Daniel Stregl, Geschäftsführer der redPuls IT & Security Solutions GmbH, im Gespräch mit Reinigung aktuell.
Text: Hansjörg Preims
Reinigung aktuell: Zunächst generell zur Cyberkriminalität in Österreich – laut Innenministerium gab es im Jahr 2010 noch weniger als 5.000 gemeldete Fälle, 2019 waren es schon fast 28.500 bzw. rund 78 Anzeigen pro Tag. Wie ist dieser steile Anstieg, diese mehr als Verfünffachung zu erklären?
Stregl: Ich bin überzeugt, dass diese Kurve im Jahr 2020 noch um einiges gestiegen ist bzw. dass man sich in dem Jahr noch viel mehr mit kriminellen Machenschaften innerhalb des Netzes beschäftigt hat, zumal man in dem „Corona“-Jahr 2020, da vieles geschlossen war, mit herkömmlichen Gaunereien wie Einbrüchen und Diebstählen schwerer zu Geld kommen konnte. Das heißt nicht, dass der „normale“ Einbrecher zum Cybercrimer geworden ist, aber für die organisierten Verbrechen wird es immer lukrativer, in Richtung Cybercrime zu gehen, weil es auch viel weniger Aufwand bedeutet. Zum Teil sind es ja Netzwerke, die sich damit beschäftigen – mit einem, der das Geld hat und Leute beauftragt, diese kriminellen Handlungen durchzuführen. Und auch weil die Menschen – Stichwort Datensicherheit – immer noch zu wenig über kriminelle Handlungen im Internet aufgeklärt sind.
Reinigung aktuell: Cyberkriminalität, von welcher die Endverbraucher bzw. Privatpersonen betroffen sind, ist das eine. Unser Thema sind aber betroffene Firmen, Institutionen oder Körperschaften, die ihre Verwaltung in Homeoffice schicken. Welches Risiko birgt das? Was ist hier der mögliche Ansatzpunkt für Cyberkriminelle bzw. um welche Verbrechen geht es hier konkret?
Stregl: Da sind wir nicht weit weg von der Cyberkriminalität, von welcher auch der private Consumer betroffen ist. Denn dieser kann auf der anderen Seite auch der Angestellte einer Firma sein. Und in beiden Fällen, wenn einer nicht aufgeklärt genug ist, macht er Fehler. Das heißt, der Angestellte der Firma X hat in seinem Job, hinter seinem Schreibtisch und mit seinen Arbeitskollegen eine ganz andere Energie und Wahrnehmung als zu Hause im Wohnzimmer mit den Kindern, am Esstisch mit der Familie oder im privaten Arbeitszimmer. Zu Hause fühlt man sich emotional in der Regel etwas gesicherter als in der Firma, deshalb entstehen zu Hause auch oft mehr Fehler oder mehr unbeabsichtigte Klicks im Internet oder auf Mails als in der Firma, wo man ganz anders strukturiert und auch gedanklich woanders ist. Viele Cybercrimes passieren deshalb, weil der Mitarbeiter nicht weiß, das er jetzt etwas macht, das gegen ihn oder gegen das Unternehmen verwendet wird – was sowohl in einer Unternehmensstruktur als auch privat passieren kann. Und wir haben nicht nur Homeoffice, sondern auch Homeschooling. Es ist schon ein anderes Arbeiten zu Hause als in der Firma. Man achtet vielleicht auf manche Dinge nicht so. Vom Emotionalen her, bin ich der Meinung, ist es jedenfalls so, dass man im Homeoffice, also ohne das Drumherum des Büros, viel leichter unachtsamerweise irgendwo draufklickt. Im Büro, wenn man sich einer Sache nicht sicher ist, fragt man den Kollegen oder in der IT-Abteilung nach, ob etwas erledigt ist oder ob etwas passt oder nicht. Allein zu Hause hingegen bzw. ohne Zurufmöglichkeit müsste man in der Firma anrufen – das sind also jeweils ganz andere Faktoren.
Reinigung aktuell: Das war jetzt, wie Sie es bezeichnet haben, der emotionale Aspekt. Was ist technisch zu beachten?
