Mobiles Arbeiten in der Corona-Krise und IT-Sicherheit – Wie schützt man sich vor Cyberattacken und ihren Folgen

Wolfgang Schwade

Von Wolfgang Schwade, Vorstandsvorsitzender der GVV-Kommunalversicherung VVaG, Köln

Corona fordert die Gesellschaft heraus: Zwischenmenschlicher Abstand wird zum Signal von Nähe und Zugewandtheit. Trotz oder gerade wegen dieser Isolation dominiert das Thema nicht nur das Privatleben, sondern auch die Berufswelt. Es vergeht kein Tag ohne neue Anordnungen, Handlungsempfehlungen oder Katastrophenmeldungen. Es wird von jedem einzelnen und der gesamten Gesellschaft Solidarität gefordert und-cum grano salis-auch gezeigt; von dem einen oder anderen schwarzen Schaf einmal abgesehen. Regierungen, Wissenschaftler und Gesundheitsexperten müssen jedwede Unterstützung erhalten, diese Katastrophe der Menschheit zu meistern.

Die Welt, Europa und die Zivilgesellschaft in Deutschland werden nach Corona nicht mehr dieselben sein wie vorher. Die Wirtschaft steht vor der größten Herausforderung seit dem Zweiten Weltkrieg, das zwischenmenschliche Zusammenleben wird nicht nur auf eine Belastungsprobe gestellt, der ein oder andere wird nach Corona mit anderen Augen gesehen.

Aber auch in einer anderen Richtung wird die Welt sich verändern: Wenn physische Arbeitsplätze nicht mehr erreichbar sind, gilt es, sie durch digitale zu ersetzen. Das, was gestern noch als nicht umsetzbar erschien, geht plötzlich, weil es anders nicht mehr läuft: Ganze Betriebe arbeiten nur noch von zu Hause aus.

Hier eröffnet sich allerdings eine bisher gerade im kommunalen Bereich noch unterschätzte Gefahr, der man gerade unter den jetzigen Bedingungen offensiv begegnen muss: den Cyber-Risiken. Denn jede Krise bringt auch Subjekte mit sich, die sich an ihr bereichern wollen, und das sind Hacker und Cyberkriminelle, die in der Ausweitung des digitalen Arbeitens ihr kriminelles Geschäft wittern. In Zeiten von mobilem Arbeiten und Home Office zum Teil mit cloudbasierten Apps und Webanwendungen, die potentiell von jedem Internetcafé zu erreichen sind, werden einerseits Arbeitsprozesse und die damit verbundene Kommunikation erheblich erleichtert. Auf der anderen Seite müssen diese Vorteile immer gegen das Risiko abgewogen werden, dass gegebenenfalls personenbezogene Mitarbeiter-oder Kundendaten oder Unternehmensdaten in fremde Hände gelangen könnten. Dazu sind in jüngster Zeit einige prominente Beispiele bereits durch die Presse gegangen. Ein Virus oder Trojaner auf dem heimischen PC, der nun zum Mobilen Arbeiten genutzt wird, kann schon ausreichen, sensible Mails abzugreifen.

Kriminelle nutzen die Krise, um unerlaubt und unbemerkt Informationen zu sammeln und sich zu bereichern. Und zwar auf zweierlei Art: Einerseits ist in der nächsten Zeit, insbesondere im digitalen Bereich damit zu rechnen, dass Kriminelle versuchen, unter dem Deckmantel „Corona“ den Kommunen Schaden zuzufügen. Andererseits werden aber auch die zunehmenden Zugänge zu Firmennetzwerken als lukrativer Angriffspunkt identifiziert, um z. B. Daten auszuspähen, zu veröffentlichen, zu verkaufen oder mit Ransomeware Netze lahmzulegen und dadurch Erpressungsleistungen zu generieren.

Beispiele dazu sehen so aus: Eine Webseite fordert dazu auf, sensible Daten wie Passwörter einzugeben, um über die aktuellsten Entwicklungen im Zusammenhang mit Corona informiert zu bleiben. Per Mail wird man aufgefordert, eine neue Software für die Telearbeit zu installieren oder das Passwort auf einer Webseite einzugeben, um das neue Zusammenarbeitstool für Videokonferenzen oder Chattools zu aktivieren. Schließlich werden auch Popup-Fenster dazu genutzt, um vorzugaukeln, dass das „Sicherheitsteam“ dazu auffordert, die Installation und Freigabe eines Remote-Tools zu akzeptieren.

All diesen Angriffsversuchen sollte man mit erhöhtem Misstrauen begegnen. Bei zweifelhaften E-Mails sollte daher immer vor einem Öffnen oder Anklicken von Links eine Abklärung mit der IT Abteilung erfolgen.

