IT Sicherheit im Homeoffice: Häufig übersehene Gefahrenquellen

Die Corona Pandemie hat Unternehmen mehr als je zuvor gezwungen, ihren Mitarbeitern soweit möglich das Arbeiten aus dem Homeoffice zu ermöglichen. In diesem Zusammenhang wurden viele Maßnahmen ergriffen, um die Arbeit auch außerhalb der Räume des Arbeitsgebers sicher zu gestalten:

Unter anderem wurden externe Festplatten und USB-Sticks verschlüsselt bzw. verboten, Firewall, Virenscanner und Netzwerke abgesichert, VPN eingerichtet sowie eine Vielzahl an Richtlinien erlassen usw. Trotzdem bleibt das Gefühl, etwas vergessen zu haben. Die Frage, die sich stellt und welche wir in diesem Beitrag näher beleuchten, lautet daher: „Haben Sie wirklich an alles gedacht?“

Autor
Thomas Freyer
Principal Oracle Consultant Mehr erfahren
Thomas Freyer
Er unterstützt IT-P-Kunden bei Software-Migrationen aller Art. Dabei greift er auf 20 Jahre internationale Projekterfahrung zurück, die er branchenübergreifend in zum Teil stark regulierten Umgebungen (u. a. FCA, FDA, BaFin) erworben hat. Sein umfangreiches Wissen in den Bereichen Datenschutz und Compliance – gepaart mit seiner technischen Expertise – bringt er bei seinen Kunden wertschaffend zum Einsatz. Dazu spricht er regelmäßig auf Fachkonferenzen und Vorträgen, wie der UKOUG Conference in Dallas.

Gefahrenquelle 1: USB-Geräte

Leider wird so einiges vergessen – meistens nicht aus Nachlässigkeit, sondern aufgrund von Unwissenheit. Dabei ist nicht das Funknetz zu Hause gemeint, bei dem es besser ist, das Netzwerkkabel zu verwenden. Nein, es sind USB-Geräte, die häufig vergessen werden. Denn wer arbeitet heute mit einer schnurgebundenen Tastatur oder Maus? Hier kann es gefährlich sein, an der falschen Stelle zu sparen.

Es gibt noch etliche Geräte, die mit einem kleinen USB-Stick installiert werden. Genau hier kann das Problem liegen. Die Software dieser Geräte ist oft seit Langem unverändert, teilweise sogar seit Jahren. Nicht nur darin liegt eine unterschätzte Gefahrenquelle, sondern auch der USB-Stick selbst kann zu Sicherheitslücken führen. Wurde der Stick vorher gescannt? Wurden die Mäuse aus einer zuverlässigen Quelle beschafft?
Insbesondere bei günstigen Geräten kann es zu Problem kommen. Gewöhnliche Sticks sind nämlich leicht manipulierbar. Wird hier durch Dritte in die Installationsroutine ein Subprogramm eingespielt, können leicht Spionagesoftware oder Viren auf den Rechner gelangen. Es gibt drei wesentliche Wege, wie dies passieren kann:

Direkt ab Werk wird eine Spyware auf dem Gerät installiert.
Die USB-Sticks werden später – das heißt nach Produktion und vor Verkauf bzw. Auslieferung an den Endkunden – ausgetauscht. Die Kosten des Neuverpackens sind im Verhältnis zu den Gewinnen eines solchen Angriffs sehr gering.
Der Stick wird an einer beliebigen Stelle ausgetauscht.
Die Kosten einer Maus liegen in der Produktion zwischen 0,6 und 5 USD pro Stück. Für Kriminelle ist dies durchaus interessant. Nimmt man z. B. eine Billigvariante und „verseucht“ eine Million Mäuse, so kommt man auf Kosten von ca. 1 Million USD, die man im Regelfall schon beim Weiterverkauf erzielt. So könnte man mit einer Million Funkmäusen gleich mehrere tausend lohnende Ziele infizieren. Die hier entstehenden Schäden bzw. Gewinne gehen schnell in die zig Millionen – ein sehr lukratives Geschäft.

Zitat
Die Annahme, Bluetooth wäre die sichere Alternative, ist leider auch nicht korrekt.

Gefahrenquelle 2: Bluetooth Geräte

Die Annahme, Bluetooth wäre die sichere Alternative, ist leider auch nicht korrekt. Nicht alle Bluetoothgeräte sind auf dem aktuellsten Stand und bieten damit ebenso Angriffsflächen für Hacker. Insbesondere bei den Bluetooth-Tastaturen besteht die Gefahr, dass Dritte die Tastatureingaben aufzeichnen, da die Pairing-Pin (4- bis 6-stellige Pin, die üblicherweise bei der Erstverbindung zwischen beiden Geräten ausgetauscht wird) sehr leicht entschlüsselt werden kann. Hierbei ist weniger der Rechner selbst das Angriffsziel, sondern vielmehr die gesamten Eingaben, um sich darüber Daten und Zugriffe zu verschaffen. Je günstiger eine Tastatur ist, desto höher kann die Gefahr solcher Angriffe sein.

