Wird Telearbeit zu einem zusätzlichen Mittel für Phishing-Angriffe?
Während die Mehrheit der Mitarbeiter aus vielen Gründen die Telearbeit als positive Erfahrung empfindet, fürchten die meisten IT-Verantwortlichen Cyberangriffe, die ihr Unternehmen bedrohen. Denn Telearbeit bedeutet, dass die Nutzer in einer IT-Umgebung arbeiten, deren Sicherheitsniveau (sofern überhaupt vorhanden!) von ihren Teams nicht kontrolliert werden kann. Das ist zu Recht besorgniserregend. Umso mehr, als die Gewährleistung der Sicherheit des Informationssystems nach wie vor eine der wesentlichen Aufgaben des IT-Verantwortlichen ist.
Wir wissen, dass eine schlecht „abgegrenzte“ Umsetzung der Telearbeit eine echte Chance für Cyberkriminelle darstellen kann. Laut CESINist Phishing der wichtigste Vektor für Cyberangriffe. Die jüngste COVID-19-Krise hat gezeigt, dass die Zahl der Phishing-Angriffe in dieser Zeit exponentiell gestiegen ist. Skrupellose Cyberkriminelle haben diese „Gelegenheit” genutzt, um Sicherheitslücken und menschliches Versagen auszunutzen.
Ein Anstieg von 667 % bei Phishing-E-Mails
Der Sicherheitssoftwarehersteller Barracuda Networks verzeichnete im März
„einen Anstieg von 667 % … bei gezielten Phishing-E-Mails
, die das Thema Covid-19 ausnutzen, um die Ängste der Nutzer auszunutzen”.
(Quelle:Le Monde Informatique)
Diese Phishing-E-Mails sind voller betrügerischer Anhänge oder Links. Wenn der Benutzer darauf klickt, selbst wenn es unbeabsichtigt geschieht, dringt eine Schadsoftware (Ransomware,Trojaner) in das Informationssystem der Organisation ein. Diese „Ransomware“ kann auch vertrauliche Daten stehlen, wie zum Beispiel:
- Ihr Passwort;
- Ihre Zugangsdaten;
- Ihre Kontaktdaten;
- vertrauliche Daten…
Cyberkriminelle können auch ungewöhnliche Geldforderungen stellen. Ein Beispiel hierfür ist diegezielte Phishing-Technik „CEO-Betrug“, bei derdie Identität einer vertrauenswürdigen Person (Kollege, Vorgesetzter usw.) missbraucht wird oder sich der Betrüger als „zuverlässige“ Quelle (Lieferant, Behörde, Bank usw.) ausgibt.
Beispielsweise in:
- Ihnen eine Rückerstattung der zu viel gezahlten Beträge anbietet;
- Sie werden auf ein angebliches „technisches Sicherheitsproblem“ hingewiesen.
- mit der Bitte um eine „Aktualisierung Ihrer Kontaktdaten“.
Wie vermeidet man Phishing-Fallen bei der Telearbeit?
Durch die richtigen Reflexe zur Abwehr von Phishing-Fallen kann Telearbeit jedoch ohne Risiko eingeführt werden. Dazu muss der Nutzer mehrere Grundsätze beachten, die jedem versierten IT-Verantwortlichen bekannt sind:
- Trennen Sie berufliche und private Nutzung, insbesondere berufliche und private E-Mails.
- Seien Sie vorsichtig bei überraschenden, unerwarteten, beunruhigenden oder dringenden E-Mails...
- Verlassen Sie sich nicht ausschließlich auf die E-Mail-Adresse des Absenders: Wenden Sie sich im Zweifelsfall persönlich per Telefon an den betreffenden Absender.
- Klicken Sie nicht auf die Links in solchen E-Mails.
- Öffnen Sie keine Anhänge, ohne zuvor mündlich mit dem Absender zu überprüfen, ob es sich um vertrauenswürdige Dateien handelt.
- Überprüfen Sie die URL der Links, indem Sie mit der Maus darüber fahren, ohne jedoch darauf zu klicken.
- Neugierig bleiben, indem man eigene Nachforschungen anstellt;
- Geben Sie niemals Daten an, die ein Absender vom Benutzer nicht verlangen sollte.
- Ändern Sie die Passwörter für E-Mail-Konten (und andere Konten), sobald Sie den Verdacht haben, dass diese gehackt wurden.
- Verwenden Sie für jedes Konto ein anderes Passwort.
- Verbinden Sie sich nicht mit einem öffentlichen WLAN-Netzwerk, das selten sicher ist.
- Verwenden Sie ein sicheres WLAN-Netzwerk.
- Machen Sie im Homeoffice nichts, was Sie im Büro auch nicht tun würden.
Sichere Telearbeit für IT-Verantwortliche
Legen Sie eine IT-Sicherheitsrichtlinie fest und verbreiten Sie diese, die folgende Empfehlungen zum E-Mail-Management enthält:
- Verbieten Sie den Versand von geschäftlichen E-Mails über private E-Mail-Konten und umgekehrt.
- Sensibilisieren Sie Ihre Nutzer für Cybersicherheit, insbesondere für bewährte Praktiken bei der Nutzung ihrer E-Mail-Konten. Technische Schutzmaßnahmen allein sind niemals zu 100 % wirksam, wenn die Nutzer nicht die richtigen Reflexe in Bezug auf Cybersicherheit entwickeln.
Avant De Cliquerist Mitglied derCPME, einem Verband kleiner und mittlerer Unternehmen aller Branchen: Industrie, Dienstleistungen, Handel, Handwerk und freie Berufe, sowie Mitglied desMEDEF, dem führenden Netzwerk von Unternehmern in Frankreich.
- Geben Sie die notwendigen Informationen an, damit der Benutzer bei Fragen oder Zweifeln einen Mitarbeiter der IT-Abteilung kontaktieren kann, sowie eine Telefonnummer für Notfälle.
- Seien Sie stets auf Cyberangriffe vorbereitet und stärken Sie Ihre Cyber-Resilienz.
