Am Küchentisch erpresst
Von Juliane Gringer
In der Corona-Pandemie wechselten Millionen Menschen in Deutschland den Büroschreibtisch gegen das Zuhause. Aus der Not heraus verlief der Sprung ins Homeoffice an vielen Stellen laienhaft: Oft wurden daheim private Laptops genutzt, die Angestellten arbeiteten am Küchentisch oder mit wackliger Internetverbindung. Und ohne tragfähiges Sicherheitskonzept. Cyberkriminelle muss das ein breites Grinsen ins Gesicht gezaubert haben: Laut dem Institut der Deutschen Wirtschaft sind den deutschen Unternehmen 2020 Schäden in Höhe von 52 Milliarden Euro durch Hackerangriffe auf Homeoffice-Arbeitsplätze entstanden.
Wirtschaftlicher Schaden mehr als verdoppelt
Die Daten stammen aus einer Studie des Digitalverbandes Bitkom: Demnach entstand ein Gesamtschaden von 223 Milliarden Euro, 88 Prozent der Unternehmen waren von Cyberangriffen betroffen. Der wirtschaftliche Schaden durch Hacker-Angriffe in Deutschland hat sich damit mehr als verdoppelt. Fälle von Erpressung, Systemausfällen sowie Betriebsstörungen haben sich mehr als vervierfacht. Besonders stark angestiegen sind Schäden durch Angriffe mit Ransomware: Computersysteme werden mit einer Verschlüsselung lahmgelegt, die Betroffenen um hohe Geldsummen erpresst. Die dadurch entstandenen Schäden sind laut Bitkom-Präsident Achim Berg im Vergleich zu den Vorjahren um mehr als 350 Prozent gestiegen. Er sagt: „Mitarbeiterinnen und Mitarbeiter einfach zum Arbeiten nach Hause zu schicken, genügt nicht. Ihre Geräte müssen gesichert, die Kommunikationskanäle zum Unternehmen geschützt und die Belegschaft für Gefahren sensibilisiert werden. Wer das nicht tut, verhält sich fahrlässig.“
„Schwächster Faktor“: der Mensch
Der „schwächste Faktor“ in der Sicherheitskette ist nach wie vor der Mensch: Die meisten Angreifer versuchen, Beschäftige zu manipulieren und darüber beispielsweise an Passwörter heranzukommen. 41 Prozent der befragten Unternehmen haben solche Versuche erlebt. 27 Prozent der Befragten wurden telefonisch kontaktiert, 24 Prozent per E-Mail – auch dabei spielt das Homeoffice eine Rolle. 59 Prozent der befragten Unternehmen, bei denen Homeoffice möglich ist, haben seit Beginn der Pandemie IT-Sicherheitsvorfälle erlebt, die auf die Arbeit in den privaten Räumen zurückzuführen seien. In 24 Prozent der Unternehmen geschah das sogar häufig. In 52 Prozent der Fälle waren die Angreifer erfolgreich: Sofern ein Angriff mit dem Homeoffice in Verbindung stand, ist daraus in der Hälfte der Fälle auch ein Schaden entstanden.
Vor allem private Geräte bieten Angriffsfläche
Die Corona-Pandemie hat die Arbeitswelt verändert: Auch nach der Krise wollen viele Unternehmen ihren Mitarbeitenden weiterhin Homeoffice ermöglichen. Dr. Stefan Rief, Leiter des Forschungsbereichs Organisationsentwicklung und Arbeitsgestaltung beim Fraunhofer-Institut für Arbeitswirtschaft und Organisation (IAO), erklärt beispielsweise: „70 Prozent der Personalmanager der von uns befragten Unternehmen planen nach der Krise die Möglichkeiten für mobiles Arbeiten zu erweitern.“ Doch gerade wenn es heißt „bring your own device“ und die Kolleginnen und Kollegen mit privaten Geräten berufliche Aufgaben erledigen, gibt es viele Sicherheitslücken. Sie sind in der Regel viel weniger gut abgesichert als die Ausstattung, die von der Unternehmens-IT betreut wird.
Sicherheit von vornherein mitdenken
Hier müssen Arbeitgeber nachbessern und die Sicherheitsstandards auch im Raum außerhalb der Büros deutlich erhöhen und durchsetzen. Und auch die Produkte selbst sollten von Anfang an stärker auf Sicherheit ausgerichtet sein. Bitkom führt in einer Handlungsempfehlung an die Politik unter anderem auf, dass im Bereich der Cybersicherheit ein Paradigmenwechsel erforderlich sei. Sie dürfe kein Add-on der (End-)Produktentwicklung mehr sein, sondern „die Sicherheit von Schlüssel- und Zukunftstechnologien muss im Sinne eines ‚Security by Design-Ansatzes‘ von vornherein mitgedacht und gestärkt werden. Das gilt nicht nur für Hersteller von Softwareprodukten oder digitalen Diensten, sondern auch für Endgeräte.“
Die deutschen Unternehmen investieren bereits mehr in IT-Sicherheit, um gegen diese gestiegene Bedrohung anzukommen – trotzdem sind die Aufwendungen gemessen am gesamten IT-Budget in der Regel noch gering: Nur durchschnittlich 7 Prozent der Mittel wird dafür ausgegeben.