Die Corona-Pandemie hat die Unternehmen mehr denn je dazu gezwungen, ihren Mitarbeitern so weit wie möglich die Arbeit von zu Hause aus zu ermöglichen. In diesem Zusammenhang wurden zahlreiche Maßnahmen ergriffen, um die Arbeit außerhalb der Räumlichkeiten des Arbeitgebers sicher zu gestalten:
Unter anderem wurden externe Festplatten und USB-Sticks verschlüsselt oder verboten, Firewalls, Virenscanner und Netzwerke abgesichert, VPNs eingerichtet, eine Vielzahl von Richtlinien erlassen etc. Dennoch bleibt das Gefühl, etwas vergessen zu haben. Die Frage, die sich stellt und der wir in diesem Artikel nachgehen, lautet daher: „Haben Sie wirklich an alles gedacht?“
Gefahrenquelle 1: USB-Geräte
Leider wird vieles vergessen – meist nicht aus Nachlässigkeit, sondern aus Unwissenheit. Damit ist nicht das Funknetzwerk zu Hause gemeint, für das man besser das Netzwerkkabel verwendet. Nein, es sind die USB-Geräte, die oft vergessen werden. Denn wer arbeitet heute noch mit einer kabelgebundenen Tastatur oder Maus? Hier kann es gefährlich sein, am falschen Ende zu sparen.
Es gibt immer noch viele Geräte, die mit einem kleinen USB-Stick installiert werden. Und genau da kann das Problem liegen. Die Software dieser Geräte ist oft lange unverändert, manchmal sogar seit Jahren. Nicht nur das ist eine unterschätzte Gefahrenquelle, auch der USB-Stick selbst kann zu Sicherheitslücken führen. Wurde der Stick vorher gescannt? Wurde er aus einer vertrauenswürdigen Quelle bezogen?
Vor allem bei billigen Geräten kann es zu Problemen kommen. Denn handelsübliche Sticks sind leicht manipulierbar. Wird hier von Dritten ein Unterprogramm in die Installationsroutine eingeschleust, können leicht Spionagesoftware oder Viren auf den Rechner gelangen. Dabei gibt es im Wesentlichen drei Wege:
Eine Spionagesoftware wird direkt ab Werk auf dem Gerät installiert.
Die USB-Sticks werden nachträglich – also nach der Produktion und vor dem Verkauf bzw. der Auslieferung an den Endkunden – ausgetauscht. Die Kosten für das Umpacken sind im Vergleich zum Nutzen eines solchen Angriffs sehr gering. Der Stick wird an einem beliebigen Ort ausgetauscht.
Die Kosten für die Herstellung eines Sticks liegen zwischen 0,6 und 5 USD pro Stück. Für Kriminelle ist das durchaus interessant. Nimmt man z.B. eine billige Variante und „verseucht“ eine Million Mäuse, so kommt man auf Kosten von ca. 1 Mio. USD, die man in der Regel schon beim Weiterverkauf erzielt. Man könnte also mit einer Million Funkmäusen mehrere tausend lohnende Ziele infizieren.
„Die Annahme, Bluetooth wäre die sichere Alternative, ist leider auch nicht korrekt.“
Gefahrenquelle 2: Bluetooth Geräte
Die Annahme, Bluetooth wäre die sichere Alternative, ist leider auch nicht korrekt. Nicht alle Bluetoothgeräte sind auf dem aktuellsten Stand und bieten damit ebenso Angriffsflächen für Hacker. Insbesondere bei den Bluetooth-Tastaturen besteht die Gefahr, dass Dritte die Tastatureingaben aufzeichnen, da die Pairing-Pin (4- bis 6-stellige Pin, die üblicherweise bei der Erstverbindung zwischen beiden Geräten ausgetauscht wird) sehr leicht entschlüsselt werden kann. Hierbei ist weniger der Rechner selbst das Angriffsziel, sondern vielmehr die gesamten Eingaben, um sich darüber Daten und Zugriffe zu verschaffen. Je günstiger eine Tastatur ist, desto höher kann die Gefahr solcher Angriffe sein.
Es bleibt also die Frage, wie dieses Risiko minimiert werden kann. Die Antwort auf diese Frage ist relativ einfach. Wer nicht mit kabelgebundenen Geräten arbeiten möchte, sollte Tastaturen mit einer 128-Bit-AES-Verschlüsselung einsetzen.
