Versicherer sehen weiterhin massive Sicherheitslücken beim mobilen Arbeiten
Weite Teile der deutschen Wirtschaft sind noch immer nicht ausreichend gegen die Risiken des mobilen Arbeitens gewappnet. Das zeigen mehrere Umfragen im Auftrag des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV).
Jedes zweite Unternehmen lässt zu, dass die mobile Arbeit auf privaten Geräten erledigt wird, ein Viertel kommuniziert über Messenger-Dienste wie WhatsApp, in fünf Prozent nutzen Beschäftigte sogar ihre privaten Mail-Adressen für geschäftliche E-Mails.
„Nur acht Prozent der Unternehmen, in denen mobil gearbeitet wird, haben ihre IT-Sicherheits- und Datenschutzregeln überarbeitet. Nur sieben Prozent haben in zusätzliche IT-Sicherheit investiert“, sagt GDV-Hauptgeschäftsführer Jörg Asmussen unter Berufung auf eine Forsa-Umfrage unter mittelständischen Unternehmen.
Gleichzeitig lässt jedes zweite Unternehmen zu, dass die mobile Arbeit auf privaten Geräten erledigt wird, ein Viertel kommuniziert über Messenger-Dienste wie WhatsApp, in fünf Prozent nutzen Beschäftigte sogar ihre privaten Mail-Adressen für geschäftliche E-Mails. „Dass zu Beginn der Pandemie viele Sicherheitsroutinen gestört waren, ist noch verständlich. Aber wer seine Prozesse jetzt noch nicht an die neue Situation angepasst hat, handelt fahrlässig und lädt Cyberkriminelle und Betrüger geradezu ein“, so Asmussen.
Neben der IT-Sicherheit leiden auch Datenschutz und Compliance
Bei den Versicherern schlagen sich die neuen Sicherheitslücken in der Cyber- und in der Vertrauensschadenversicherung nieder. „Cyberkriminelle nutzen die neuen Schwachstellen ganz gezielt für ihre Angriffe aus. So sind etwa private Geräte und E-Mail-Accounts in aller Regel viel schlechter geschützt als die firmeneigene IT. So verlieren Unternehmen die Kontrolle über ihre IT-Sicherheit und damit über die Sicherheit ihrer Daten“, sagt Ole Sieverding, Underwriting Manager Cyber bei Hiscox und Mitglied der GDV-Projektgruppe Cyberversicherung.
Neben der IT- und Datensicherheit leidet in der Corona-Pandemie auch der Schutz gegen Betrüger von innen und außen. In einer YouGov-Umfrage unter Angestellten deutscher Unternehmen berichtete nur jeder fünfte mobil Arbeitende von angepassten Sicherheitsmaßnahmen. In manchen Unternehmen scheint die Sicherheit sogar bewusst vernachlässigt zu werden: Immerhin 12 Prozent sagen, dass sie Compliance- und Sicherheitsregeln beim mobilen Arbeiten nicht vollständig befolgen und sie stattdessen „flexibel“ handhaben könnten. „Ein solches Umfeld ist für Betrüger ein Eldorado“ sagt Rüdiger Kirsch, Global Fidelity Expert bei Euler Hermes und Vorsitzender der GDV-Arbeitsgemeinschaft Vertrauensschadenversicherung. „Wenn viele Ansprechpartner schwerer zu erreichen sind, der persönliche Kontakt zu Vertragspartnern und der informelle Austausch mit den Kollegen fehlt, müssen die Compliance-Regeln uneingeschränkt gelten, besser noch verschärft werden“, so Kirsch.
Risiko mobiles Arbeiten: So können sich Unternehmen schützen
- Sicheren Zugriff auf Unternehmensanwendungen und -daten gewährleisten, zum Beispiel über ein VPN-Netzwerk mit entsprechender Authentifizierung der Nutzer.
- Berufliches und Privates strikt trennen: Mitarbeiter sollten berufliche Geräte, E-Mail-Adressen und Passwörter nicht für private Zwecke nutzen dürfen. Umgekehrt sollten sie keine privaten Geräte, E-Mail-Adressen und Passwörter für geschäftliche Zwecke verwenden müssen.
