Serie Cyber-Sicherheit:
Achtung, Homeoffice!


[16.1.2023] Auch im heimischen Büro lauern Gefahren durch Cyber-Angriffe. Neben den IT-Verantwortlichen ist jeder Einzelne gefordert, für IT-Sicherheit im Homeoffice zu sorgen. Der Beitrag beschreibt Angriffsphänomene und gibt Tipps für das Verhalten im Verdachtsfall.

Im Homeoffice für Cyber-Sicherheit sensibilisieren. Homeoffice, Telearbeit, mobiles Arbeiten – nicht erst seit der Corona-Pandemie gibt es für viele Beschäftigte im öffentlichen Dienst die Möglichkeit, von zu Hause aus zu arbeiten. Doch auch im heimischen Büro lauern Gefahren durch Cyber-Angriffe, mit denen sich die Mitarbeiterinnen und Mitarbeiter oft eigenverantwortlich auseinandersetzen müssen. In den meisten Kommunen gibt es zumindest eine IT-Fachkraft oder einen Dienstleister, der sich um die Server- und Netzwerkarchitektur kümmert und diese fachgerecht einrichtet. Im privaten Zuhause ist dies eher selten der Fall. Der IT-Experte hat keinen Einblick in die Einstellungen des heimischen Netzwerks. Hierdurch können Sicherheitslücken entstehen, die Angreifer ausnutzen.
Mit dem Abschluss eines Vertrags über einen Internet-Anschluss erhält man den in den Firmenfarben des Internet-Anbieters gehaltenen Router. Sobald man diesen erfolgreich installiert und die Endgeräte im Netzwerk anmeldet, hat man Internet-Zugriff. Die einzelnen Endgeräte senden Anfragen an den Router, dieser leitet die Anfragen an das Internet weiter und schickt die angeforderten Daten an das Endgerät zurück.

Zunächst Überblick verschaffen

Inzwischen tummeln sich im heimischen Netzwerk oft viel mehr Geräte als uns bewusst ist. Drucker, Computer, Handy, Tablet, Fernseher, Heizung, Spielekonsolen, Kühlschränke – fast alle modernen Geräte haben Internet-Zugang und schicken sekündlich Anfragen an den Router oder senden Daten an die Hersteller und deren Partner. Manchmal tun sie das, weil es zur Bereitstellung eines Diensts notwendig ist, oftmals jedoch auch, weil die Hersteller und deren Partner persönliche Kundenprofile erstellen, um gezielter werben zu können. In dieses unübersichtliche und für den IT-Betrieb der Kommune nicht zu kontrollierende, private Netzwerk wird nun ein dienstliches Endgerät eingeführt. Jedes Gerät in diesem Netzwerk ist ein potenzielles Einfallstor für Cyber-Kriminelle. Gelingt dem Angreifer ein Zugriff auf die Spielekonsole oder das Smart-TV, dann hat er einen Brückenkopf, von dem aus er die anderen Geräte angreifen kann.
Eine erste Maßnahme zur Abhilfe ist es, sich einen Überblick zu verschaffen, welche Geräte Internet-Zugang haben. Die von den Herstellern vergebenen Passwörter des Routers und aller Geräte mit Internet-Zugang sollten geändert und die Betriebssoftware regelmäßig aktualisiert werden. Wo möglich, sollte über die Einstellungen begrenzt werden, welche Daten an wen gesendet werden. Mehr Sicherheit erreicht man durch die Einrichtung einer Firewall oder die Unterteilung des Netzwerks in Zonen (Netzwerksegmentierung). Viele Privathaushalte haben einen Gastzugang in ihrem WLAN eingerichtet. Die Einrichtung eines Netzwerkzugangs, in dem sich nur dienstliche Geräte anmelden, ist oftmals analog möglich. Der IT-Verantwortliche der Kommune sollte die Dienstgeräte so konfigurieren, dass aus fremden Netzen heraus nur über eine VPN-Verbindung Zugang in das Verwaltungsnetz hergestellt werden kann, im Idealfall beschränkt auf dienstliche Endgeräte.

