IT-Compliance

04
Dez.
2025
Strafbarkeitsrisiken für Sicherheitsforscher und Grey-Hat-Hacker

Strafbarkeitsrisiken für Sicherheitsforscher und Grey-Hat-Hacker

Abstract

Das Landgericht Aachen hat mit Beschluss vom 4. November 2024 (74 NBs 34/24) erneut klargestellt, dass § 202a StGB keine „technische Mindestqualität“ der Zugangssicherung voraussetzt. Selbst ein im Quellcode offen einsehbares Passwort kann eine tatbestandsrelevante Zugangsschranke darstellen. Für Sicherheitsforscher und  sog. Grey-Hat-Hacker bedeutet dies ein erhebliches Strafbarkeitsrisiko. Der Fall zeigt exemplarisch die bestehende Diskrepanz zwischen dem Schutzzweck des Computerstrafrechts und dem praktischen Bedarf verantwortungsvoller IT-Sicherheitsforschung.

Sachverhalt und Einordnung

Der zugrunde liegende Fall weist die klassische Struktur einer – in der internationalen IT-Community alltäglichen – Responsible-Disclosure-Situation auf, die in Deutschland jedoch strafrechtlich in eine gänzlich andere Richtung eskalierte. Ein freiberuflicher Entwickler stellte im Rahmen eines Kundenmandats fest, dass eine kommerzielle Software ein Passwort im Klartext enthielt, über das sich eine ungesicherte Verbindung zu einer Datenbank herstellen ließ, in der sich mehrere Hunderttausend sensible Datensätze befanden. Der Entwickler meldete die Schwachstelle, setzte Fristen und forderte datenschutzkonformes Vorgehen. Als der Anbieter nicht reagierte, wandte er sich an ein Fachmedium, um die Schließung der Lücke zu erzwingen. Die Folge war nicht die Behebung des Problems, sondern ein Strafverfahren wegen Ausspähens von Daten gem. § 202a StGB.

AG Jülich: Zugangssicherung als tatbestandliche Hürde

Das zunächst befasste Amtsgericht Jülich (vgl. AG Jülich, 10.05.2023 – 17 Cs 55/23) lehnte den Erlass eines Strafbefehls ab, da es die zentrale tatbestandliche Voraussetzung des § 202a StGB – die „besondere Sicherung gegen unberechtigten Zugang“ – für nicht erfüllt hielt. Ein im Klartext einsehbares Passwort könne die Daten nicht erkennbar schützen. Das Erfordernis einer besonderen Sicherung lege nach Auffassung des Gerichts einen gewissen Mindeststandard nahe, der durch eine derart rudimentäre Maßnahme nicht erfüllt sei. Zugleich wies das Gericht darauf hin, dass das bloße Auffinden eines offen eingebetteten Passworts keine „Überwindung“ einer Zugangsschranke darstelle.

Diese formale Perspektive – Schutz durch tatsächliche technische Barrieren – entsprach lange Zeit der klassischen Auslegung des § 202a StGB, die auf die objektive Wirksamkeit der Sicherung abstellte.

LG Aachen: Abkehr von qualitativen Anforderungen

Das Landgericht Aachen (vgl. LG Aachen, 27.07.2023 – 60 Qs 16/23) hat diese Sichtweise jedoch ausdrücklich verworfen. Nach Auffassung des Landgerichts setzt § 202a StGB nicht voraus, dass die Zugangssicherung tatsächlich wirksam oder professionell ausgestaltet ist. Entscheidend sei allein, dass eine Schutzmaßnahme existiere und dass deren Umgehung ein Mindestmaß an technischem Wissen erfordere. Das Passwort sei, unabhängig von seiner fehlenden Verschlüsselung oder schlechten Implementierung, eine Zugangsschranke. Das Auslesen über die Analyse einer ausführbaren Datei stelle eine Überwindung im Sinne der Norm dar, weil nicht jeder Nutzer ohne spezifische Kenntnisse dazu in der Lage sei.

Diese Wertung, welche das AG Jülich in der zweiten Entscheidung des Falls (vgl. AG Jülich, 17.01.2024 – 17 Cs-230 Js 99/21-55/23) hat erhebliche praktische Konsequenzen. Sie verlagert den Fokus von der Qualität des Schutzes hin zur bloßen Existenz einer – auch noch so unzureichenden – Schutzmaßnahme. Dadurch wird die Strafbarkeitsschwelle empfindlich abgesenkt. Systeme, die elementare technische Standards nicht erfüllen, genießen denselben strafrechtlichen Schutz wie solche, die komplex und professionell gesichert sind.