Es bleibt also die Frage, wie dieses Risiko minimiert werden kann. Die Antwort auf diese Frage ist relativ einfach. Wer nicht mit kabelgebundenen Geräten arbeiten möchte, sollte Tastaturen mit einer 128-Bit-AES-Verschlüsselung einsetzen.

Gefahrenquelle 3: Drucker

Ein weiteres Gerät, das die IT Sicherheit gefährden kann und oftmals vergessen wird, ist der Drucker, den die Mitarbeiter im Homeoffice nutzen. Diese Gefahr besteht unabhängig davon, ob Drucker im Netzwerk oder per USB angeschlossen werden.
Drucker verfügen in der Regel über keine eigene Firewall. Befindet sich also innerhalb des Netzwerkes ein weiteres ungesichertes Gerät (z. B. ein privater Rechner), so ist ein Angriff darüber möglich.

Ein weiteres Risiko ist der Speicher innerhalb des Druckers. Seit einigen Jahren haben Drucker einen eigenen Speicher, in dem das zu druckende Dokument zwischengespeichert wird. Teilweise verbleibt das Dokument auch noch nach dem Druck im Speicher und ist damit auslesbar. Dies ist im Hinblick auf DSGVO äußerst kritisch zu betrachten, selbst wenn das Netzwerk abgesichert ist. Denn hier geht es nicht nur um Datenschutz, sondern je nach Berufszweig hat es sogar strafrechtliche Auswirkungen. So müssen Rechtsanwälte, Ärzte, Steuerberater und viele weitere Berufsgruppen sicherstellen, dass keinerlei Daten weitergegeben werden. Dies ist auch dann sicherzustellen, wenn ein Drucker (unabhängig davon, ob dieser in den Räumen des Arbeitgebers oder beim Mitarbeiter zu Hause eingesetzt wurde) veräußert oder entsorgt wird. Um hier rechtskonform zu handeln, müssen Festplatten ausgebaut und die Daten darauf irreversibel zerstört werden. Aus diesem Grund ist es empfehlenswert, den Druck – sofern möglich – auf temporäre Speicherung und Verschlüsselung umzustellen. Doch selbst unter diesen Einstellungen gibt es immer noch ein Einfallstor möglicher Angriffe.

Zitat
Diese Gefahr besteht unabhängig davon, ob Drucker im Netzwerk oder per USB angeschlossen werden.

Gefahrenquelle 4: Fremdzugriffe

Viele Mitarbeiter beziehen Ihren Router von Ihrem ISP (Internet Service Provider) als Mietgerät. Dies bietet dem ISP einen Remotezugang, über den beispielsweise die Router-Software aktualisiert wird und Nutzerdaten ausgelesen werden. Gemäß DSGVO liegt die Verantwortung zur Einhaltung rechtlicher Vorgaben bei jedem Nutzer selbst, sodass blindes Vertrauen gegenüber dem eigenen ISP keine Sicherheit bietet.
Übertragen wir diese Gefahrenquelle auf das Beispiel des Druckers, könnte sich folgendes Bild ergeben: Ein Mitarbeiter druckt ein Dokument, dieses verbleibt im Speicher des Druckers. Ein Mitarbeiter des ISP gelangt so über den Router, zu dem er Zugriff hat, auf den Drucker und damit das Dokument und die darin enthaltenen Daten.

Welche Lösungen gibt es, um ein solches Szenario zu vermeiden?

  • Es ist keine Option, Ihrem Mitarbeiter Vorgaben zum Vertragsverhältnis mit seinem ISP zu machen. Jedoch können Sie ihm einen eigenen Anschluss und einen eigenen Router zur Verfügung stellen.
  • Verwenden Sie keine netzwerkfähigen Drucker.
  • Beschränken Sie generell die Nutzung von Druckern auf ein absolut notwendiges Minimum.
  • Verschlüsseln sie den Druck und stellen den Druckerspeicher auf temporär, so dass dieser Speicher gelöscht wird.
  • Schalten Sie den Drucker komplett aus, wenn sie gerade nicht drucken, anstatt ihn nur in den Sleep-Mode zu versetzen.
  • Verwenden Sie keinerlei Eingabegeräte basierend auf Funktechnologien oder stellen Sie alternativ mindestens eine AES128-Verschlüsselung sicher.
  • Verwenden Sie kein WLAN, sondern LAN-Kabel.
  • Zusammenfassend lässt sich festhalten, dass Sie bei Heimarbeitsplätzen nicht nur an die klassischen USB-Sticks oder Platten denken sollten, sondern auch an Peripherie- oder Funkeingabegeräte. Betrachten Sie das System ganzheitlich und alle Komponenten sowie Zugriffe durch Dritte, wie beispielsweise ISP und gemietete private Endgeräte.
RISIKO ASSESSMENT
Jetzt kostenfreies Risiko Assessment durchführen