Keine fremden USB-Sticks verwenden

Beim Virtual Private Network (VPN) handelt es sich um ein privates, in sich geschlossenes Netzwerk, welches ein bestehendes Kommunikationsnetz nutzt und daher nur virtuell besteht. Der sich im privaten Netzwerk befindliche Rechner einer Mitarbeiterin oder eines Mitarbeiters erhält über VPN Zugriff auf das Netzwerk, die Daten und Anwendungen der Dienststelle. Hierdurch hat die Dienststelle Einfluss auf Verschlüsselung und Übertragungsprotokoll und kann so eine abhör- und manipulationssichere Kommunikation gewährleisten.
In der Pandemie kam die Umstellung auf Homeoffice für viele Kommunen unglaublich plötzlich. Für die Beschäftigten standen oft nicht ausreichend dienstliche Endgeräte zur Verfügung, sodass notgedrungen auch private Endgeräte zum Einsatz kamen. Im Normalbetrieb sollte dies vermieden werden. Sobald mobiles Arbeiten zum Normalfall wird, sollten dienstliche Endgeräte zur Verfügung stehen, deren Verwaltung durch die IT-Verantwortlichen der Kommune erfolgt. Wenn eine Nutzung privater Endgeräte nicht vermieden werden kann, müssen feste Regelungen getroffen werden, beispielsweise da­rüber, wie schnell Software Updates zu installieren sind oder ob der Arbeitgeber im Notfall das gesamte Endgerät inklusive aller privaten Daten remote löschen darf. Der dienstliche und private Gebrauch sollten soweit wie möglich getrennt werden.
Für Datenübertragungen zwischen privaten und dienstlichen Geräten bedarf es gesonderter Regelungen, zum Beispiel einer datenschutzrechtlich geprüften Filesharing-Lösung in der Cloud, der Nutzung von VPN-Verbindungen oder der ausschließlichen Verwendung bereitgestellter USB-Sticks. Diese sollten, nachdem sie an einen externen Rechner angeschlossen waren, auf Schad-Software geprüft werden, bevor sie an einen Dienstrechner angeschlossen werden. Fremde, gefundene oder geschenkte Sticks sollten niemals verwendet werden. Cyber-Kriminelle nutzen sie gerne zum Einschleusen von Schad-Software. Das Abfotografieren von Unterlagen mit dem (Privat)-Handy, um diese von zu Hause aus weiter zu verarbeiten, sollte ebenfalls untersagt und der Umgang mit Papierakten im Homeoffice klar geregelt werden.

Angriffsfläche Homeoffice

Die Distanz und Isolation, die durch das mobile Arbeiten entstehen können, werden von Cyber-Kriminellen bewusst ausgenutzt. Es gibt einige Angriffsphänomene, welche besonders bei der Arbeit von zu Hause zur Herausforderung werden können. CEO Fraud ist eine Art von Phishing. Dabei bringen Cyber-Kriminelle zunächst in Erfahrung, wie das Unternehmen strukturiert ist. Hierzu nutzen sie unter anderem Internet-Seiten, Pressemitteilungen, Medienberichte und öffentlich einsehbare Organigramme. Mit diesen Informationen können sie sich zum Beispiel als Bürgermeister ausgeben. Per E-Mail mit gefälschtem Absender schreiben sie Beschäftigte an und geben ihnen die Anweisung, hohe Geldbeträge zu überweisen oder wichtige Unterlagen zu schicken. Abhilfe schaffen gut geschultes Personal, welches das Phänomen CEO Fraud erkennt, sowie feste Kommunikationswege und Abläufe, die auch von Vorgesetzten konsequent eingehalten werden. Eine Überweisung oder der Versand von wichtigen Daten auf Zuruf sollte so ungewöhnlich sein, dass eine solche Aufforderung sofort misstrauisch macht. Diese verbindlichen Verhaltensregeln und direkten Kommunikationswege, auf denen man sich schnell, etwa durch einen Anruf, rückversichern kann, können Kommunen vor finanziellen Schäden in Millionenhöhe bewahren.
Bei einem Man-in-the-Middle(MITM)-Angriff schaltet sich der Angreifer unbemerkt in die Mitte einer Kommunikation. Er empfängt die Nachrichten des Senders und leitet diese weiter, ohne dass Sender und Empfänger sich dessen bewusst sind. Cyber-Kriminelle können so Kommunikation mitlesen und sich unbemerkt in diese einschalten. Phishing- und CEO-Fraud-E-Mails können ganze Verläufe enthalten und dem Empfänger wie eine reale Antwort auf eine von ihm gesendete Nachricht erscheinen. Besonders anfällig für MITM-Angriffe sind öffentlich zugängliche WLAN-Hotspots. Cyber-Kriminelle können sich jedoch auch Kontrolle über den Router eines privaten Netzwerks verschaffen oder einen eigenen WLAN-Hotspot mit einem offiziell anmutenden Namen einrichten und so die Kommunikation über sich umleiten. Man-in-the-Middle-Angriffe lassen sich durch eine Verschlüsselung der über das Netzwerk verschickten Datenpakete verhindern.

