Aus- & Weiterbildung

Cybersecurity und Homeoffice: Learnings aus der Krise

4. Mai 2020

Zertifizierte Kompetenz, um Angriffe abzuwehren und Werte zu schützen auf der Basis von BSI/ISO. Darum geht es in 15 intensiven Tagen unseres Lehrgangs. Neben Risikoanalysen, Security Frameworks und einem Deep Dive in Cybersecurity-Technologien, schreiben unsere Absolventinnen und Absolventen einen Blogbeitrag.

Um den aktuellen Hype um die beiden Begriffe Homeoffice und Cybersecurity etwas besser einordnen zu können, helfen ein paar kurze Abfragen mit Google Trends[1 ]. Im nachfolgenden Diagramm kann man erkennen, dass «Homeoffice» vor allem in den Nullerjahren auf ein gewisses Interesse[2] stiess, das aber ab ca. 2010 etwas abgeflacht ist. Der Begriff «Cybersecurity» wiederum wurde in den 2000er Jahren kaum benutzt und erlebt erst seit etwa fünf Jahren einen richtiggehenden Boom. Das erklärt sich selbstverständlich dadurch, dass dieser Begriff noch relativ jung ist.

Abbildung 1: Google Trends, Suchbegriffe «Cybersecurity» (grau) und «Homeoffice» (blau), 01.01.2004-18.04.2020

Natürlich fällt sofort auf, dass Homeoffice in den letzten Monaten überproportional häufig als Suchbegriff verwendet wurde. Dazu eine Grafik der vergangenen 90 Tage:

Abbildung 2: Google Trends, Suchbegriff «Homeoffice», 21.01.2020-18.04.2020

Ziemlich genau zum Zeitpunkt, als in der Schweiz und in vielen Nachbarländern der Lockdown aufgrund der Ausbreitung des Coronavirus beschlossen wurde, beginnen sich vermehrt Personen über «Homeoffice» zu informieren. Die Wellenform lässt sich vermutlich damit erklären, dass man sich am Wochenende viel weniger mit der Arbeit bzw. mit dem Homeoffice beschäftigt.

Die Nachfrage nach Homeoffice ist so hoch wie nie. Immer mehr Personen können und dürfen von zu Hause arbeiten, wobei in vielen Fällen die aktuelle Krise der Auslöser war. Und bis die Krise gemeistert ist, werden einige die Vorzüge des Homeoffice erkannt haben.

Ist man in einem Unternehmen für die Cybersecurity verantwortlich, so muss man sich also spätestens jetzt mit dieser Tatsache auseinandersetzen. Nachfolgend werden einige der relevanten Aspekte beleuchtet.

Wichtige Aspekte zu Cybersecurity im Homeoffice
Social Engineering[3] ist gerade in so turbulenten Zeiten ein beliebtes Instrument für Angreifer. Viele Personen sind verunsichert und gestresst. Nebst der Tatsache, dass man im Privaten improvisieren muss, verlangt die Umstellung auf Homeoffice den Mitarbeitenden so einiges ab. IT-Equipment muss aufgebaut und angeschlossen werden und gleichzeitig werden etliche Geschäftsprozesse kurzfristig angepasst, um diese Homeoffice-kompatibel zu gestalten.

Die Wahrscheinlichkeit, dass jetzt jemand auf ein gefälschtes Mail von einem/r Vorgesetzten oder einen Anruf vom «Microsoft IT Support» hereinfällt, ist einiges höher als zu normalen Zeiten. Im Homeoffice ist es ja auch schwieriger, sich in solchen Fällen kurz mit Kollegen oder Kolleginnen abzusprechen und man rechnet ja ständig mit neuen Vorgaben von «oben».

In den letzten Wochen tauchen zudem vermehrt gezielte Phishing[4 ] Mails auf, die einen klaren Bezug zur aktuellen Krise haben. Die Schweizer Melde- und Analysestelle Informationssicherung (MELANI) hat bereits Mitte März vor solchen Mails gewarnt[5 ]. Wie schnell wird in der Hektik ein Mail falsch eingeschätzt und ein präpariertes Attachment geöffnet oder ein Link angeklickt?

Auch wenn jetzt viele Mitarbeitende zu Hause arbeiten, sollte man die Mitarbeitenden in den Geschäftsräumen nicht vergessen. Bei Produktionsbetrieben können nicht einfach alle Mitarbeitenden im Homeoffice arbeiten. Gemäss Inside Paradeplatz[6 ] haben auch die Grossbanken noch reichlich Nachholbedarf, bevor mehr Personal ins Homeoffice geschickt werden kann. In vielen Unternehmen können die Teppichetage und die IT-Abteilung relativ problemlos ins Homeoffice wechseln – genau das birgt aber auch Gefahren. Wenn Geschäftsräume nur noch minimal belegt sind, haben Cyberkriminelle möglicherweise freie Bahn.

Fazit
Zusammengefasst lässt sich festhalten, dass sich die Gefahrenlage im Allgemeinen nicht grossartig verändert hat. Schwankungen bzw. Angriffswellen gab es schon immer. Bestimmt sorgt die Krisensituation für mehr Anwenderfehler und die Angriffsfläche wird durch die örtliche Verteilung der Mitarbeitenden vergrössert. Aber egal, ob man nun zu Hause oder in den Geschäftsräumen arbeitet – es sollten dieselben Sicherheitsregeln eingehalten werden, die hoffentlich schon seit Jahren implementiert und allen bekannt sind.

Eine kurze Recherche nach «security best practice homeoffice» liefert hunderte Resultate. Viele Zusammenstellungen sind in den letzten Wochen aufgrund der Aktualität entstanden und bieten einen guten Einstieg in die Thematik. Als Cybersecurity-Verantwortliche oder -Verantwortlicher sollte man nebst all diesen technischen und organisatorischen Massnahmen auch darauf achten, dass Security Awareness Trainings weiterhin in einer gewissen Regelmässigkeit stattfinden.

Autor: Teilnehmer CAS Cybersecurity und Information Risk Management

Links
[1] https://t rends.google.de

[2] In den Diagrammen werden die Werte für das Suchinteresse relativ zum höchsten Punkt angegeben. Der Wert 100 steht für die höchste Beliebtheit dieses Suchbegriffs im angegebenen Zeitraum.

[3] https://de.wikipedia.org/wiki/Social_Engineering_(Sicherheit)

[4] https://de.wikipedia.org/wiki/Ph ishing

[5] https://www.melani.admin.ch/melani/de/home/dokumentation/newsletter/gefaelschte-emails-im-namen-des-bag.html

[6] https://insideparadeplatz.ch/2020/03/11/home-office-bei-cs-schwierig-wegen-it/