Stregl: Einen Mitarbeiter mit einem PC und einem Smartphone sowie dem Zugang zu den Firmendaten ins Homeoffice schicken und erwarten, dass er damit arbeitet – das ist zu wenig. Und zwar insofern, als meistens ein Notebook, das man für das Firmennnetzwerk verwendet hat, zu wenig dahingehend überprüft ist, ob es auch für Personal im Außendienst so konfiguriert ist wie die PCs innerhalb des Unternehmens, Stichwort Administrationsrechte bzw. was man alles installieren darf und was nicht. Und zweitens – wie weit darf man auf seinem Notebook Spiele, firmenfremde Softwareprogramme installieren?! Also relativ einfach: Erstens – der Mitarbeiter hat keine Administrationsrechte, und zweitens darf er sich nicht mit USB Stick irgendwelche Daten draufspielen oder überhaupt Software hochladen. Es kann ohne weiters sein, dass hinter einer Datei Schadsoftware programmiert wird, welche durch Öffnen der Datei diese automatisch ohne das Wissen des Users installiert und somit Manipulation erfolgt. Das sind beides sehr wichtige Faktoren, um das Notebook oder den PC grundsätzlich zu schützen. Abgesehen von Homeoffice sollten die Geräte so oder so einen BitLocker (properitäre Festplattenverschlüsselung) installiert haben. In der Fachsprache spricht man von „Desktop Policies“, in der geregelt wird, was der User mit seinem Device machen darf und was nicht.
Reinigung aktuell: Die Gefahrenpotenziale sind das eine. Aber was kann man dagegen tun?
Stregl: Wir gesagt, zum Beispiel Administrationsrechte vermeiden, das heißt, die Notebooks für Homeoffice so weit nur als Anwender-User zu definieren bzw. dass man auf das System nicht irgendetwas draufinstallieren darf, außer die Firmen-IT lässt es zu. Beziehungsweise dass die Ports auf den Notebooks gesperrt werden, bevor man die Mitarbeiter damit ins Homeoffice schickt. Das weitere ist die Firewall. Zu Hause hat in der Regel jeder irgendeine Art von Internet von einem Provider, der einen Router mit irgendeiner nur rudimentären Firewall zur Verfügung stellt. Wenn nun der User mit seinem mobilen Endgerät im Firmennetz oder im Internet unterwegs ist und Daten verschickt oder auf Homepages zugreift, sollte er nicht mit einer solchen rudimentären Firewall arbeiten, da die, die man zu Hause hat, nur rudimentäre Ports filtert und, wenn überhaupt, vielleicht nur einmal im Jahr gepatcht werden, während eine klassische Firewall in bis zu 2-3 Tage Rhythmen mit Sicherheits-Updates ausgestattet wird.
Reinigung aktuell: Wenn zum Beispiel eine Reinigungsfirma Mitarbeiter der Verwaltung ins Homeoffice schickt – welche konkrete Gefahren birgt das für das Unternehmen bzw. was bringt es einem Kriminellen, in das Netzwerk dieses Unternehmens einzudringen? Was kann er dort klauen und für sich nutzen?
Stregl: Mehreres. Erstens Firmendaten, User-bezogene oder kundenbezogene Daten, womit man theoretisch die Firma auch erpressen kann. Man kann auch Schadsofteware draufspielen oder sogar die Daten manipulieren. Oder zum Beispiel um hinsichtlich einer Ausschreibung das Angebot eines Mitbewerbers unrechtsmäßig in Erfahrung zu bringen, um den eigenen Preis so gestalten zu können, dass man darunterliegt. Das nächste ist: Welches Unternehmen verträgt es, wenn publik gemacht worden ist, dass es mit Firmendaten erpresst wird? Da kann der Eindruck entstehen, dass die Firma ihre IT nicht im Griff hat, sodass infolgedessen auch dadurch Schaden entstehen kann, dass Kundenfirmen abspringen oder den Lieferanten wechseln. Da gibt es also viele Aspekte, von Manipulation bis zur Erpressung durch Verschlüsselung der Firmendaten oder – mittlerweile ein Millionengeschäft – der Verkauf von Daten. Und: Man hat Kinder im Volksschulalter im Haushalt und muss ihnen schnell ein Notebook zur Verfügung stellen, mangels Alternative auch schon mal das Firmen-Notebook, um mit der Lehrperson in eine Videokonferenz eintreten zu können. Aber dabei bleibt es oft nicht, sprich: das Kind spielt Spiele drauf oder nutzt irgendwelche Internetzugänge. Auch um das zu verhindern, kann man in der Firewall Ports oder gewisse Links sperren, was mit normalen Routern gar nicht möglich ist. Das heißt, auch wenn man den Kindern nur etwas Gutes tun will, ist Vorsicht geboten.
Reinigung aktuell: Kann man sagen, welches Jobprofil im Homeoffice am meisten Sicherheitsgefahren birgt? Der Buchhalter oder …?
