Einfallstor Homeoffice: Studie zeigt massiv steigende Sicherheitsprobleme in Unternehmen
„Außerhalb der Grenzen: Die Zukunft der Cybersicherheit in der neuen Arbeitswelt“ ist der Titel einer Studie, die die Marktforscher von Forrester im Auftrag der Sicherheitsexperten von Tenable durchgeführt haben. Sie beschäftigt sich mit der Frage, wie sich die Ausweitung der Unternehmensnetzwerke nach außen, also ins Homeoffice, auf die IT-Sicherheit ausgewirkt hat. Dabei kommt sie zu verheerenden Ergebnissen.
92 von 100 Unternehmen wurden Opfer eines oder mehrerer Hackerangriffe während des ersten Pandemie-Jahres
Über 1.300 Teilnehmer hat Forrester telefonisch befragt. Darunter befinden sich Sicherheitsexperten und Führungskräfte aus Unternehmen sowie fast 500 Homeoffice-Nutzende. Die Umfrage fand im April statt und umfasst Mitarbeitende von Firmen aus zehn Ländern, darunter auch Deutschland. Von den befragten Führungskräften gaben 92 Prozent an, im Zeitraum zwischen März 2020 und März 2021 Opfer eines Malware-Angriffs geworden zu sein. 70 Prozent der Firmenvertreter mussten sogar drei oder mehr solcher Angriffe hinnehmen.
Dabei waren 67 Prozent aller Angriffe gegen Mitarbeitende im Homeoffice gerichtet – womit das Einfallstor Heimarbeitsplatz zum wichtigsten Angriffsvektor avanciert ist. Die Gründe dafür sind nachvollziehbar.
Homeoffice musste aus dem Boden gestampft werden – auf Kosten der Sicherheit
Heimarbeit musste im Zuge der Corona-Pandemie im Hauruck-Verfahren eingeführt werden. Wesentlich mehr als einen VPN-Client werden Mitarbeitende aus der IT-Abteilung nicht auf die Rechner der ins Homeoffice Abwandernden installiert haben. So gaben fast die Hälfte aller IT-ler in der Umfrage auch an, dass ein effektiver Schutz der Heimarbeitsplatzrechner wegen mangelnder Einblicke in die jeweiligen Heimnetze der Mitarbeitenden schlicht nicht möglich gewesen sei.
Jene Mitarbeitenden wurden dann von böswilligen Akteuren mit den gängigen Methoden attackiert. Malware wurde weitestgehend über Phishing und Social Engineering auf die Rechner der Heimarbeitenden gespült. Dabei setzten die Angreifer auf aktuelle Angstthemen rund um das neuartige Coronavirus, um die Klickbereitschaft ihrer Opfer zu triggern.
Auch die Sicherheitsexperten des Münchener Unternehmens F5 Labs hatten schon im November 2020 einen Anstieg von Phishing und Malware mit Corona-Angstthemen um mehr als 200 Prozent im Vergleich zur Zeit vor der Pandemie dokumentieren können. Und das Cybersecurity-Unternehmen Proofpoint hatte im August 2021 gemeinsam mit dem privaten Ponemon Institute eine Studie zu Phishing-Angriffen auf US-Unternehmen vorgestellt, die zeigen konnte, dass allein bei den 591 befragten IT-Verantwortlichen deutlich erhöhte Verluste durch Phishing-Angriffe zu verzeichnen waren. Auf etwa 14,8 Millionen Dollar bezeichneten die Befragten die Schäden. Das repräsentiert nahezu eine Vervierfachung der Schadenssumme seit 2015.
Heimarbeit bleibt – Unternehmen reagieren mit mehr Personal für die IT
Die Befragten aus der Forrester-Studie wollen nun vor allem ihr Personal aufstocken, um in der Zukunft mit mehr Manpower gegen die Bedrohungslage vorgehen zu können. Dass sich die Lage rund ums Homeoffice dadurch entspannen wird, dass nahezu alle Beschäftigten wieder ins Büro zurückkehren, glaubt keiner der Befragten. Sie gehen vielmehr davon aus, dass sich das Homeoffice als regulärer Arbeitsplatz für weit mehr Menschen als bisher verstetigen wird.
Die 34-seitige Studie kann kostenfrei und ohne weitere Umstände als PDF heruntergeladen werden.
Was jetzt Pishing mit Homeoffice zu tun haben soll, ist mir aber nicht klar.
Wenn die Angreifer mit Pishing und Social Engineering in das Netz kommen, spielt es absolut keine Rolle, ob sie im Homeoffice oder Büro sitzen – solange sie eine VPN-Verbindung nutzten, so dass die (eventuell) bessere Firewall der Firma noch irgendwelche Seitenaufrufe abblocken kann (wenn die Malewareentwickler ausgerechnet in dem Punkt geschlampt und ihren Host in einem zwielichtigen Netzbereich gehostet haben – also eher eine theoretische Option)
Der Artikel sagt leider nicht viel drüber aus, wieviele der versuche erfolgreich waren oder nicht. Die Tatsache, dass das Aufkommen größer ist, sagt nichts über den Erfolg aus.
Die größte Schwachstelle ist und bleibt der Mensch vor dem PC. Dies ist unabhängig davon, ob dieser zu Hause oder im Büro sitzt.
So lange man den Arbeits-PC nicht für private Zwecke entfremdet oder aber nicht „blindlinks“ auf irgendwelche Links in Emails klickt, bleibt man weitestgehend verschont. Wir werden auch trainiert, indem uns in unregelmäßigen Zeitabständen ungefährliche Phishingmails zugesendet werden. Der „Schockeffekt“ führt dazu, dass bewusst die Emails geprüft werden und dadurch „echte“ Phishingmails sehr geringe bis keine Chance haben.