Cyberkriminelle nutzen die Ausnahmesituation der Coronakrise aus, um Nutzern eine Schadsoftware unterzujubeln oder an unternehmensinterne Daten zu gelangen. Auch das Homeoffice birgt ungeahnte IT-Gefahren. Wir haben für Sie einen Sicherheitsleitfaden zusammengestellt, in dem wir gängige Risiken und Maßnahmen zur eigenen als auch unternehmerischen Sicherheit aufzeigen:
1. Einsatz von privaten Computern und Laptops
Risiko: Keine oder einfache Passwörter für Computer oder Zugriff auf das Unternehmensnetzwerk
Maßnahme: Verwenden Sie nicht nur im Unternehmen, sondern auch für private Anwendungen und Geräte immer sichere Passwörter (mind. 8 Zeichen aus Zahlen, Buchstaben und Sonderzeichen). Wenn Ihnen selbst kein geeignetes Kennwort einfällt, können Sie sich bei einem Passwort-Generator inspirieren lassen.
Zum Beispiel: https://www.dashlane.com/de/features/password-generator
Risiko: Veraltetes Betriebssystem und Antivirensoftware
Maßnahme: Weisen Sie Ihre Mitarbeiter darauf hin, dass für die Heimarbeit eine aktuelle Betriebssystemversion wie Windows 10 oder macOS Catalina notwendig ist. Achtung: Windows 7 oder ältere macOS Versionen sind nicht mehr sicher!
Empfehlenswert ist auch eine aktuelle, professionelle Antivirensoftware, wie zum Beispiel Bitdefender Gravity Zone.
Risiko: Benutzung durch mehrere Personen innerhalb des Haushalts
Maßnahme: Sämtliche Computer-Betriebssysteme unterstützen verschiedene Benutzerprofile. Wir empfehlen Ihnen ein Benutzerprofil speziell für die Telearbeit einzurichten.
Hier finden Sie eine einfache Anleitung für die Erstellung eines neuen Benutzerprofils: https://www.heise.de/tipps-tricks/Windows-10-Neuen-Benutzer-anlegen-4058638.html
2. Zugriff auf das Firmennetzwerk
Risiko: Direkter, externer Zugriff ohne gesicherten VPN-Tunnel
Maßnahme: Verwenden Sie einen gesicherten VPN-Tunnel! Dieser verbindet den Heimarbeitsplatz mit dem Firmennetzwerk. Vorteile: Daten werden verschlüsselt übertragen und es werden keine zusätzlichen Tore für Angreifer geöffnet. VPN-Tunnel werden von allen modernen Firewalls, aber auch Windows-Servern und NAS-Systemen unterstützt.
Risiko: Aufweichung der Zugriffsberechtigungen
Maßnahme: Durch die Umstellung auf Homeoffice vieler Mitarbeiter kann es im Eifer des Gefechts schnell passieren, dass Zugriffsrechte auf eigentlich geschützte Bereiche erteilt wurden. Geben Sie Acht! Wir empfehlen zum Schutz vor Datendiebstahl und Ransomware (Verschlüsselungs-Trojaner) den Zugriff auf die Daten so restriktiv wie möglich einzurichten.
Risiko: Unverschlüsselte Übertragung von Daten zum Firmenserver
Maßnahme: Zum Schutz Ihrer unternehmensrelevanten Daten soll jegliche Datenübertragung mittels verschlüsselten Zugriffes stattfindet. Dies wird grundsätzlich von jeder Software und jedem Service angeboten, oft aber nicht verwendet. Die Einrichtung erscheint vielen kompliziert – ist sie aber nicht, insbesondere mit unserer Hilfe. Wir unterstützen Sie gerne bei der Installation eines Sicherheitszertifikats.
3. Phishing Angriffe
Phishing Angriffe sind Versuche über gefälschte Homepages, E-Mails oder Nachrichten an persönliche Daten eines Internet-Benutzers zu gelangen und damit Identitätsdiebstahl zu begehen.
Risiko: E-Mails von angeblich offiziellen Stellen oder der WHO, die zur Angabe von Daten auffordern
Risiko: E-Mails von vermeintlich unternehmensinternen Stellen („Passwort zurücksetzen“, etc.)
Maßnahme: Neben einer vernünftigen E-Mail-Security und Sicherheitsmaßnahmen, wie Zwei-Faktor-Authentifizierung (2FA, Token System), hilft hier nur die Aufklärung und Sensibilisierung Ihrer Mitarbeiter.
Unsere Empfehlung: Im Zweifelsfall sollte man fragwürdige E-Mails zur Überprüfung an die IT-Abteilung weiterleiten. Gerne können Sie auch uns kontaktieren.
4. Social Engineering
Social Engineering bedeutet, Personen durch zwischenmenschliche Beeinflussung zu bestimmten Verhaltensweisen zu verführen. Zum Beispiel: Weitergabe von vertraulichen Informationen, Kauf eines Produktes oder zur Freigabe von Finanzmitteln.
Risiko: Anrufe von falschen IT-Kundendiensten (z.B. Microsoft) mit der Bitte, auf das PC-System zuzugreifen
Risiko: Vorgetäuschte Nachrichten der Unternehmensführung (z.B. Erbeten einer Überweisung)
Maßnahme: Auch hier gelten die Grundregeln: Aufklärung und Sensibilisierung der Mitarbeiter. Zusätzlich empfehlen wir Ihnen Prozesse (z.B. Bestätigung via Telefon, Vier-Augen-Prinzip) einzuführen, um etwaigen Betrug zu verhindern.
Unser Service für Ihre Sicherheit
Bitte seien Sie vorsichtig und unterschätzen Sie nicht die Raffinesse der (Online-)Betrüger. Wir sind gerne für Sie da – egal ob Fragen zur IT-Sicherheit oder die Hilfe bei der Umsetzung unserer Maßnahmenempfehlungen.
Schreiben Sie einfach eine E-Mail an it@rkp.at oder wenden Sie sich telefonisch an unsere IT-Support Hotline: 03332/6005-123.