Stregl: Wenn man diesbezüglich unterscheiden möchte, dann ist der Außendienst sicherheitstechnisch meistens besser bestückt. Der ist in gewisser Weise ohnehin immer im Homeoffice, hat zu Hause seinen Drucker, weiß, wie er mit dem Notebook und mit Daten umzugehen hat, hat meisten auch ein VPN-Tunnel, das ist ein eigenes bewährtes Paket. Beim Sachbearbeiter hingegen, der in der Regel immer im Büro gesessen ist und jetzt wegen einer Viren-Thematik kurzfristig ins Homeoffice beordert wird, hat man in vielen Belangen nicht beachtet, dass er zu Hause in keiner sicheren Umgebung arbeitet. Und: Was man vorher innerhalb eines Netzwerkes oder auf irgendeinem Server kommuniziert hat, wird bei Homeoffice von zu Hause aus kommuniziert. Das heißt, für den Mitarbeiter im Homeoffice ist das eine komplett neue Umgebung, in welcher er sich mit gesicherten Datenübertragungen noch nie beschäftigt hat. Die ganzen Daten, zum Beispiel eines Jahresabschlusses, werden ungesichert hin- und hergeschickt. Dazu braucht es auf jeden Fall eine Firewall mit einer guten stabilen Internetverbindung inklusive dem VPN-Tunnel, damit die Daten sicher an ihr Ziel gelangen.
Reinigung aktuell: Fazit? Aufpassen oder einen Sicherheitsprofi fragen?
Stregl: Ein Unternehmen muss, wenn es Mitarbeiter ins Homeoffice schickt, sie weiterhin darüber aufklären, was erlaubt ist und was nicht. Das Unternehmen muss so gut wie möglich versuchen, den Homeoffice-Mitarbeitern eine unmittelbare, rasch ansprechbare Person zu nennen oder zuzuspielen, um bei Unsicherheiten bzw. entsprechenden Fragen diese relativ rasch beantwortet zu bekommen. Es sollte auf jeden Fall darauf geachtet werden, dass das Notebook, der PC, aber auch Handhelds oder iPads usw. wirklich firmeneigene Geräte sind und nicht bring your own devices (BYOD), die sowohl geschäftlich wie auch privat genutzt werden. Das muss strikt getrennt sein. Firmendaten haben auf einem Privatgerät nichts verloren. Dann – eine Firewall, eine gesicherte Datenverbindung, im besten Fall eine Mail-Verschlüsselung für alles, wo personenbezogene Daten verschickt werden oder wo Firmen- oder Kundendaten oder Salesdaten oder sonstige hochsensible Daten verschickt werden.
Dann das Thema Backup: Viele, die jetzt im Homeoffice arbeiten, haben entweder auf ihrer Festplatte am Notebook ein Backup oder auf irgendwelchen selbst gekauften externen Festplatten. Das ist ganz schlecht! Entweder man schafft für den Homeoffice-User eine Verbindung auf dem Server, wo ja auch ein Backup erfolgen soll, oder die Firma stellt dem Homeoffice-Mitarbeiter auch ein externes Device für das Backup zur Verfügung, das er ins Firmennetzwerk einspielt.
Ein weiters Thema: Es sollte auch zu Hause so sein, dass personen- oder firmenbezogene Daten nicht am Wohnzimmertisch oder sonst wo frei herumliegen, sondern dass nur damit gearbeitet wird, wenn man sie braucht, und man sie nachher wieder versperrt. Denn da sind wir auch schon beim Thema „Einbruch in ein Gebäude“, zumal viele Privatwohnungen bei weitem nicht so geschützt sind wie Firmengebäude.
Und noch eines zum Notebook: Die Daten darauf sollten verschlüsselt sein, auch hinsichtlich eines möglichen Diebstahls. Und: Wenn man zu Hause arbeitet, ist auch ein Bildschirmschoner wichtig, sprich: dass das aktive Arbeiten sich aus dem System ausloggt.
Und last but not least – das Thema Schreddern, Akten, die vernichtet werden: Die meisten haben zu Hause keinen Schredder, entsorgen Papier aber getrennt von anderem Müll, sodass oft personenbezogene oder firmenheikle Daten ganz normal ins Altpapier wandern. Auch das gehört den Homeoffice-Mitarbeitern auf jeden Fall mitgegeben, dass sie dieses Papier wieder ins Büro zurückbringen, um es im Büro zu schreddern, oder dass man es selbst schreddern muss.