- Auch mobil arbeitende Beschäftigte regelmäßig schulen und für die drohenden Gefahren sensibilisieren; klare Regeln für den Schutz der mobil genutzten Daten aufstellen.
- Wichtige Vorgänge wie größere Zahlungsanweisungen oder die Änderung der Kontodaten von Kunden und Lieferanten im 4-Augen-Prinzip und auf zwei Kommunikationswegen prüfen lassen, zum Beispiel durch die telefonische Bestätigung einer E-Mail-Anweisung. Für die Kontaktaufnahme zur Gegenprüfung nur bereits bekannte Telefonnummern und Mail-Adressen nutzen: Bei einem Betrugsversuch werden über den „Antworten“-Button oder per Rückruf-Knopf doch wieder nur die Kriminellen erreicht.
- Offenheit und Ansprechbarkeit sicherstellen: Viele Kriminelle setzen ihre Opfer unter Zeitdruck, die wichtigsten Telefonnummern sollten daher immer griffbereit sein. Zudem sollten alle Mitarbeiter die zuständigen IT-, Datenschutz- und Compliance-Verantwortlichen kennen und problemlos ansprechen können.
- Um gegen die wachsende Gefahr durch Stimmensimulatoren gewappnet zu sein, sollten Zahlungsanweisungen niemals am Telefon und schon gar nicht per WhatsApp-Sprachnachricht entgegengenommen werden.
Cyber- und Betrugsrisiken des mobilen Arbeitens – Praxisbeispiele
-
Ransomware
Betroffenes Unternehmen Steuerberatung Vorgehensweise der Täter Cyberkriminelle verschlüsseln mithilfe einer Schadsoftware sämtliche Daten und sperren alle IT-Systeme des Unternehmens. Sicherheitslücke / Die Tat begünstigende Umstände Alle Beschäftigte inklusive der IT-Abteilung arbeiten pandemiebedingt aus dem Home-Office. Niemand kann mehr auf das verschlüsselte Unternehmens-etzwerk zugreifen. Die IT-Abteilung muss inklusive externer IT-Krisenexperten wieder physisch ins Büro kommen, um das Unternehmensnetzwerk zunächst in einem Offline-Notbetrieb neu aufzubauen. Erst nach und nach können Zugriffe von außen wieder freigegeben werden, damit die anderen Abteilungen ihrer gewohnten Arbeit nachgehen können. Schaden für das Unternehmen Tagelange Betriebsunterbrechung; Kosten für IT-Forensik (Analyse zur Aufklärung des Angriffs); Wiederherstellung der IT-Systeme und Unternehmensdaten; insg. niedriger sechsstelliger Betrag. Präventionsmöglichkeiten Ausgearbeitete und stets aktuelle Notfallpläne für den Ausfall des IT-Systems; vertragliche Vereinbarung mit kompetentem IT-Dienstleister für IT-Notfälle; regelmäßige Sicherungskopien außerhalb des direkten Zugriffs Versicherungsschutz Cyberversicherung -
Zugangsdaten
Betroffenes Unternehmen Arztpraxis Vorgehensweise der Täter Cyberkriminelle infizieren den Privatrechner des Arztes mit einem Keylogger (dient zur Aufzeichung der Tastatureingaben) und gelangen so an die Zugangsdaten für den Fernzugriff auf die Praxis-IT. Über diesen Fernzugriff gelangen die Täter an vertrauliche Patientendaten. Sicherheitslücke / Die Tat begünstigende Umstände Das private Endgerät des Arztes ist deutlich schlechter geschützt und höheren Risiken ausgesetzt als die von der eigenen IT kontrollierten Geräte in der Praxis. Schaden für das Unternehmen Kosten für IT-Forensik; Anwaltskosten im Zusammenhang mit der Information der betroffenen Patienten und der zuständigen Datenschutzbehörde; insg. mittlerer fünfstelliger Betrag; zusätzlich Vertrauensverlust bei betroffenen Patienten. Präventionsmöglichkeiten Verzicht bzw. Verbot, private Geräte für den Zugriff auf berufliche Dokumente und Daten zu nutzen; Ausstattung aller mobil arbeitenden Beschäftigten mit sicheren Endgeräten, die wiederum nicht für private Zwecke genutzt werden dürfen. Versicherungsschutz Cyberversicherung -