Keine Rechtfertigung durch Notstand oder Gemeinwohl

Besonders bemerkenswert ist die deutliche Absage des Landgerichts an eine Relevanz guter Absichten. Der Entwickler argumentierte, er habe im Interesse der Datensicherheit gehandelt und Schaden abwenden wollen. Dies ließ das Gericht nicht gelten. Ein rechtfertigender Notstand scheide schon deshalb aus, weil die Gefahr nicht ohne das eigene Vordringen in das System erkennbar gewesen sei. Der Zweck der Handlung könne – so die Kammer – keine Rolle spielen. Das Strafrecht kenne kein ungeschriebenes Privileg für Grey-Hat- oder Ethical Hacking.

Damit grenzt sich das LG Aachen bewusst von internationalen Standards wie „Safe Harbor Policies“ oder Bug-Bounty-Praktiken ab, die genau auf eine Differenzierung zwischen krimineller und verantwortungsvoller Forschung abzielen. Die Entscheidung folgt damit einer streng formalen Linie, die im deutschen Computerstrafrecht tief verankert ist: Das Schutzgut ist der Zugang, nicht die Daten selbst.

Dogmatische Konsequenzen: Das Spannungsfeld von Schutzgut und technischer Realität

Die Entscheidung fügt sich in die nach der Reform 2007 etablierte Rechtsprechung ein, nach der bereits die Verschaffung der Zugriffsmöglichkeit – und nicht erst der tatsächliche Erhalt von Daten – tatbestandsrelevant ist. Durch die jetzige Klarstellung, dass die Zugangssicherung keiner Mindestqualität bedarf, wird § 202a StGB in ein noch weiterreichendes Instrument verwandelt.

Die dogmatische Konsequenz ist, dass das Strafrecht selbst bei erheblichen technischen Mängeln der Betreiber tätig wird, während Forscher, die Lücken transparent machen wollen, erheblichen Risiken ausgesetzt sind. Der präventive Schutzgedanke rückt so weit in den Mittelpunkt, dass die normative Bewertung der Handlungsmotivation vollständig zurücktritt. Der Schutzumfang des § 202a StGB orientiert sich damit ausschließlich an dem Willen des Berechtigten, den Zugang – auf welche Weise auch immer – zu beschränken. Dies führt zu einer Schutzasymmetrie: Die technisch unzureichende Sicherung wird durch das Strafrecht überhöht, die Meldung der Schwachstelle dagegen kriminalisiert.

Das Bundesverfassungsgericht: Keine Annahme der Verfassungsbeschwerde

Besondere Aufmerksamkeit verdient schließlich der Umstand, dass das Verfahren auch das Bundesverfassungsgericht erreichte, ohne jedoch zu einer inhaltlichen Klärung zu führen. Die gegen die strafgerichtlichen Entscheidungen eingelegte Verfassungsbeschwerde wurde gemäß § 93d Abs. 1 Satz 2 BVerfGG nicht zur Entscheidung angenommen. Das Bundesverfassungsgericht sah weder die grundsätzliche verfassungsrechtliche Bedeutung noch eine offensichtliche Grundrechtsverletzung hinreichend dargelegt. Damit vermied das Gericht eine materielle Auseinandersetzung mit der zentralen Frage, ob § 202a StGB im Lichte der Berufsfreiheit aus Art. 12 GG und der fortschreitenden Bedeutung von Sicherheitsforschung verfassungskonform einschränkend auszulegen ist.

Diese Nichtannahme ist aus zwei Gründen bemerkenswert. Zum einen bleibt die vom Beschwerdeführer aufgeworfene Problematik der fehlenden Rechtssicherheit für Sicherheitsforscher weiterhin ungeklärt. Weder wurde eine verfassungskonforme Reduktion des Tatbestandes erörtert noch eine mögliche Pflicht des Gesetzgebers zur Schaffung eines Safe-Harbor-Regimes. Zum anderen zeigt die Entscheidung, dass die verfassungsgerichtliche Kontrolle des Computerstrafrechts im Bereich des Ethical Hacking bislang zurückhaltend ist und die dogmatische Entwicklung weiterhin primär durch die Fachgerichte geprägt wird. Für die Praxis bedeutet dies, dass die bestehenden Unsicherheiten fortbestehen: Die Grenze zwischen strafbarer Zugangsverschaffung und zulässiger Sicherheitsforschung bleibt eine durch die Strafgerichte definierte Linie, deren Konturen erst der Gesetzgeber klarer ausgestalten könnte.

