Wenn das Homeoffice zum Sicherheitsrisiko für die Firma wird

#WorkingFromHome: wenn die Mitarbeiter „zu persönlich“ werden​

Bei Videosessions geben Mitarbeiter im Homeoffice oft persönliche Daten preis, die sich als Angriffsvektoren auf das Firmennetz missbrauchen lassen.

Dafür, dass sie möglichst wenig Privates auf Social Media offenlegen sollten, um sich nicht angreifbar zu machen, sind inzwischen viele Mitarbeiter sensibilisiert. Woran die wenigsten denken, sind die privaten Daten, die sie über Videocalls oder auf anderem Weg aus dem Homeoffice verraten. Vermeintlich ist man beim Teams-Meeting ja unter sich – es sind schließlich nur vertrauenswürdige Kollegen im virtuellen Raum. Dass Cyberangreifer, die sich unerkannt im Firmennetz tummeln oder in einen Call schleichen, ihnen dabei über die Schulter schauen könnten, haben die wenigsten auf dem Schirm.

So gewähren sie nicht nur den Kollegen Einblick in das Arbeitsumfeld im Homeoffice, sondern nicht selten auch Betrügern, Erpressern und Scammern, die die dabei gewonnenen Erkenntnisse zum Beispiel zum Social Engineering ausnutzen.

Social Engineering ist nichts grundsätzlich Neues. Problematisch ist die neue Qualität, die durch das verstärkt dezentrale Arbeiten in Kombination mit einer größeren Offenheit entstanden ist. Die Isolierung im Homeoffice während der Pandemiejahre hat unter anderem dazu geführt, dass sich die Menschen aus dem Wunsch nach mehr Kontakt heraus offener zeigen und mehr Einblicke in ihr Privatleben geben. So präsentieren sie unter Hashtags wie #WorkFromHome, #WorkingFromHome oder #HomeOffice nicht nur auf Social Media, wie und wo sie arbeiten. Und sie verraten dabei – bewusst und oft auch ungewollt – für Kriminelle wertvolle Informationen: Wohnung, Einrichtung, die Familie, Haustiere, Hobbys oder auch, wann sie in Urlaub sind.

Solche Informationen werden auch in Videokonferenzen nicht mehr versteckt, sondern zunehmend bewusst gezeigt. So geben Hintergrundbilder oder Fotos, die im Hintergrund zu sehen sind, viel über die Familie und über persönliche Vorlieben preis. Auch andere, für Kriminelle relevante Informationen sind über Videohintergründe, Social Media und private Homepages leicht zu erfahren, etwa Geburtstage, Adressen, Schulabschlüsse und Hobbys. So hängt hinter dem Nutzer vielleicht ein Konzertplakat seiner Lieblingsband oder des Fußballvereins; der Desktophintergrund zeigt ein Foto der Kinder; auf dem Schreibtisch liegt in Sichtweite der Webcam ein Briefumschlag mit der Privatadresse; an der Pinnwand im Hintergrund steckt ein Gutschein für den Geburtstag – und vieles mehr.

Problematisch ist das, weil beispielsweise Passwörter häufig private Bezüge haben – etwa Geburtstage von Kindern oder Partnern, Namen von Haustieren oder von Lieblingskünstlern. Hinzu kommt, dass typische Sicherheitsfragen zum Zurücksetzen des Passworts ja genau solche persönlichen Informationen abfragen: Name des Haustiers, das erste Auto oder den Geburtsort.

Sicherheitsschloss an der Tür, aber gekippte Fenster?

Was nützt es, wenn die IT-Abteilung die Remote-Arbeitsplätze mit allen nur denkbaren Sicherheitsfeatures ausstattet und den Zugang ins Firmennetz nur über VPN ermöglicht – die Mitarbeiter im Homeoffice aber unbedarft Informationen preisgeben?

Es ist erschreckend, wie wenig Infos erfahrene Hacker brauchen, um mithilfe von Passwort-Cracking-Tools und per Social Engineering an sensible Zugangsdaten zu kommen. Oft reicht schon eine E-Mail, die scheinbar von einem Kollegen kommt, den Empfänger persönlich anspricht und beispielsweise einen heißen Tipp zu dessen Hobby verspricht – und schon klickt dieser leichtfertig auf einen Link oder öffnet einen Anhang.

Best Practice

Um Cyberangreifern nicht ungewollt wertvolle Hinweise in Videocalls zu liefern, sind diese drei Regeln einzuhalten:

  • Sorgen Sie dafür, dass bei Videokonferenzen im Hintergrund nichts Persönliches zu erkennen ist: keine Fotos der Familie, nichts, was auf Ihre Hobbys schließen lässt, etc.
  • Bedenken Sie, dass moderne Webcams hochauflösende Bilder liefern, in die ein Angreifer hineinzoomen kann, um vermeintlich Unleserliches doch zu entziffern (etwa Adressen oder Telefonnummern).
  • Richten Sie am besten ein vom Unternehmen geliefertes Hintergrundbild ein oder lassen Sie den Hintergrund durch die Conferencing-Software verschwommen anzeigen, sodass nichts zu erkennen ist, was Angreifern nutzen könnte.

#WorkingFromHome ohne Risiko

Remote-Work bringt ganz neue Sicherheitsrisiken mit sich – neben offensichtlichen auch solche, an die man zunächst nicht denkt. Videocalls per Teams, Zoom oder andere Lösungen sind solche potenziellen Lücken. Hier hilft nur, die Mitarbeiter auf die Gefahren hinzuweisen, die durch unbedarftes oder auch bewusstes Offenlegen von privaten Daten entstehen können. Und dabei geht es nicht (nur) darum, dass die Kollegen oder Kunden den Wäschestapel im Hintergrund nicht sehen sollen…