Homeoffice-Security
23.06.2022, 12:40 Uhr
NCSC warnt vor dem Gebrauch von Firmen-VPN mit privaten Rechnern
Das Nationale Zentrum für Cybersicherheit (NCSC) warnt derzeit vor der Verwendung von privaten Rechnern, um auf Firmennetzwerke zuzugreifen. Selbst bei der Verwendung einer VPN-Verbindung (Virtual Private Network), sei dies nicht sicher.
Für die Arbeit im Homeoffice sollte ein vom Unternehmen eingerichteter und gehärteter Rechner verwendet werden, empfiehlt das NCSC
(Quelle: Paige Cody/Unsplash)
Das Arbeiten von unterwegs oder von zu Hause aus ist in vielen Unternehmen zum Regelfall geworden. Für die Erhöhung der Cybersicherheit spielt der sichere Fernzugriff via VPN (Virtual Private Network) auf das Unternehmensnetzwerk eine zentrale Rolle. Wird diese Technik allerdings zu sorglos eingesetzt, kann das Risiko von Cyberangriffen massiv steigen.
Hiervor warnt das Nationale Zentrum für Cybersicherheit (NCSC) in einem aktuellen Beitrag auf der eigenen Webseite. Ausgangspunkt für die Warnung ist ein Vorfall, der dem NCSC vor Kurzem gemeldet worden ist. Dabei ist es Angreifern gelungen, sich Zugriff auf einen privaten Computer zu verschaffen und sich dann via Fernzugriff in das Firmennetzwerk einzuschleusen. Anschliessend haben die Hacker laut NCSC Daten kopiert und die Firma mit der Veröffentlichung dieser Informationen erpresst.
Auslöser war offenbar eine Schadsoftware auf dem persönlichen Rechner eines Mitarbeitenden, welche die Zugangsdaten der VPN-Verbindung ausspionierte. So konnten sich die Angreifer Zugang verschaffen und sich dann im Firmennetzwerk ausbreiten.
Privater Rechner als Schwachpunkt
Das NCSC betont bei der Beschreibung des Falls, dass der Mitarbeitende für den VPN-Zugriff keinen Firmencomputer, sondern sein privates Gerät genutzt habe. Dies sei bedenklich. Denn privat genutzte Computer seien nicht unter der Kontrolle der Firma und somit sei nicht sichergestellt, dass Sicherheitsstandards der Firma befolgt, die Updates eingespielt oder Installationen von Software, und somit auch Schadsoftware, blockiert werden, gibt das Zentrum zu bedenken.
Das Risiko erhöht sich gemäss NCSC zusätzlich, wenn der Computer ausserdem von weiteren Familienmitgliedern genutzt wird. Problematisch sei darüber hinaus, dass die bei einem Vorfall für die Firmen-IT benötigten und hilfreichen Log-Dateien nicht, oder nur unvollständig, vorhanden seien, da diese auf dem Privatgerät nicht oder nicht vollständig aufgezeichnet werden.
Leitfäden für Firmen und Mitarbeitende
Der erwähnte Vorfall zeigt einmal mehr, wie wichtig die Absicherung des Home-Office-Rechners ist. Das NCSC verweist in diesem Zusammenhang auf zwei Leitfäden – einen für Unternehmen und einen für Mitarbeitende im Heimbüro, die das Zentrum in jüngster Zeit veröffentlicht hat.
