Die Reaktionen auf COVID-19 und die Begleitumstände sind Treiber der Digitalisierung. Arbeit im Home-Office durch einen Großteil der Belegschaft und Umstellung auf digitale Prozesse ist die neue Normalität. Dieser Schritt kam aber schnell und überraschend und birgt Risiken, auf die man vorbereitet sein sollte.
Der kriminelle Untergrund nutzt die Krise schamlos aus. Die erfolgreichsten Phishing-Mails benutzen schon immer Emotionen, Unsicherheit oder Zeitdruck, um die Person vor dem Computer zum Klick auf den Malware-Link zu bewegen. Derzeit ist es aufgrund der Verunsicherung durch die allgemeine Lage ein Leichtes, fruchtbaren Boden für Phishing-Mails oder auch andere Betrugsdelikte wie die Chefmasche (CEO-Fraud) zu finden. Medikamente, Atemmasken, Schutzausrüstung oder auch angebliche Bonuszahlungen vom Staat oder lokalen Supermarkt kursieren als Phishingmails derzeit, und wie bisher lädt man sich nur Malware auf den Computer, wenn man die mitgelieferten Links klickt oder gibt seine Daten an jemanden preis, der diese nicht haben sollte.
Auch die Chefmasche ist wegen der momentanen Situation glaubwürdiger. Bei diesem Betrug werden Mitarbeiter von einem Betrüger kontaktiert (häufig per Mail), der sich als der Vorstand, Unternehmenschef oder jemand weit oben in der Hierarchie ausgibt und eine größere Geldsumme überweisen muss und dafür auf die Hilfe des kontaktierten Mitarbeiters angewiesen ist. Es gibt immer besondere Umstände, die als Erklärung dienen, warum die offiziellen Prozesse und Wege nicht eingehalten werden; oft ist der angebliche Chef im Ausland und hat keinen Zugriff auf die Konten, muss aber „heute noch“ eine Firma kaufen, streng geheim, und braucht deswegen eine größere Überweisung. So simpel diese Betrugsmasche klingt, so erfolgreich ist sie. Und in Zeiten von COVID-19 kommt ein plausibles Szenario dazu: der „Chef“ ist im Home-Office und kann von dort die Überweisung nicht tätigen.
Was können Sie tun, um sich davor zu schützen? Und was ist derzeit noch zu beachten? Ein paar Tipps dazu:
Beugen Sie CEO-Fraud und anderen Betrugsversuchen dieser Art vor
Kommunizieren Sie im Unternehmen, dass ungewöhnliche finanzielle Transaktionen niemals nur über Mail autorisiert werden. Wenn es Sondersituationen gibt, sind Videokonferenzen ein gutes Mittel, um die Authentizität von Anweisungen zu bestätigen. Sie geben dadurch Ihren Mitarbeitern Handlungssicherheit und schützen sich vor opportunistischen Betrügern.
Nicht auf Links in Mails klicken
Rufen Sie sich und Ihren Mitarbeitern zyklisch ins Gedächtnis, dass man auf Links in Mails möglichst nicht klicken sollte, ganz besonders wenn diese ungewöhnlich sind wie eine angebliche Mahnung, Probleme beim Login, etc. Bösartige Mails enthalten oft Zeitdruck, versteckte Drohungen und ein finanzielles Problem irgendeiner Art (Zahlungsaufforderung oder angebliche Rückzahlung, zum Beispiel). Wenn die Mail von einer Bekannten oder einem Kollegen zu stammen scheint, fragen Sie telefonisch nach. Wenn die Mail von einem Dienstleister wie PayPal oder Amazon kommt, klicken Sie nicht den Link in der Mail, sondern melden sich manuell am entsprechenden Portal an und schauen nach. Die fünf Minuten Mehrarbeit jetzt sparen Ihnen unter Umständen viele Schmerzen durch Malware oder Datenverlust.
Bring your own device
Womöglich werden durch das Home-Office jetzt geschäftliche Dinge auf privaten Geräten der Mitarbeiter erledigt, um den Betrieb aufrecht zu erhalten. Neben Aspekten des Datenschutzes sollten Sie daran denken, dass Ihre Backupmechanismen für diese Geräte nicht greifen und entsprechende Vorkehrungen treffen; wenn es eine Möglichkeit gibt, Daten verschlüsselt aus dem Home-Office auf Datenspeicher im Büro zu übertragen, sollte das mindestens täglich am Ende des Arbeitstages geschehen, um die Arbeitsergebnisse zu sichern. Besser ist es natürlich, sich nicht auf private Endgeräte verlassen zu müssen und gleich auf den Servern und Datenspeichern im Büro zu arbeiten, aber diese Möglichkeit ist derzeit nicht immer gegeben.
Diensteanbieter im Internet als Schatten-IT
Nachdem es wahrscheinlich ist, dass die Mitarbeiter nicht ganz so komfortabel im Home-Office arbeiten können oder zumindest manche Services nicht so gut funktionieren, kann angenommen werden, dass die Nutzung von Schatten-IT (Diensteanbietern im Internet) stark anwächst: von Filetransfers (DropBox, Box), Collaborationdiensten (Slack, Google Sheets, Discord) oder Videokonferenzprovidern (BlueJeans, WebEx, Zoom).
So einfach diese Dienste häufig in der Anwendung sind, so ungeklärt ist häufig, wie mit anvertrauten Daten umgegangen wird. Wenn Sie vertrauliche Daten teilen müssen und das über eine Plattform eines Drittanbieters tun, können Sie das File zum Beispiel vorher verschlüsseln (beim zippen etwa) und Ihrem Ansprechpartner das Passwort telefonisch mitteilen; das erhöht die Sicherheit der übertragenen Daten.
Achten Sie auf aktuelle Sicherheitswarnungen
Zum Beispiel werden aktuell bei dem Videokonferenzdienst Zoom Lücken bekannt, über die Angreifer sensitive Informationen von einem Clientrechner abziehen können. Versuchen Sie soweit möglich, die wirklich vertraulichen Gespräche telefonisch zu führen und nicht über eine Plattform, die Sie nicht kennen.
Mehr Vorsicht beim Fixen von Serverproblemen
Gerade wenn man nicht mehr in relativer Nähe zum Serverraum sitzt, sollte man zweimal drüber nachdenken, welche Wartung man an Servern und Netzwerkequipment vornimmt. Wenn man aus Versehen die Verbindung kappt, über die man sich mit dem Server verbunden hat, bleibt nichts anderes mehr, als ins Büro zu fahren – das sollte man vermeiden.
Beachten Sie die Basics
Wählen Sie sichere Passwörter, machen Sie regelmäßig Sicherheitsupdates und Datensicherungen.
Und zu guter Letzt: Passen Sie Ihre Prozesse an die veränderte Situation an.
Etablieren Sie einen Plan für Security-Vorfälle im Home-Office, wenn auch rudimentär. Wer muss informiert werden? Welche Schritte folgen nach einer Vireninfektion auf einem privaten Endgerät, das sich ins Büro verbinden kann? Auf was ist besonders zu achten, woran können Vorfälle in der veränderten Situation erkannt werden?
Vorbereitung, Aufklärung und besonnenes Handeln helfen nicht nur im Kampf mit dem Coronavirus, sondern auch beim Umgang mit seinen digitalen Auswirkungen.
Bleiben Sie gesund.
BSI: Cyberkriminelle nutzen Corona aus