindung der Mitarbeiter-PCs in das eigene Netzwerk ist zwar kostspieliger, aber auch wesentlich sicherer. Mitarbeiter können sich so von außerhalb des eigenen Netzes unter Wahrung von Sicherheitsregeln einloggen und auf virtuellen Clients arbeiten. Da das private Endgerät damit nicht direkt eingebunden ist, verringert sich die Angriffsfläche, wenn sie auch nicht völlig verschwindet. Spionagesoftware wie beispielsweise Keylogger, können auch bei dieser Art des Fernzugriffes ihren Undienst verrichten.

Zusammenfassend kann gesagt werden, dass eine umfangreiche Aufklärung über Bedrohungen und Maßnahmen für das Gelingen und insbesondere für das postcoronale Weiterbestehen von Home-Office Möglichkeiten, wichtig ist. Dieser Aufgabe hat sich beispielsweise das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) angenommen und entsprechende Leitfäden veröffentlicht^[2].

[1] https://blog.zoom.us/wordpress/2020/03/20/keep-uninvited-guests-out-of-your-zoom-event/

[2] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/empfehlung_home_office.pdf
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Kompendium-Videokonferenzsysteme.pdf