Wissen im Service | USU Blog

Hacker im Homeoffice

Geschrieben von Daniel Gakstatter | Mar 11, 2022 12:09:21 PM

Seit März 2020 konnten wir alle miterleben, dass es eine deutliche Verschiebung der Präsenzarbeit vom Büro hin in die eigenen vier Wände gab. Dies hat nicht nur Vorteile – auch Cyber-Kriminelle nutzen das für ihre Aktivitäten…

Homeoffice ruft Hacker auf den Plan

Obwohl die Pandemie langsam an Stärke zu verlieren scheint, ist für viele das Thema Homeoffice weiter sehr präsent und wird dies auch noch lange Zeit bleiben. Damit verbunden sind aber nicht nur die Einrichtung der Infrastruktur zu Hause oder positive Effekte wie der Wegfall der Fahrtzeit, sondern auch Themen wie Video- oder Telefonkonferenzen oder der Austausch von Daten und Informationen über das Internet. Ein Großteil der Bürokommunikation findet aktuell digital statt. Diese digitale Quelle an Daten wirkt sehr anziehend auf eine Gruppe von Personen, welche nichts Gutes im Schilde führt – Cyber-Kriminelle. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt fest: „Die umfassende, plötzliche Mehrnutzung von Digitalisierungsprodukten eröffnet Angreifern eine stark vergrößerte Angriffsfläche für ihre kriminellen Aktivitäten.“ Während für viele Unternehmen die Anpassung an die Digitalisierung nur schleppend möglich war, war dies eine willkommene Gelegenheit für Hacker, die schnell auf die situativen Veränderungen reagierten. Der Vorteil für sie ist gerade der digitale Raum, denn hier kann ein Angriff von einem physisch sehr entfernten Ort stattfinden, bspw. sogar von einem anderen Kontinent, und damit ist das Risiko für den Angreifer sehr gering.

Erfahren Sie hier mehr über Cyber Security bei der USU

 

 

Angriffsvektoren

Natürlich sind die in der Vergangenheit bereits beliebten Angriffsarten weiterhin stark vertreten, wurden aber in der jüngsten Vergangenheit deutlich verstärkt registriert. 

Source: [solarseven]/[iStock / Getty Images Plus] via Getty Images

So lagen beispielsweise in 2020 DDOS-Angriffe um 81% gegenüber dem Vorjahreswert und sind auch das ganze Jahr 2021 über weiter stark angestiegen. Bei DDOS-Angriffen geht es meist darum, eine Webseite oder ein Netz durch sehr viele Anfragen lahmzulegen. Dies ist für Angreifer mit relativ wenig Wissen möglich, kann aber auf der Seite des Angegriffenen für großen Schaden sorgen. Man stelle sich vor, das ein oder andere Onlineportal wäre für einige Zeit nicht erreichbar - die potenziellen Gewinnausfälle wären erheblich.
Aber auch speziell durch Corona getrieben wurden andere Angriffe deutlich verstärkt. So gab es beispielsweise große Wellen von Phishing-Kampagnen. Hier geht es vor u.a. darum, mit einer Mail den Nutzer dazu zu bewegen, auf einen Link zu klicken, um weitere Daten oder Informationen abzugreifen. Häufig wurde speziell die Corona-Fördermittel oder Impfterminvergabe als Lockmittel genutzt, um ahnungslose Menschen zur Angabe persönlicher Daten zu bewegen. Für viele, die auf solche Fördermittel angewiesen sind, war zudem durch die immer professioneller werdenden Emails und Webseiten nur schwer erkennbar, dass die eingegebenen Bankinformationen in falsche Hände geraten.

Eine relativ neue Gefahrenquelle entsteht durch die Tatsache, dass viele Meetings nun auch im digitalen Raum stattfinden. Einerseits mag es durchaus lustig sein, wenn es jemanden gelingt, sich in das streng geheime Treffen der EU-Verteidigungsminister „einzuhacken". Andererseits kann das Gefahrenpotenzial hoch sein, wenn fremde Personen unbemerkt in Konferenzen mitlauschen oder an die immer größere werdende Anzahl an Aufnahmen kommen und so bspw. Unternehmensgeheimnisse erfahren.