Praktische Auswirkungen: Chilling Effects für die Sicherheitsforschung

Aus Sicht der Sicherheitsforschung ist diese Linie problematisch. Die Meldung einer Sicherheitslücke wird durch das Risiko strafrechtlicher Verfolgung zu einem rechtlichen Hochrisikoverhalten. Entwickler müssen fürchten, dass selbst minimalinvasive Eingriffe in ein Produktivsystem als strafbar bewertet werden. Es ist absehbar, dass Sicherheitslücken weniger häufig gemeldet und länger ausgenutzt werden können. Damit sinkt die allgemeine Cyberresilienz, während der strafrechtliche Schutz von Schwachstellenbetreibern steigt – unabhängig von der Qualität ihrer Sicherheitsarchitektur.

Die Entscheidung verdeutlicht zugleich, dass andere Rechtsgebiete, insbesondere das Datenschutzrecht, in solchen Fällen häufig nicht parallel mobilisiert werden. Während der Hinweisgeber strafrechtlich verfolgt wird, bleiben mögliche Verstöße des Verantwortlichen gegen Art. 32 DSGVO in der strafrechtlichen Betrachtung außen vor. Der strafrechtliche Fokus verengt sich vollständig auf den Zugriff des Forschers.

Reformüberlegungen und legislativer Handlungsbedarf

Vor diesem Hintergrund verwundert es nicht, dass der Gesetzgeber Reformbedarf erkannt hat. Zwar liegt ein Referentenentwurf zur Modernisierung des Computerstrafrechts vor, dieser wird jedoch von der Praxis als unzureichend kritisiert. Er bleibt in seinen Entlastungstatbeständen für Sicherheitsforscher vage, schafft keine echte Rechtssicherheit und lässt zahlreiche Fallkonstellationen – insbesondere unaufgeforderte Analysen produktiver Systeme – weiterhin im strafrechtlichen Risikobereich.

Der Fall zeigt, dass eine grundlegende Neujustierung des Computerstrafrechts erforderlich wäre, um die berechtigten Interessen der IT-Sicherheitsforschung, des Datenschutzes und des Strafrechtsschutzes in ein kohärentes Verhältnis zu setzen. Solange diese Neuregelung aussteht, bleibt die Tätigkeit von Sicherheitsforschern gefährlich und rechtlich schwer kalkulierbar.

Ausblick

Die Entscheidung des LG Aachen markiert eine deutliche Festigung einer strengen, formalistischen Auslegung des § 202a StGB. Sie verdeutlicht, dass das deutsche Computerstrafrecht derzeit keine Differenzierung zwischen kriminell motiviertem Hacking und verantwortungsvoller Sicherheitsforschung kennt. Die Schwelle zur Strafbarkeit ist niedrig; die dogmatische Orientierung am Bestehen einer Zugangsschranke führt zu einer erheblichen Schutzasymmetrie. Der Gesetzgeber ist gefordert, diesen Zustand zu korrigieren, wenn Sicherheitsforschung in Deutschland nicht dauerhaft kriminalisiert und die digitale Resilienz nachhaltig geschwächt werden soll.

Posted by Dr. Mathias Grzesiek in Cybersecurity, IT-Compliance, IT-Strafrecht, Rechtsprechung
21
Apr.
2021
CEO Fraud – Phänomen und strafrechtliche Bewertung

