Cyberangriffe: Großer Schaden auch durch Homeoffice

Cyberangriffe: Großer Schaden auch durch Homeoffice - Golem Karrierewelt

Von Borris Mayer


Die durch Cyberangriffe entstandenen Kosten sind 2020/2021 stark gestiegen. Begünstigt wurde dies auch durch das Homeoffice.


Die aktuelle weltpolitische Lage offenbart einmal mehr: Diebstahl, Spionage, Sabotage und Erpressungen sind die kriminellen Ziele, die Hacker verfolgen, wenn sie Netzwerke angreifen. Und diese Angriffe vor allem auf Firmen haben stark zugenommen. In einer Studie hat der Brachenverband Bitkom analysiert, dass 2020/2021 innerhalb von 12 Monaten 86% der Unternehmen Angriffen ausgesetzt waren, die zumindest so erfolgreich waren, dass sie Kosten verursachten. Der Gesamtschaden betrug 223 Milliarden Euro, im gleichen Zeitraum in den Jahren 2018/2019 war dieser Gesamtschaden mit 103 Milliarden Euro nicht einmal halb so hoch ausgefallen. Wundern muss sich darüber aber eigentlich niemand, korelliert der Zeitraum der Studie doch mit dem aus IT-Sicherheitssicht sehr überstürzten Umstellung in Sachen Homeoffice für alle - wegen Corona.

 

Um nachzuvollziehen, wie der plötzliche Umzug der Arbeitsstätte aus dem Büro nach Hause derart drastische Auswirkungen haben konnte, muss man zunächst einmal die Angriffsvektoren der Cyberattacken verstehen. Die Bad Actors - es handelt sich ja streng gesehen nicht nur um kriminelle Banden und Hackergruppen, sondern auch um staatliche Hacker und von durchaus einigen Ländern gern gesehene Industriespionage - verschaffen sich Zugriff auf Netzwerke durch Malware, Phishing oder Social Engeneering. Das Ziel dabei ist es, Zugang zu Firmennetzen zu bekommen, um darin dann aktiv werden zu können. Und all diese Wege sind einfacher, wenn Menschen plötzlich nicht mehr mit einigen Kollegen im Büro sitzen, weil sie dann weniger miteinander kommunizieren und gut gemachtes Social Engeneering oft eben erst dann auffällt, wenn man darüber spricht. Dazu kommt, dass nach dem plötzlichen Umzug für viele ja eigentlich alles ungewöhnlich, neu und irgendwie anders war - Unterhaltungen mit Teams oder Zoom statt an den Nachbartisch zu gehen, das Herumfummeln mit Mikrofon, Headset und Webcam, dazu dann noch ein anderer Rechner. Da fiel es oft gar nicht mehr auf, wenn die IT ein kleines Testprogramm per Email schickte und darin zum Ausführen auffordert oder wenn es plötzlich eine weitere Webseite gab, mit einer seltsamen Adresse, bei der die normale Benutzername-Passwort-Kombination funktionieren kann. Und schon ist ein Passwort ausgespäht oder ein Datenlogger installiert.

 

Weiter gefördert wurden diese Problematiken dadurch, dass kaum eine Firma wirklich auf so einen Fall vorbereitet war. Selbst Unternehmen, die vorher eine gewisse Anzahl an Mitarbeitern in der Telearbeit beschäftigten und dazu vielleicht noch über ein paar Springernotebooks verfügten, falls irgendjemand ausnahmsweise mobil arbeiten musste, hatten diese Infrastruktur nicht für alle Mitarbeiter zur Verfügung. Der Vorrat an Computern, Notebooks, Monitoren, Tastaturen, Key-Cards und Kartenlesern war auf vielleicht zehn Prozent der Mitarbeiter ausgelegt, nicht jedoch für alle. Aber selbst wenn das Budget zur Beschaffung von ein paar hundert oder ein paar tausend Technikausstattungen zur Verfügung gestanden hätte, in der Kürze der Zeit war das einfach nicht zu machen. Millionen von Notebooks mit zugehöriger Peripherie sind einfach nicht bis übermorgen zu beschaffen. Und selbst wenn das möglich gewesen wäre, hätte es weitere Probleme gegeben: Irgendwer müsste die viele neue Technik ja auch noch - am besten übers Wochenende - einrichten und dann ausgeben.

 

Dabei standen diese Firmen, in denen es zumindest ansatzweise Home Office-Möglichkeiten gab, noch mit am besten da, schließlich gab es ja auch noch solche, bei denen es nicht einmal Konzepte oder das nötige Fachwissen gab, wie man sowas Modernes wie einen Telearbeitsplatz überhaupt hinbekommt.

 

Dass das Ganze ein ziemliches Problem war, das zeigt an dieser Stelle auch ein Blick auf die Politik: Denn ein Telearbeitsplatz hat gesetzliche Anforderungen, die jenen aus dem Arbeitsrecht für einen Büroarbeitsplatz sehr ähnlich sind. Mobiles arbeiten, also die Sache mit dem Springernotebook ist nur für Arbeiten auf einer Dienstreise und ausdrücklich nur gelegentlich von zu Hause vorgesehen. Und so definiert die  SARS-CoV-2-Arbeitsschutzregel das Bundesministerium für Arbeit und Soziales "Homeoffice als Form mobiler Arbeit" und erlaubt in 2.2 Absatz 3 ausdrücklich "Homeoffice ist eine Form des mobilen Arbeitens. Sie ermöglicht es Beschäftigten, nach vorheriger  Abstimmung  mit dem Arbeitgeber zeitweilig  im  Privatbereich,  zum  Beispiel unter Nutzung tragbarer IT-Systeme (zum Beispiel Notebooks) oder Datenträger, für den Arbeitgeber tätig zu sein", um dann in Absatz 4 die normalen Telearbeitsregeln aufrecht zu erhalten. Mit anderen Worten: Für Homeoffice genügt es, dem Arbeitnehmer einen USB-Stick mit ein paar Daten mitzugeben, es handelt sich dann nicht um Telearbeit.