Doch nicht nur Unternehmen sind von den Angriffen betroffen, sondern auch Privatpersonen. Denn da sich nun vieles auch in den eigenen vier Wänden, also im Heimnetzwerk abspielt, sind diese für Cyber-Kriminelle deutlich attraktiver geworden. Oftmals verbirgt sich hinter einem Heimnetzwerk nicht nur eine lange Liste von Geräten, die – sollte man Zugriff auf das Netzwerk haben – meist nur unzureichend geschützt sind, sondern nun sind u.U. auch z.B. Geschäftslaptops Teil des Heimnetzwerks, über welche man Zugang zum Firmennetz erreichen könnte. Wenn es also einem Angreifer gelingt Zugang zum Heimnetz zu erhalten, kann dieser ggf. sowohl private Informationen als eventuell auch Firmendetails abgreifen und doppelt profitieren. Um speziell dem Angriff auf Firmen entgegenzuwirken, gibt es oftmals erweiterte Sicherheitsmaßnahmen wie beispielsweise ein VPN mit mehreren Passwörtern (Stichwort: Mehrfachauthentifizierung), so dass der reine Zugang zum privaten Netzwerk dann nicht ausreicht.

Security vs. Usability

Damit sind wir bei einem der Hauptprobleme der Thematik angelangt: Security vs. Usability. Es ist immer eine Art Kompromiss, den man zwischen diesen Punkten eingehen muss. Je einfacher der Zugang für den Nutzer ist, desto einfacher ist es in der Regel auch für einen Hacker, unerlaubt einzudringen. Erweitert man bspw. einen Anmeldevorgang neben dem Passwort noch um eine TAN auf dem Smartphone, so muss der Angreifer nun auch dieses in Besitz bekommen, um einzudringen. Die Sicherheit steigt also stark. Auf der anderen Seite geht dies aber zulasten des Nutzerkomforts, denn der Anwender muss nun bei jeder Anmeldung sein Smartphone dabeihaben. Dass das Passwort, das man sich nicht merken will oder kann, nun zuhause am Rechner klebt und nicht mehr im Büro, ändert an der Tatsache, das dies generell schlecht ist, nur wenig.

Security in unserem Arbeitsalltag

Nach dieser Übersicht zu verschiedenen Themen rund um Security nun zu uns. Was haben wir in unserem Berufsalltag damit zu tun? Zum einen sind auch wir persönlich von der Passworteingabe des VPN der Token usw. betroffen, zum anderen entwickeln und betreiben wir Software für unsere Kunden. Und diese Software wird in der Regel von unterschiedlichen Nutzern verwendet, seien es kundeninterne Anwender oder bspw. auch die Nutzer weltweit zugreifbarer Webseiten. Die Annahme, dass bei „internen“ Systemen keine oder weniger Sicherheit notwendig ist, sei hier explizit verneint. Es sind weiterhin über 40% interne Nutzer, welche für einen Datenverlust verantwortlich sind. Und wie ein alter Spruch so schön sagt: „Eine Kette ist nur so stark wie ihr schwächstes Glied“, soll heißen: es reicht ein einzelner Anwender aus, um Zugang zum System zu bekommen. Es reicht aus, wenn bei einer Webseite auch nur ein Angriff möglich ist, der die Daten der Nutzer auslesen lässt. Jeder Angriff, bei dem Daten verloren gehen, kann zu folgenschweren Problemen führen. Das sind einerseits die direkten monetären Aufwände, welche z.B. bei der Wiederinstandsetzung eines ausgefallenen Systems anfallen. Viel mehr aber noch die Imageschäden, welche durch den Verlust von Kundendaten entstehen können. Im Durchschnitt sprechen wir bei einem Datenverlust in Deutschland von einem Schaden in Höhe von 4,45 Millionen US-Dollar. Das ist kein Betrag, mit dem man sorglos umgehen sollte.

Schritte zur Vermeidung

Ich denke, Security im Allgemeinen wird den meisten ein Begriff und das ein oder andere vielleicht auch schon bekannt sein. Die eigentliche Frage ist nun, was können wir machen, um bei unseren Entwicklungen und Kundenprojekten für ausreichend Sicherheit zu sorgen? So einfach zusammenfassen lässt sich das leider nicht – zuerst einmal ist es jedoch wichtig, genügend Zeit für dieses Aufgabe zu berücksichtigen. Security ist kein Thema, welches man am Ende eines Projektes noch „obendrauf“ setzen kann, sondern muss vielmehr von Anfang an bei z.B. Rollenkonzepten, Infrastruktur- bzw. Schnittstellenthemen oder auch Datenbankanbindung etc. beachtet werden. Ein PenTest, also eine Security-Prüfung der Anwendung, ist definitiv zu empfehlen und wird von vielen Kunden bereits gefordert. Dieser allein reicht jedoch nicht aus. Vielmehr muss dieses Thema bereits bei der Entwicklung berücksichtigt werden, damit keine Sicherheitslücken entstehen.

Erfahren Sie hier mehr über Cyber Security bei der USU.