Generell ist Skepsis angezeigt, wenn E-Mails zu ungewöhnlichen oder auch scheinbar nicht notwendigen Handlungen auffordern oder in ihnen auf Seiten verwiesen wird auf denen Passwort oder persönliche Daten eingeben sollen oder aber die Mails als besonders dringend oder geheim gekennzeichnet werden. Absenderadresse oder Name in solchen E-Mails könnten gefälscht sein. Phishing-E-Mails werden weltweit als die größte Gefahr für die IT-Sicherheit angesehen. Sie täuschen den Empfänger, indem Absender, Inhalte, Logos und Layouts vertrauenswürdiger Firmen und Institutionen nachgeahmt werden. Generelle Vorsicht ist geboten bei unbekannten Absendern oder kryptisch anmutender Absender-Adresse, einer anonymen, unpersönlichen oder allgemein gehaltenen Anrede, fehlendem Impressum oder fragwürdiger und unvollständiger Firmenangabe, bei Grammatik- und Rechtschreibfehler, fehlerhaftem Deutsch oder ungewöhnlicher Wortwahl sowie abgekürzten Weblinks oder anklickbaren Bildern im E-Mail-Text bzw. Zip-, Word- oder Excel-Dateien im Anhang. Es empfiehlt sich, bei Zweifeln am Absender keine Scheu vor z.B. telefonischer Nachfrage allerdings unter dann anderweitig recherchierten Kontaktdaten zu haben

Dabei sollten Zugangsdaten nur auf Webseiten eingegeben werden, bei denen die Adresse [der erwartete Domainname] unmittelbar vor dem ersten Schrägstrich steht (z.B.: https://www.bsi.bund.de/) und nicht durch Ergänzungen wie https://webhoster.com/bsi.bund.de/, d.h. mit einem anderen Domänennamen vor dem ersten Schrägstrich. Hilfreich kann es auch sein, die Web-Adresse händisch einzugeben, wodurch sich zumeist verhindern lässt, auf einer sog. „Fake-Seite“ zu landen. Generelle Skepsis ist angezeigt, wenn dazu aufgefordert wird, per Mail oder Popup auf einen Link zu klicken oder persönliche Angaben zu bestätigen.

Bei E-Mails von Firmen, Bekannten und Freunden sollte immer die ganze Emailadresse geprüft werden. Oftmals werden von Tätern gleichlautende Mail-Adressen unter Verwendung unterschiedlicher Domänen verwendet (bsi@bsi.bund.de statt bsi@bsi.bund.cn oder bsi@bsi.bund.info).

Bei Beachtung dieser Hinweise lassen sich die Risiken im mobilen Arbeiten reduzieren. Daher sollten die jeweiligen Mitarbeiterinnen und Mitarbeiter eindringlich darauf aufmerksam gemacht werden.

Wichtig ist darüber hinaus, die Gefahren und Risiken der unterschiedlichen Homeoffice-Varianten zu kennen und zu verstehen und zwar im Hinblick auf Hardware, Software, Anbindung an das Unternehmen, den gewählten Log-In und die jeweils vorhandenen privaten Arbeitsumgebungen. Hier bedarf es eines grundlegenden Sicherheitskonzeptes zum Ausrollen des mobilen Arbeitens.

Unabhängig von den individuell getroffenen Sicherheitsvorkehrungen empfiehlt sich jedoch als zusätzliche Absicherung in jedem Fall der Abschluss einer Cyberversicherung. Zunehmende Cyber-Attacken wie Datenklau sowie Viren- oder Hackerangriffe stellen die aktuellste und zugleich bedrohlichste Gefahr für kommunale Unternehmen und öffentliche Verwaltungen dar. Auch wenn das Risikobewusstsein bei Kommunen und kommunalen Unternehmen in den letzten Jahren aufgrund der zunehmenden Schadenfälle deutlich gestiegen ist, verfügen bisher nur sehr wenige über einen effektiven Versicherungsschutz. Bei dem Abschluss einer entsprechenden Versicherung sollte auf sogenannte All-risk-Deckung geachtet werden, um unliebsame Überraschungen im Versicherungsfall zu vermeiden. Sinnvoll ist auch eine Police, die bei eingetretenen Schäden auf die Einrede technischer Obliegenheitspflichtverletzungen verzichtet und die auch dann einen Deckungsschutz gewährt, wenn sich später erst herausstellt, dass es sich eigentlich nicht um einen Cybervorfall gehandelt hat. Ganz wesentlich ist die Qualität der Assistanceleistungen, die möglichst durch einen vorab benannten Spezialdienstleister unter Einbeziehung einer rechtlichen Assistance durch Fachanwälte im Krisenfall zur Verfügung stehen. Der entsprechende Support oder Anrufe bei der Notfallhotline sollten nicht auf den vereinbarten Selbstbehalt angerechnet werden und eine mögliche Betriebsunterbrechung auch abgesichert werden.

Um die IT-Angreifbarkeit einer Domaine aus Sicht eines Cyberkriminellen abzubilden, gibt es am Markt umfangreiche Risikoanalysen, in denen die Cyberrisiken ganzheitlich bewertet und in Teilratings zu Angriffswiderstandsfähigkeit, DDos-Stabilität, Mail-Konfiguration, Schutz der Daten und Privatsphäre sowie möglichen Darknet-Gefahren gerankt werden. Hierdurch erhält man wertvolle Informationen, wo die größten Sicherheitslücken bestehen und wie man ihnen am besten begegnet.

Auf diese Weise gewappnet, kann man sich den neuen Risiken, die sich in Zeiten der Corona-Krise aus der deutlich gestiegenen Zahl mobiler Arbeitsplätze ergeben, gut gerüstet stellen.

Rückfragen zum Inhalt an: wolfgang.schwade@gvv.de

Weitere Informationen unter: www.gvv.de/cyber-versicherung