Sicher unterwegs: 10 IT-Security-Tipps für Geschäftsreisen und Homeoffice
In der modernen Arbeitswelt kommen zahlreiche Endgeräte mittlerweile außerhalb der Bürosphäre – und damit jenseits des klassischen Unternehmensperimeters – zum Einsatz. Gerade im Zuge der Pandemie hat sich die Anzahl der Homeoffice-Arbeitsplätze drastisch erhöht. Parallel dazu pendelt sich auch die Frequenz von Geschäftsreisen wieder auf Vor-Corona-Niveau ein.
Doch jede Verbindung von außerhalb in das Unternehmensnetzwerk ist ein potenzielles Einfallstor für Angreifer. Diese können sich einen Weg zum Netzwerkkern bahnen, indem sie zunächst eine Zweigstelle oder ein mobiles Endgerät kompromittieren. Genau aus diesem Grund hat WatchGuard zehn Tipps zur Cybersicherheit für Geschäftsreisende und Remote-Mitarbeiter zusammengestellt. Wer diese befolgt, macht Hackern das Leben schwer und trägt entscheidend zum Schutz der „Kronjuwelen“ eines Unternehmens bei.
1. Ungeschützten Zugriff aus öffentlichen Netzen vermeiden
Fast jedes Hotel bietet heutzutage ein öffentliches und frei zugängliches WLAN. Es sollte jedoch tunlichst vermieden werden, darüber auf geschäftliche E-Mails oder Unternehmensdokumente zuzugreifen. Stattdessen gilt es, wenigstens ein passwortgeschütztes WLAN ausfindig zu machen, da ein solches nicht jedem offensteht und dadurch zumindest ein gewisser Grundschutz gewährleistet ist. Aufgrund der zunehmend mobilen Einsatzszenarien macht es für IT- und Sicherheitsverantwortliche im Hinblick auf Mitarbeiterproduktivität keinen Sinn, die Nutzung öffentlicher Netze komplett zu untersagen. Wohl aber kommt es darauf an, dass im Zuge des Zugriffs auf ein öffentliches oder privates WLAN, welches nicht der Kontrolle des eigenen Unternehmens unterliegt, bestimmte Sicherheitsvorkehrungen am Endgerät – wie Antivirus-Funktionalität oder hostbasierte Firewalls – Wirkung entfalten. Zudem ist der Einsatz von VPN essenziell, da sich durch die zusätzliche Verschlüsselung verhindern lässt, dass andere Nutzer des öffentlichen Netzwerks E-Mails abfangen oder in sonstiger Weise ihr Schindluder treiben. Öffentliches WLAN ist heutzutage die Basis für viele Mitarbeiter auf Reisen – umso wichtiger ist es, darauf zu achten, dass Endgeräte über entsprechend lückenlose Schutzmechanismen verfügen.
2. Apps vor dem Businesstrip herunterladen
Schadhafte Apps sind in der Lage, auf sämtliche Daten eines Smartphones oder Tablets – einschließlich geschäftlicher Informationen – zuzugreifen und können schnell zum Auslöser eines Cyberangriffs werden. Wer eine App herunterladen möchte, sollte dabei per Smart Device nur auf bekannte Quellen wie den offiziellen Apple oder Google Store zurückgreifen oder – im Fall von Computer-Apps – Angebote aus erster und vertrauenswürdiger Herstellerhand nutzen (Microsoft oder Apple). Raubkopien sind ein No-Go. Denn abgesehen vom Aspekt der Illegalität gilt: Nur wenige Dinge sind wirklich kostenlos und viele raubkopierte Apps kommen mit Malware daher.
