Mitarbeiter stehen an erster Stelle der Sicherheitskette in einem Unternehmen, gleichzeitig sind sie aber auch der größte Risikofaktor, wenn es um die Cybersicherheit geht. Die wenigsten wissen dabei, dass die Gefahr von Cyberkriminalität auch außerhalb der Arbeitszeiten oder bei mobiler Arbeit omnipräsent ist.

In der vernetzten Welt von heute ist es nicht mehr notwendig an demselben Ort oder im selben Netzwerk zu sein, um miteinander zu kommunizieren oder zu arbeiten. Dies erschwert jedoch die Kontrolle über die sichere Nutzung aller Arbeitsgeräte. Betrüger wissen das und profitieren von der Abwesenheit anderer. Doch was für Lücken ergeben sich und welche Maßnahmen müssen getroffen werden, um das Bewusstsein der Mitarbeiter zu verbessern und somit effektiver auch außerhalb des Arbeitsplatzes vor Cybergefahren geschützt zu sein?

Welche Sicherheitslücken ergeben sich, wenn man sich nicht am Arbeitsplatz befindet?

Egal, ob bei der Buchung einer Geschäftsreise oder dem Versenden einer E-Mail an die Mitarbeiter während der Urlaubszeit – mit einfachsten Tricks verschaffen sich Kriminelle Zugriff auf sensible Firmendaten, selbst wenn gerade niemand im Büro ist.

Zu einem Angriff kann es bereits kommen, bevor eine Reise überhaupt gebucht oder geplant ist. Betrüger rechnen meist schon mit einem Urlaub und versenden Phishing-Mails mit nicht legitimen Urlaubsangeboten zu Hotels oder Flügen, an das E-Mail Konto des Mitarbeiters.

Die vor Urlaubsantritt sonst übliche E-Mail, um Kollegen über die eigene Abwesenheit zu informieren, kann auch zu großem Schaden führen. Sie gibt Angreifern darüber Aufschluss, zu welchem Zeitpunkt sich ein Mitarbeiter nicht im Büro befindet. Cyberkriminelle nutzen dies für einen Identitätsdiebstahl und geben sich als die verreiste Person aus. Dabei werden meist E-Mails von dem vermeintlichen Geschäftsführer des Unternehmens mit Zahlungsaufforderungen auf ein bestimmtes Konto versendet.

Wenn man es dann endlich in den wohlverdienten Urlaub geschafft hat, wird vor allem bei öffentlichen WLAN Netzwerken und Computern sehr zur Vorsicht geraten. Betrüger könnten sich mittels spezieller Software oder über unzureichend gesicherte Anwendungen zwischen dem Opfer und  dem genutzten Gerät platzieren, um die Kommunikation mitzulesen oder zu manipulieren. Dadurch verschaffen sie sich Zugang zu der Unternehmens-IT und sensiblen Daten. Man spricht bei solchen Vorfällen von einem Man-in-the-middle Angriff oder Schatten-IT. Mehr Informationen zu Letzterem finden Sie hier. Also was tun, um einen stressfreien sicheren Urlaub zu genießen?

Ich packe meinen Koffer und nehme mit… 5 Tipps zu cybersicherem Verhalten außerhalb der Arbeitszeit

1. Vorsicht vor Phishing-E-Mails mit Reiserabatten von ungewöhnlichen Adressaten oder Webseiten lieber ignorieren, auf keinen Fall die Links öffnen.
2. Out-Of-Office-Mails, lieber vermeiden und die Abwesenheit auch nicht auf Social Media Kanälen, sondern wenn möglich nur intern veröffentlichen.
3. Lassen Sie Geräte mit sensiblen Unternehmensdaten besser auf der Arbeit oder Zuhause, anstatt sie in den Urlaub mitzunehmen.
4. Vorsicht bei offenen WLAN-Netzwerken! Stellen Sie die Funktion sich automatisch mit offenen WLAN-Netzwerken zu verbinden ab. Nutzen Sie lieber mobile Daten und surfen Sie mit Ihrem Laptop per Handy-Hotspot oder über ein virtuelles privates Netzwerk (VPN).
5. Identität ist der Schlüssel zum Erfolg! Hinterfragen Sie Zahlungsaufforderungen von Kollegen oder Geschäftsführern, wenn diese sich gerade auf Reisen befinden, um einen CEO-Fraud zu verhindern.