 

Auch interessant: 

Am Küchentisch erpresst

 

Und so sah das dann auch aus, viele arbeiteten von zu Hause an einem privaten Computer. Da dieser Zustand aber nicht bloß die eine oder andere Woche dauerte, mussten nach und nach auch andere IT-Ressourcen zugreifbar gemacht werden - ohne Datenaustausch geht es eben nicht und ein Turnschuhnetzwerk mit vielen USB-Sticks ist erstens ziemlich langsam und widerspricht auch dem eigentlichen Zweck des Homeoffices, nämlich persönliche Kontakte zu vermeiden.

 

Private Geräte haben aber einen großen Unterschied zu denen, die in Firmen Verwendung finden: Sie sind selbst administriert und unterliegen damit nicht den im Unternehmen gültigen Sicherheitsrichtlinien. Betriebssysteme, Software, Firewall, Malwareschutz, das alles haben die ITler bei privaten Geräten nicht unter Kontrolle. Gleiches gilt für Netzwerkeinstellungen, allerlei Richtlinien und verschlüsselte Dateisysteme, die in Firmen zum Standard gehören, auf privaten Geräten aber eher nicht vorzufinden sind. Seit dem 14. Januar 2020 gibt es für Windows 7 keinen Support und damit auch keine Updates mehr, ein Jahr später, im Januar 2021 liefen in Deutschland noch 18 Prozent der Computer mit Windows 7 - das waren ca. vier Millionen Geräte, von denen sicher einige im Homeoffice zum Einsatz kamen.

 

Genau das ist aber die andere Einfallseite, die es Angreifern ermöglicht, ganz ohne Social Engeneering Zugriff zu bekommen: Computer mit veralteter Software bieten Sicherheitslücken, die sich gegebenenfalls Remote ausnutzen lassen. Ohne Updates werden diese Lücken nie geschlossen und können zuverlässig genutzt werden. Wenn dann solche Rechner im Firmennetz herumhängen und das als legitim hingenommen werden muss, steht zwischen firmenkritischen Systemen sowie geheimen Daten und einem Angreifer nur noch die heimischen Router des Internetzugangs, hinter dem sich der anfällige Rechner verbirgt - und dieser Router hängt vielleicht schon seit fünf oder zehn Jahren an der Wand. Und beim alltäglichen Anblick derart unauffälliger Kästchen kommt kaum jemand von selber auf den Gedanken, dass auch diese Geräte Updates bekommen sollten, zumindest in den ersten paar Jahren, bevor die Hersteller sie als obsolet erklären.

 

Eine große Hilfe wäre es gewesen, die Mitarbeiter vor dem Einsatz zu Hause ordentlich schulen zu können. Denn wachsame Nutzeraugen sind im Kampf gegen Hacker wichtig - und so wäre es schon einmal ein großer Schritt, wenn im Home Office Arbeitende das nötige Wissen vermittelt bekommen und lernen, auf was zu achten ist. Und zum Beispiel erklärt bekommen, wie sie ihr Windows 7 gegen ein aktuelles Windows 10 austauschen können, denn die meisten Windows-7-Geräte reichen auch für die Windows-10- Anforderungen. Und wenn das nicht der Fall sein sollte, wären die davon betroffenen Mitarbeiter wahrscheinlich selbst mit einem Raspi 4 mit Linux als Upgrade für den heimischen Computer ziemlich glücklich zu machen - oder eben auch mit irgendeiner fünf Jahre alten Möhre aus einem Keller.

 

Doch auch für Maßnahmen wie Schulungen zu Sicherheit und Updatemöglichkeiten, zur Beschaffung von Notsystemen, hätte man Zeit gebraucht, die es nicht gab. Schon alleine an diese Möglichkeiten zu denken, dürfte von der zu Beginn der Pandemie ausbrechenden Hektik in vielen Fällen unmöglich gemacht worden sein: Es waren ja schließlich auch Konfigurationsarbeiten und Aufstockungsaktionen notwendig, um überhaupt Resourcen in genügender Leistungsfähigkeit von außen bereitstellen zu können - und deshalb hatte die Explosion der Anzahl der zu Hause Arbeitenden große Auswirkungen auf die Zahl der Cyberangriffe, die so erfolgreich waren, dass sie Kosten verursachten.

Newsletter abonnieren

Melde dich für unseren Newsletter an und erhalte die neuesten Informationen zu Themen rund um deine IT-Karriere.

Alles für deine IT-Karriere

Entdecke unser vielfältiges Angebot für deine persönliche und fachliche Weiterentwicklung in der IT. Fachtrainings, E-Learningkurse oder Coachings zu den wichtigsten IT-Themen und Trends in der Golem Karrierewelt.

Jetzt entdecken!

IT-Weiterbildungen für Unternehmen

Seit Jahren unterstützen wir erfolgreich kleine, mittlere und große Unternehmen bei der Konzeption und Umsetzung von Weiterbildungen für IT-Professionelle. Jetzt über die Angebote für Unternehmen informieren.

Weitere Informationen

IT-Karrieretipps und Services

Ob Jobsuche, Sprachen lernen, IT-Fernstudium oder Gehaltsvergleich: Bei uns findest du alles für deine IT-Karriere. Erkunde unseren Karriere-Ratgeber oder nutze das Karriere-Lexikon zu allen relevanten Themen und Begriffen.

Zum IT-Karriere-Ratgeber