CEO-Fraud
Betroffenes Unternehmen Krankenhaus Vorgehensweise der Täter Die mobil arbeitende Chef-Buchhalterin erhält von einer privaten Mail-Adresse, die den Namen des Klinik-Geschäftsführers trägt, innerhalb von 15 Minuten drei Mails zu einem angeblichen Kauf von Wertpapieren. Mit der Bitte um äußerste Diskretion erhält sie die dringende Anweisung, rund 350.000 Euro auf ein ungarisches Konto zu überweisen. Die Buchhalterin lässt die Zahlung von einer ebenfalls mobil arbeitenden Mitarbeiterin freigeben und überweist das Geld. Sicherheitslücke / Die Tat begünstigende Umstände Obwohl der Geschäftsführer im Krankenhaus vor Ort und telefonisch erreichbar war, unterbleibt jeder Versuch, den Inhalt der Mails zu verifizieren. Schaden für das Unternehmen Ausschließlich Anwaltskosten; durch eine schnelle Intervention der Hausbank und nach Einschalten von Rechtsanwälten, Polizei und Staatsanwaltschaft konnte das überwiesene Geld vollständig zurückgeführt werden. Präventionsmöglichkeiten Bestätigung von Zahlungsanweisungen über hohe Summen auf einem zweiten, bekannten Kommunikationsweg; gesundes Misstrauen und erhöhte Aufmerksamkeit bei allen Vorgängen, die auch nur irgendwie skurrill wirken, insbesondere bei Anweisungen mit hohem Zeitdruck; Kultur der Offenheit und Ansprechbarkeit pflegen. Versicherungsschutz Vertrauensschadenversicherung -
Ungetreuer Buchhalter
Betroffenes Unternehmen Automobilzulieferer Vorgehensweise der Täter Buchhalter weist mehr als 200 Zahlungen auf eigene Konten an. Als Zahlungsempfänger gibt er reale Kunden seines Arbeitgebers an und "belegt" die Richtigkeit der Überweisungen anhand fiktiver oder bereits bezahlter Rechnungen. Sicherheitslücke / Die Tat begünstigende Umstände Das 4-Augen-Prinzip für die Freigabe von Zahlungen wurde beim mobilen Arbeiten nicht mehr als echte Prüfung unter Inaugenscheinnahme der Rechnungen, sondern vielmehr als rein mechanisches Bestätigen des Zahlungsvorgangs wahrgenommen. Schaden für das Unternehmen Insgesamt unterschlug der Buchhalter einen hohen sechsstelligen Betrag; von der Summe dürfte nur ein Bruchteil vom Täter wieder einzubringen sein. Präventionsmöglichkeiten Striktes Einhalten des 4-Augen-Prinzips auch beim mobilen Arbeiten; Prüfer muss jederzeit in der Lage sein, die der Zahlung zugrunde liegenden Rechnungen unkompliziert einzusehen. Versicherungsschutz Vertrauensschadenversicherung
Hintergrund: Über die Umfragen
Im Auftrag des GDV hat die Forsa Gesellschaft für Sozialforschung und statistische Analysen mbH eine repräsentative Befragung von 300 Entscheidern in kleinen und mittleren Unternehmen (max. 250 Mitarbeiter und max. 50 Mio. Euro Jahresumsatz) durchgeführt. Zu dieser Größenklasse zählen mehr als 99 Prozent der in Deutschland tätigen Unternehmen. Ebenfalls im Auftrag des GDV befragte das Meinungsforschungsinstitut YouGov insgesamt 2.016 Arbeitnehmer mit einem Computerarbeitsplatz in Deutschland, von denen rund die Hälfte (914) ganz oder teilweise mobil arbeiteten. Die Befragungen fanden im Frühjahr bzw. Sommer 2021 statt.