Sicherheit im Homeoffice
27.06.2022, 09:10 Uhr
Gebrauch von Firmen-VPN mit privaten Rechnern unsicher
Das Nationale Zentrum für Cybersicherheit der Schweiz (NCSC) warnt derzeit vor der Verwendung von privaten Rechnern, um auf Firmennetzwerke zuzugreifen. Selbst bei der Verwendung einer VPN-Verbindung sei dies nicht sicher.
Das Arbeiten von unterwegs oder von zu Hause aus ist in vielen Unternehmen zum Regelfall geworden. Für die Erhöhung der Cybersicherheit spielt der sichere Fernzugriff via VPN (Virtual Private Network) auf das Unternehmensnetzwerk eine zentrale Rolle. Wird diese Technik allerdings zu sorglos eingesetzt, kann das Risiko von Cyberangriffen massiv steigen.
Hiervor warnt das Schweizer Nationale Zentrum für Cybersicherheit (NCSC) in einem aktuellen Beitrag auf seiner Webseite. Ausgangspunkt für die Warnung ist ein Vorfall, der dem NCSC vor Kurzem gemeldet wurde. Dabei sei es Angreifern gelungen, sich Zugriff auf einen privaten Computer zu verschaffen und sich dann via Fernzugriff in das Firmennetzwerk einzuschleusen. Anschließend haben die Hacker laut NCSC Daten kopiert und die Firma mit der Veröffentlichung dieser Informationen erpresst.
Auslöser war offenbar eine Schadsoftware auf dem persönlichen Rechner eines Mitarbeitenden, welche die Zugangsdaten der VPN-Verbindung ausspionierte. So konnten sich die Angreifer Zugang verschaffen und sich dann im Firmennetzwerk ausbreiten.
Privater Rechner als Schwachpunkt
Das NCSC betont bei der Beschreibung des Falls, dass der Mitarbeitende für den VPN-Zugriff keinen Firmencomputer, sondern sein privates Gerät genutzt habe. Dies sei bedenklich. Denn privat genutzte Computer seien nicht unter der Kontrolle der Firma und somit sei nicht sichergestellt, dass Sicherheitsstandards der Firma befolgt, die Updates eingespielt oder Installationen von Software, und somit auch Schadsoftware, blockiert werden, gibt das Zentrum zu bedenken.
Das Risiko erhöht sich gemäß NCSC zusätzlich, wenn der Computer außerdem von weiteren Familienmitgliedern genutzt wird. Problematisch sei darüber hinaus, dass die bei einem Vorfall für die Firmen-IT benötigten und hilfreichen Log-Dateien nicht oder nur unvollständig vorhanden seien, da diese auf dem Privatgerät nicht oder nicht vollständig aufgezeichnet werden.
Leitfäden für Firmen und Mitarbeitende
Der erwähnte Vorfall zeigt einmal mehr, wie wichtig die Absicherung des Home-Office-Rechners ist. Das NCSC verweist in diesem Zusammenhang auf zwei Leitfäden – einen für Unternehmen und einen für Mitarbeitende im Heimbüro, die das Zentrum in jüngster Zeit veröffentlicht hat.