CEO Fraud – Phänomen und strafrechtliche Bewertung

Als schwächstes Glied lässt sich in der Informations- und Kommunikationssicherheit wohl der Mensch ausmachen, dessen sind sich Cyberkriminelle bewusst. Durch psychologische Manipulation können Täter z.B. durch Fernkommunikationsmedien Mitarbeiter von Unternehmen gezielt zu Handlungen verleiten. Dazu geben sich die Täter beispielsweise als Geschäftsführer aus und veranlassen über ausgewählte Mitarbeiter Geldtransfers ins Ausland.[1] Der vorliegende Beitrag beschäftigt sich mit dieser Betrugsart, dem sog. CEO Fraud. Ziel ist es, eine umfassende Darstellung über die vielschichtigen Vorgehensweisen der Täter aufzuzeigen und die Handlungen der Täter im Lichte des deutschen Strafrechts zu würdigen. Dieser Untersuchung kommt auch in Hinblick auf die derzeitige Covid-19-Pandemie eine hohe Bedeutung in der Praxis zu, da das BDI im Zuge der Pandemie verschiedene Kampagnen beobachtet, die sich die komplexe Gesamtsituation um Covid-19 bei betrügerischen Vorgehensweisen zunutze machen.[2] Die bisherigen Behandlungen der Thematik in der Literatur beurteilten insbesondere die zivilrechtlichen Haftungsfragen zwischen Unternehmen und Kreditinstituten.[3] Eine strafrechtliche Beurteilung des Phänomens ist bisweilen nur im begrenzten Maße – in der Konstellation eines nicht erfolgreich durchgeführten CEO Frauds – geschehen.[4] Der Beitrag schließt diese Lücke und soll als Leitfaden für die strafrechtliche Beurteilung und Sanktionsmöglichkeiten der CEO Fraud-Fälle im Allgemeinen dienen. Insbesondere wird betrachtet werden, inwieweit die Strafbarkeit nach deutschem Recht beurteilt werden kann, wenn die Täter aus dem Ausland agieren.

Phänomen CEO Fraud – Die Vorgehensweisen der Täter

Es gibt eine Vielzahl an erprobten betrügerischen Vorgehensweisen, deren sich Täter immer wieder erfolgreich bedienen. Der Enkeltrick ist wohl eine der bekanntesten Betrugsarten. Hierbei missbraucht der Täter regelmäßig die Identität einer nahestehenden Person des Opfers, um dieses unter Vorspielen falscher Tatsachen zu einer Zahlung bzw. zu einer Vermögensdisposition zu verleiten. Dieses Konzept wird bei einem CEO Fraud gegenüber Unternehmen in modifizierter Art und Weise angewendet. Dabei fordert jedoch der „Geschäftsführer“ anstatt des „Enkels“ eine Überweisung oder Herausgabe von Informationen.[5] Das Grundprinzip bleibt jedoch gleich, sodass die Fälle auch als digitaler Enkeltrick bezeichnet werden.[6] Der typische Ablauf eines CEO Frauds zeichnet sich durch ein mehraktiges Tatgeschehen aus und soll folglich dargestellt werden.

Phase 1: Informationsgewinnung

Voraussetzung für die erfolgreiche und gezielte Manipulation ist eine fundierte Kenntnis über das Unternehmen und seine Mitarbeiter. Relevante Informationen sind beispielsweise die Kontaktdaten des CEO, dessen Unterschrift, Unternehmensstrukturen- und Prozesse, Angaben zu Geschäftspartnern, künftige Investments und Mitarbeiterbefugnisse.[7] In dieser Phase müssen insbesondere solche Mitarbeiter identifiziert werden, die Transaktionen eigenständig durchführen können, unter Umständen auch unter Umgehung von innerbetrieblichen Kontrollmechanismen.[8] Die Informationsgewinnung erfolgt über öffentlich zugängliche Websites, Geschäftsberichte und Presseerklärungen sowie durch die Auswertung von Social-Media-Kanälen des Unternehmens und seiner Mitarbeiter.[9] Zudem können relevante Informationen über das sog. Darknet[10], durch technische Maßnahmen, wie Schadsoftware oder durch belanglose, scheinbar gefahrlose Kommunikation mit den Mitarbeitern, durch sog. Social Engineering, beschafft werden.[11]

Phase 2: Planungsstadium

Unter der Würdigung aller relevanten gesammelten Informationen erstellen die Täter realistisch anmutende Szenarien. Die Szenarien spiegeln meist besonders dringliche und vertrauliche Geschäftsvorgänge wider, so z.B. ein Erwerb von Grundstücken, eine Unternehmenstransaktion oder Strafzahlungen.[12] Zudem wird die unternehmensinterne Autorität durch die Annahme der Identität einer Führungsperson ausgenutzt, um den Druck zu erhöhen.[13] Darüber hinaus wird für die Kontaktaufnahme ein Zeitpunkt identifiziert, in welchem die Arbeitsbelastung der Mitarbeiter besonders hoch und die Rückversicherungsmöglichkeiten entlang der bestehenden Kontrollprozesse möglichst gering ist.[14] Dies trifft gerade auf die aktuellen Umstände der Covid-19-Pandemie zu, in denen viele unternehmensinterne Prozesse aufgrund von Home Office und Kontaktbeschränkungen Änderungen unterworfen sind und die Interaktion nahezu ausschließlich auf Fernkommunikationsmedien wie E-Mail oder Telefon beschränkt ist. Es bleibt abzuwarten, ob sich die besonderen Umstände in höheren Fallzahlen von Cyberkriminalität widerspiegeln.