3. Bluetooth: lieber ausschalten
Wer seine Bluetooth-Nutzung auf ein Minimum beschränkt, reduziert das Risiko, Opfer moderner Gefahren zu werden. Denn da die Signale aus allen Richtungen kommen, sind Bluetooth-Verbindungen durchaus kritisch zu betrachten. So ist es bei eingeschaltetem Bluetooth beispielsweise möglich, dass Personen in der Nähe eine Verbindung zum Telefon herstellen und das Gerät hacken. Um solche Angriffe zu vermeiden, sollte Bluetooth – wann immer verzichtbar – deaktiviert sein.
4. Keine Links in E-Mails oder auf Websites anklicken
Bei verdächtigen E-Mails ist Vorsicht geboten! Insbesondere dann, wenn diese beispielsweise die dringende Aufforderung erhalten, das Passwort zu ändern oder eine unaufschiebbare Zahlung an einen Lieferanten zu tätigen. Selbst wenn die E-Mail von einem bekannten Kontakt stammt, könnte es sich um Phishing handeln. Die Adresse des Absenders sollte geprüft und die Nachricht im Zweifelsfall weder geöffnet noch beantwortet werden. Falls der Besuch einer in der Nachricht genannten Webseite unbedingt erforderlich ist, sollte die Domain besser manuell eingegeben und nicht auf den Link in der E-Mail geklickt werden.
5. Am besten immer mit Zwei- oder Multifaktor-Authentifizierung (2FA/MFA)
Es gibt leider viele Möglichkeiten, Kennwörter zu stehlen: Phishing und Malware sind mittlerweile bekannt. Der Angreifer könnte eine Webseite mit Passwortabfrage gehackt haben, um an die wertvollen Informationen zu gelangen. Wenn dann genau dieses Kennwort auch den Zugriff zu anderen Ressourcen absichert, werden die Probleme größer. Hier zeigt Multifaktor-Authentifizierung ihre Stärke. Denn jedes Mal, wenn jemand versucht, sich bei einem Konto anzumelden, ist ein zweiter Authentifizierungsfaktor erforderlich. Das kann beispielsweise die Bestätigung einer Benachrichtigung auf dem Mobiltelefon sein. Diese Hürde macht es Angreifern sehr viel schwerer, sich in persönliche Konten einzuhacken – selbst wenn sie im Besitz der Anmeldedaten sind. Die Push Notification dient dabei gleichzeitig auch als eine Warnung, wenn ein Anmeldeversuch von fremder Seite unternommen wird. So kann ein Mitarbeiter bei Missbrauchsverdacht direkt reagieren und gegebenenfalls – für zusätzliche Sicherheit – das Kennwort ändern.
6. Betriebssystem und Software auf aktuellem Stand halten
Software sollte wie empfohlen aktualisieren werden. Wird dies verpasst, können Sicherheitslücken die Folge sein. Bevor es also auf Geschäftsreise geht und direkt danach: Die ausstehenden Systemaktualisierungen nicht vergessen! In der Regel verfügt die IT-Abteilung eines Unternehmens über Prozesse oder Tools, die solche Aktualisierungen erzwingen und automatisieren. Wenn dies der Fall ist, muss möglicherweise nichts unternommen werden. Manchmal fragen diese automatisierten Lösungen jedoch den lokalen Benutzer, ob die Aktualisierung und den Neustart jetzt durchgeführt werden können. Dann sollte sichergestellt sein, dass die Bestätigung erfolgt, bevor das Büro verlassen wird.