Grundregeln bei Verdachtsfällen

Es gibt einige Maßnahmen, die Dienststelle und Mitarbeitende treffen können, um das mobile Arbeiten sicherer zu gestalten. Doch was, wenn es trotzdem zu einem IT-Sicherheitsvorfall kommt? Es ist eine dringende Führungsaufgabe, gemeinsam mit den IT-Experten Verhaltensregeln bei IT-Sicherheitsvorfällen festzulegen und den Beschäftigten zu kommunizieren.
Hessen3C empfiehlt bei Verdachtsfällen oder Sicherheitsproblemen einige Grundregeln. Erstens: den Rechner vom Netzwerk trennen, indem das LAN-Kabel entfernt und die Verbindung über WLAN und mobile Daten manuell unterbrochen wird. Hierdurch wird eine Ausbreitung der Schad-Software eingedämmt. Zweitens: den Rechner nicht herunterfahren, da sonst wichtige Daten für die forensische Analyse verloren gehen können. Die Ergebnisse der forensischen Analyse erlauben eine Bewertung des Schadens und gegebenenfalls eine Strafverfolgung. Drittens: eine vorab benannte Ansprechperson für IT-Sicherheitsvorfälle informieren. Die Kontaktdaten müssen den Mitarbeiterinnen und Mitarbeitern zu Hause auch ohne Zugang zu Internet und Intranet vorliegen. Diese Stelle entscheidet über weitere Schritte. In Hessen können sich Kommunen zudem an die rund um die Uhr besetzte Hotline des Hessen3C wenden.

Hessen CyberCompetenceCenter (Hessen3C).

Serie Cyber-Sicherheit,
Teil 1: Bedeutung des Themas und Vorstellung von Hessen3C Teil 2: Die wichtigsten Tipps zur Erhöhung der Informationssicherheit Teil 3: Bedrohungsakteure und ihre Methoden Teil 4: Gefahren im Homeoffice und durch mobiles Arbeiten Teil 5: Resilienz erhöhen – Wie kann man sich auf den Ernstfall vorbereiten? Teil 6: Interne und externe Kommunikation in der Krise

Teil eins der Serie Cyber-Sicherheit (Deep Link)
Teil zwei der Serie Cyber-Sicherheit (Deep Link)
Teil drei der Serie Cyber-Sicherheit (Deep Link)
Das Hessen CyberCompetenceCenter ­(Hessen3C) (Deep Link)
Dieser Beitrag ist in der Ausgabe Januar 2023 von Kommune21 erschienen. Hier können Sie ein Exemplar bestellen oder die Zeitschrift abonnieren. (Deep Link)

Stichwörter: IT-Sicherheit, Cyber-Sicherheit, Hessen CyberCompetenceCenter (Hessen3C) Serie Cyber-Sicherheit