Gefahrenquelle 3: Drucker
Ein weiteres Gerät, das die IT-Sicherheit gefährden kann und oft vergessen wird, ist der Drucker, den die Mitarbeiter im Homeoffice nutzen. Diese Gefahr besteht unabhängig davon, ob die Drucker im Netzwerk oder per USB angeschlossen sind.
Drucker haben in der Regel keine eigene Firewall. Befindet sich also ein weiteres ungesichertes Gerät (z.B. ein privater Computer) im Netzwerk, ist ein Angriff über dieses Gerät möglich.
Ein weiteres Risiko stellt der Speicher im Drucker dar. Seit einigen Jahren verfügen Drucker über einen eigenen Speicher, in dem das zu druckende Dokument zwischengespeichert wird. Teilweise verbleibt das Dokument auch nach dem Druck im Speicher und kann somit ausgelesen werden. Dies ist im Hinblick auf die DSGVO äußerst kritisch zu betrachten, auch wenn das Netzwerk abgesichert ist. Denn hier geht es nicht nur um Datenschutz, sondern je nach Berufszweig hat dies sogar strafrechtliche Konsequenzen. So müssen Rechtsanwälte, Ärzte, Steuerberater und viele andere Berufsgruppen sicherstellen, dass keine Daten weitergegeben werden. Dies muss auch beim Verkauf oder der Entsorgung eines Druckers (unabhängig davon, ob dieser in den Räumlichkeiten des Arbeitgebers oder beim Mitarbeiter zu Hause genutzt wurde) gewährleistet sein. Um hier rechtskonform zu handeln, müssen die Festplatten ausgebaut und die darauf befindlichen Daten unwiederbringlich vernichtet werden.
„Diese Gefahr besteht unabhängig davon, ob Drucker im Netzwerk oder per USB angeschlossen werden.“
Gefahrenquelle 4: Fremdzugriffe
Viele Mitarbeiter erhalten ihren Router von ihrem ISP (Internet Service Provider) als Mietgerät. Dies ermöglicht dem ISP einen Fernzugriff, über den beispielsweise die Routersoftware aktualisiert und Nutzerdaten ausgelesen werden können. Nach der DSGVO liegt die Verantwortung für die Einhaltung der gesetzlichen Vorgaben bei jedem Nutzer selbst, so dass blindes Vertrauen in den eigenen ISP keine Sicherheit bietet.
Überträgt man diese Gefahrenquelle auf das Beispiel des Druckers, könnte sich folgendes Bild ergeben: Ein Mitarbeiter druckt ein Dokument aus, dieses verbleibt im Speicher des Druckers.
Ein Mitarbeiter des ISP gelangt so über den Router, zu dem er Zugriff hat, auf den Drucker und damit das Dokument und die darin enthaltenen Daten.
Welche Lösungen gibt es, um ein solches Szenario zu vermeiden?
- Es ist keine Option, Ihrem Mitarbeiter Vorgaben zum Vertragsverhältnis mit seinem ISP zu machen. Jedoch können Sie ihm einen eigenen Anschluss und einen eigenen Router zur Verfügung stellen.
- Verwenden Sie keine netzwerkfähigen Drucker.
- Beschränken Sie generell die Nutzung von Druckern auf ein absolut notwendiges Minimum.
- Verschlüsseln Sie den Druck und stellen den Druckerspeicher auf temporär, sodass dieser Speicher gelöscht wird.
- Schalten Sie den Drucker komplett aus, wenn Sie gerade nicht drucken, anstatt ihn nur in den Sleep-Mode zu versetzen.
- Verwenden Sie keinerlei Eingabegeräte basierend auf Funktechnologien oder stellen Sie alternativ mindestens eine AES128-Verschlüsselung sicher.
- Verwenden Sie kein WLAN, sondern LAN-Kabel.
- Zusammenfassend lässt sich festhalten, dass Sie bei Heimarbeitsplätzen nicht nur an die klassischen USB-Sticks oder Platten denken sollten, sondern auch an Peripherie- oder Funkeingabegeräte. Betrachten Sie das System ganzheitlich und alle Komponenten sowie Zugriffe durch Dritte, wie beispielsweise ISP und gemietete private Endgeräte.