7. MFA: Passwörter nur im Notfall ändern
In der Vergangenheit galt die Empfehlung, Passwörter regelmäßig zu ändern, etwa alle sechs bis zwölf Monate. Ziel war es, Angreifern, die in den Besitz der Zugangsdaten gelangen, vielleicht noch rechtzeitig vor dem Missbrauch die Tour zu vermasseln. Bei Anwendung von Multifaktor-Authentifizierung (MFA) sind regelmäßige Passwortänderungen jedoch aus zweierlei Gründen nicht mehr zwingend erforderlich bzw. sogar kontraproduktiv:
Erstens: Datenlecks werden nicht nur im Zuge des MFA-Einsatzes immer schneller offensichtlich. Versucht ein Angreifer, ein gestohlenes Login zu verwenden, wird er dank MFA beim Anmeldeversuch scheitern. Spätestens der wiederholte Versuch ist dann ein klarer Indikator dafür, dass ein Fremder im Besitz der Benutzerdaten ist. In diesem Fall sollte das Passwort selbstverständlich geändert werden. Das gleiche gilt, wenn ein persönliches Kennwort in einer Datenbank aus dem Dark Web auftaucht. Führt eine solche Suche zu einem Treffer, besteht natürlich ebenfalls Handlungsbedarf. Dank MFA ist jedoch nicht länger nötig, Kennwörter, für deren Missbrauch es keine Anzeichen gibt, zu ersetzen.
Zweitens: Es ist kein Geheimnis, dass die Aufforderung zur Passwortänderung auf Anwenderseite grundsätzlich nicht unbedingt auf Gegenliebe stößt. Die damit verbundene Unbequemlichkeit zeigt sich dann viel zu oft auch an der Auswahl neuer Passwörter. Meist werden diese nur marginal modifiziert. Schließlich will man sich ja nicht ständig wieder was Neues merken. So wird aus „MyStr0ngCr3d“ vielleicht erstmal „MyStr0ngCr3d!“, danach möglicherweise „MyStr0ngCr3d!“ und so weiter. Hierbei handelt es sich jedoch nicht um ein neues Passwort, sondern um eine durchaus vorhersehbare Abfolge von kleinen Ergänzungen des bestehenden Passworts. Viele Tools zum Knacken von Passwörtern und Hashwerten kommen solchen Anpassungen schnell und problemlos auf die Spur.
Damit macht MFA definitiv Schluss und ein regelmäßiges Aktualisieren von Passwörtern gehört der Vergangenheit an. Ohne MFA ist es dagegen in jedem Fall riskant, Passwörter nur alle paar Monate zu ändern. Dies sollte dann deutlich häufiger erfolgen, um überhaupt eine Wirkung erzielen zu können.
8. Weniger ist mehr im Hinblick auf die Preisgabe von Standortinformationen
Aktuelle Status-Updates auf sozialen Netzwerken während einer Reise sind für viele Gewohnheit. Durch die öffentliche Freigabe von Standortinformationen entstehen jedoch auch Gefahren. Wer mitteilt, dass er unterwegs ist, liefert Kriminellen wichtige Informationen frei Haus. Denn die Postings zeigen an, wann das Hotelzimmer oder Zuhause verlassen ist. Daher das Posten während der Reise lieber einschränken bzw. bewusst angehen.
9. Alle Geräte sperren
Sichere Passwörter oder PINs zum Schutz von Daten ist eine Seite der Medaille. Mindestens ebenso wichtig ist es, Tablets, Smartphones und Laptops zu sperren, wenn sie nicht benutzt werden. In der Regel gibt es Sicherheitseinstellungen, die einen Ruhemodus erzwingen, der sich durch Fingerabdruck, Gesichtserkennung oder einer PIN aufheben lässt. Selbst wenn es sich nur um eine Minute handelt: an einem öffentlichen Ort die Geräte immer direkt sperren, wenn man den Platz verlässt.
10. Passgenaue IT-Security-Lösungen einsetzen
Hybride Arbeitsformen und Geschäftsreisen sind auf dem Vormarsch, daher ist es notwendig, neuen Sicherheitsanforderungen Rechnung zu tragen. Es geht um ganzheitliche IT-Security, bei der alle Geräte und Endpunkte adäquat geschützt sind – unabhängig davon, wo diese sich befinden. Eine zentrale Verwaltung sowie Transparenz sind in dem Zusammenhang essenziell. Für die Umsetzung passgenauer und weitreichender Security-Konzepte liefert die Unified Security Platform von WatchGuard ein perfektes Fundament.