Bildquelle: peshkova/stock.adobe.com

Druckversion    PDF     Link mailen




 Anzeige


Weitere Meldungen und Beiträge aus dem Bereich IT-Sicherheit
Umfrage: Status von cloudbasierten IT-Diensten
[19.9.2023] IT-Verantwortliche der öffentlichen Verwaltung können ab sofort an einer Online-Befragung zum Status quo der Nutzung von cloudbasierten IT-Diensten teilnehmen. Ziel des Forschungsprojekts der Universität Regensburg ist es, das IT-Sicherheitsmanagement von Public-Cloud-Services in Behörden zu verbessern. mehr...
Märkischer Kreis: IT-Sicherheitskonzept in der Praxis
[15.9.2023] Die Cyber-Sicherheitslage bleibt angespannt. Und immer öfter ist der Public Sector von Angriffen betroffen. Dies belegen aktuelle Studien ebenso wie die Fälle der jüngsten Zeit. Wie sich eine Verwaltung – bisher erfolgreich – absichern kann, zeigt beispielhaft der Märkische Kreis. mehr...
Die Verwaltung im Märkischen Kreis legt viel Wert auf IT-Sicherheit.
IT-Sicherheit: Cybersicherheitskompass für Kommunen
[13.9.2023] Institutionen des Bundes und der Länder stellen verschiedene Leistungen bereit, um Kommunen dabei zu unterstützen, ihre Informationssicherheit und Resilienz zu stärken. Eine interaktives Verzeichnis speziell für Kommunen bietet jetzt einen Überblick. mehr...
Bayern: Bericht zur Cyber-Sicherheit 2023
[7.9.2023] Bayern hat seinen Bericht zur Cyber-Sicherheit 2023 vorgelegt. Die Cyber-Bedrohungen steigen weiter an. Mit dem LSI und einer spezialisierten Strafverfolgung sei das Land in der Cyber-Abwehr gut aufgestellt, plane jedoch weitere Maßnahmen. mehr...
Bayern legt seinen Bericht zur Cyber-Sicherheit 2023 vor.
Kreis Helmstedt: Datenschutz-Tutorial mit KDO-E-Learning
[31.8.2023] Um seine Mitarbeiterinnen und Mitarbeiter in diesem Bereich komfortabel weiterbilden zu können, nutzt der Kreis Helmstedt das Online-Tool KDO-E-Learning Datenschutz und Informationssicherheit. Es umfasst zwei- bis vierminütigen Tutorials in Form von Filmen, Informationsmaterial und anschließenden Umfragen. mehr...
Weitere FirmennewsAnzeige

EU-Richtlinie 2016/2102: So funktioniert barrierearme Rechnungsverarbeitung
[22.8.2023] Einen barrierearmen Zugang zu Websites und mobilen Anwendungen zu gewährleisten, dazu sind öffentliche Stellen in Deutschland und der EU seit 2019 verpflichtet. Was bedeutet dies für die Verarbeitung eingehender Rechnungen in SAP? Sind Dokumentenprozesse überhaupt betroffen? mehr...

Stadt Essen nutzt Eingangsrechnungsworkflow der xSuite im großen Stil: Sichere Planung durch Rechnungsworkflow
[23.3.2023] Essen ist eine moderne Wirtschafts-, Handels- und Dienstleistungsmetropole im Herzen des Ruhrgebiets. Sie ist Konzernzentrale, zum Beispiel für RWE AG, Evonik Industries AG, E.ON Ruhrgas AG, GALERIA Karstadt Kaufhof GmbH und Hochtief AG. Die Messe Essen ist etabliert unter den Top-Ten der deutschen Messeplätze. Was viele Besucher angesichts der modernen Essener Skyline verblüfft: Die Geschichte der Stadt ist älter als die Berlins, Dresdens oder Münchens. Essen feierte im Jahr 2002 das 1150-jährige Jubiläum von Stift und Stadt Essen. mehr...
Suchen...

 Anzeige



 Anzeige

Aboverwaltung


Abbonement kuendigen

Abbonement kuendigen
Ausgewählte Anbieter aus dem Bereich IT-Sicherheit:
beyond SSL GmbH
90619 Trautskirchen
beyond SSL GmbH
procilon GmbH
04425 Taucha bei Leipzig
procilon GmbH
ITEBO GmbH
49074 Osnabrück
ITEBO GmbH
Aktuelle Meldungen