04.10.2022, 14:23 Uhr | Lesezeit: 5 Minuten

Homeoffice klingt nach sicherer, vertrauter Umgebung. Doch auch am heimischen Schreibtisch lauern Gefahren. Und zwar insbesondere für Unternehmen.

Phishing ist besonders gefährlich

Bei den meisten Angriffen handelt es sich um sogenanntes Phishing, was sich aus Englisch „Fishing“ (Angeln) ableitet. „Es geht beispielsweise um Versuche, Nutzer mit gefälschten Nachrichten, Mails oder SMS auf Betrugsseiten zu locken“, erklärt Andy Voß von der „Computer Bild“. Phishing-Attacken sind selbst für erfahrene Anwenderinnen oder sogar Profis nicht immer sofort erkennbar und richteten sich immer öfter auch gegen Firmenmitarbeiter im Homeoffice.

Bei allen technischen Möglichkeiten: Am Ende ist es immer die Userin, die im Mittelpunkt einer Cyberattacke steht. „Phishing ist eine Form des Social Engineering, also ein Angriff auf die Schwachstelle Mensch. Technische Schutzmaßnahmen sind sinnvoll, können solche Angriffe aber nicht verhindern“, sagt Eikenberg.

Keine privaten Computer verwenden

„Mitarbeitende im Homeoffice sind beliebte, weil leichte Opfer. Während der Firmen-Admin im Unternehmen noch eine gewisse Kontrolle über die Arbeitsrechner hat, gibt es das im Homeoffice oft nicht“, sagt Ronald Eikenberg vom „c’t“-Fachmagazin. Besonders verwundbar ist eine Firma, wenn Mitarbeitende für die Büroarbeit im Homeoffice ihren eigenen Rechner nutzen, der eben auch privat im Einsatz ist.

„Fängt sich der Mitarbeitende zu Hause einen Trojaner ein, kann dieser durch die VPN-Verbindung dann im Firmennetz wüten. Schlimmstenfalls legt man also durch einen falschen Klick die ganze Firma lahm“, warnt Eikenberg.

Der IT-Branchenverband Bitkom rät daher, private Rechner im Homeoffice außen vor zu lassen. „Besser ist es, nur Unternehmensgeräte zu nutzen, auf denen dann zum Beispiel die Zugriffsrechte beschränkt werden und die Installation von Software nur Administratoren gestattet ist“, sagt Simran Mann, IT-Sicherheitsexpertin beim Bitkom. Zudem könne so auch sichergestellt werden, dass notwendige Sicherheitsupdates tatsächlich eingespielt werden.

Auch interessant: Das sind die fiesen Tricks der Phishing-Betrüger

Mit Virenscanner den Homeoffice-Rechner schützen

Ist der Heimarbeitsplatz infiziert, ist das nicht unbedingt sofort erkennbar. Ein Ziel der Angreifer ist es ja auch, möglichst lange unentdeckt zu bleiben, erklärt Eikenberg. „Hinweise darauf sind aber beispielsweise Umleitungen von Website-Aufrufen, das Auftauchen von Programmen, die man nicht installiert hat oder ein plötzlicher Anstieg der Auslastung des Systems.“ Skeptisch sollten Nutzer zudem werden, wenn der Virenscanner anschlägt.

Das gilt: Nur mit aktueller Software und nur mit aktivem Virenschutzprogramm arbeiten. Der in Windows 10 und 11 integrierte Defender reiche in vielen Fällen schon aus, sagt Eikenberg. Haupteinfallstor für Cyberkriminelle sei nach wie vor die E-Mail.

„Aber es gab und gibt durchaus Angriffe, bei denen Beschäftigten präparierte USB-Speicher untergejubelt werden, die automatisch Schadsoftware installieren, wenn sie in das Firmen-Notebook gesteckt werden“, sagt Bitkom-Expertin Mann. Hier sei der Aufwand aber natürlich ungleich höher.

Während Mail-Angriffe früher noch relativ einfach zu erkennen waren, etwa durch schlechtes Deutsch im Textblock der Mail, sei das mittlerweile deutlich schwieriger. „Diese Mails sind teilweise sehr professionell und ausführlich recherchiert, bis hin zu E-Mail-Signaturen der vermeintlichen Absender“, warnt Simran Mann. Das macht es natürlich umso schwieriger, sich im Homeoffice vor Angriffen zu schützen.

Im Zweifel besser nachfragen

„Wer sich aktiv über die Tricks der Angreifer informiert, erkennt diese natürlich leichter“, sagt Voß. Keinesfalls sollte man Anhänge in Mails unbekannter Absender einfach nur aus Neugierde öffnen.

Vergleichsweise leicht haben es Cyberkriminelle mit Arbeitenden im Homeoffice auch deshalb, weil die Kommunikation fast ausschließlich digital läuft. „Der persönliche Austausch unter vier Augen bleibt aus. Die Wahrscheinlichkeit ist damit viel höher, dass man auf eine gefälschte Mail hereinfällt, die vermeintlich vom Chef oder Admin stammt“, sagt Eikenberg. Wer unsicher ist, sollte lieber einmal zu viel telefonisch nachfragen, als dubiose Anhänge zu öffnen oder nebulöse Anweisungen auszuführen.

Es kommt aber nicht nur auf die Mitarbeitenden an. Auch die Unternehmen könnten nach Auffassung des IT-Branchenverbandes Bitkom noch deutlich mehr tun, um Firmennetzwerke sicherer zu gestalten. „Cybersicherheit muss Chefsache sein“, meint Simran Mann, IT-Sicherheitsexpertin beim Bitkom. „Unternehmen müssen erkennen, dass der Schutz der IT als zentraler Infrastruktur auch Geld kostet.“

Als Richtwert empfiehlt das Bundesamt für Sicherheit in der Informationstechnologie (BSI) empfiehlt Unternehmen in seinem Lagebild zur IT-Sicherheit, 20 Prozent der IT-Ausgaben für Cyber- und Informationssicherheit zu verwenden. Aber nur 16 Prozent der Unternehmen hätten mit einer Erhöhung des Budgets für Informationssicherheit auf die Corona-Krise reagiert.

Mehr zum Thema

Perfide unterwegs Emotet-Trojaner meldet sich zurück – noch gefährlicher als zuvor

Quiz von Google Können Sie seriöse E-Mails von Phishing unterscheiden?

Wie Sie sich schützen Neuer Banking-Trojaner „Emotet“ attackiert Rechner

Angriffe auch per Telefon

Aber auch per Telefon versuchen Kriminelle nach wie vor, sich Zugang zu Rechnern zu verschaffen. Hier ist auch von Vishing die Rede, einer Wortschöpfung aus „Voice“ (Stimme) und „Phishing“.

Ein Klassiker: Betrüger geben sich am Telefon als Mitarbeitende des Microsoft-Supports aus und schaffen es so immer wieder, Menschen dazu zu bringen, Software zur Fernwartung zu installieren. Dann haben sie die volle Kontrolle über den Rechner und Zugang zu allen Daten.

Andy Voß rät, bei solchen Anrufen direkt aufzulegen. Weder Microsoft noch andere seriöse Unternehmen rufen jemals ungefragt an oder schicken einfach E-Mails, in denen persönliche Daten abgefragt werden. Mit der beste Schutz gegen Cyberattacken und Social Engineering: der gesunde Menschenverstand und Skepsis.