Phase 3: Vertrauensbildung

In dieser Phase erfolgt die erste Ansprache – in der Regel adressiert an einen Mitarbeiter mit operativer Tätigkeit in der Buchhaltung. Sie dient insbesondere der Vertrauensbildung und der Unterdrucksetzung. Dazu wird dem Mitarbeiter meist eine Mail mit einer kurzen Erläuterung des angeblichen Geschäftsvorgangs im Namen der Geschäftsleitung gesendet und zur Kooperation ermutigt. Mit der E-Mail wird der Mitarbeiter zudem zur Verschwiegenheit verpflichtet.[15] Dabei werden insbesondere die Angst, einen Fehler zu begehen, Erfolgsdruck, Stress, Unwissenheit sowie das vermeintlich empfangene besondere Vertrauen des Chefs und die damit empfundene Wertschätzung ausgenutzt.[16] Da die Täter auf das tatsächliche Mail-Konto des CEO in der Regel keinen Zugriff haben, nutzen diese eine ähnliche Adresse[17] unter Verwendung des richtigen Namens des CEO als Alias[18]. Zudem imitieren die Täter bei telefonischen Kontakt mit den Mitarbeitern mittlerweile Stimmen und Sprachmuster von CEOs unter Verwendung von Deep Fakes, um das Vertrauen in die Echtheit des Geschäftsvorgangs zu stärken.[19] Deep Fakes sind mittels Künstlicher Intelligenz (KI) generierte Foto-, Video- und Audioaufnahmen.[20] Dabei wird die KI mit Datensätzen von Reden, Interviews, Bildern etc. gespeist, um Gesichtsausdrücke, Bewegungen und Stimmen des CEOs zu reproduzieren.[21] Ziel ist es dabei, dem Mitarbeiter die Echtheit und Dringlichkeit des Geschäftsvorgangs zu verdeutlichen und jegliche Zweifel zu zerstreuen.

Phase 4: Durchführung

Glauben sich die Täter des Vertrauens des Mitarbeiters sicher, wird der Sachverhalt ausführlicher dargestellt und die Kommunikation konkretisiert. Zudem werden für den Fall der fehlenden weiteren Kooperation und einer nicht erfolgenden zügigen Durchführung der geforderten Transaktion mit Vertragsstrafen oder auch behördlichen Bußgeldern für das Unternehmen gedroht sowie auch persönliche berufliche Konsequenzen für den Mitarbeiter in Aussicht gestellt. Hinzu kommt unter Umständen noch weiterer Kontakt des Mitarbeiters zu angeblichen Anwälten und Mitarbeitern z.B. der Finanzaufsichtsbehörde (BaFin) sowie angeblichen externen Beratern und weiteren Dritten, die bereits in den Geschäftsvorgang involviert sind und auf die Vornahme weiterer Schritte warten.[22] Durch eine kontinuierliche Steigerung des Drucks und eine Intensivierung der Täuschung wird der betroffene Mitarbeiter in eine psychische Zwangslage versetzt, bis das Geld unter Einbeziehung der Bank überwiesen wird oder aber die Täter aufgeben.[23]

Phase 5: Verschleierung

Einhergehend mit der Überweisung verschleiern die Täter die Transaktionen meist über ein globales Geflecht aus Konten, sodass der originäre Zahlungsbetrag automatisch verteilt und das Rückverfolgungsrisiko verringert wird.[24] Zudem wird es das Ziel der Täter sein, die (rechtswidrig) erlangten Gelder zurück in den legalen Wirtschaftskreislauf zu schleusen. So wird es regelmäßig zu Geldwäscheaktivitäten kommen, die ihrerseits strafrechtlich sanktioniert werden können.[25]

Phase 6: Beendigung

Wurde das Geld überwiesen, so beglückwünscht der angebliche CEO den Mitarbeiter für seine Kooperation und Diskretion. Mit lobenden Worten für den bisherigen Umgang mit dem Geschäftsvorfall wird der Mitarbeiter ggf. zu weiteren Transaktionen in ähnlich gelagerten – aber ebenso dringlichen sowie diskreten – Angelegenheiten ermuntert.[26]

Weiterlesen →

Posted by Johannes Kloth in Cybercrime, IT-Compliance, IT-Strafrecht
03
Dez.
2020
IT-Sicherheit im Homeoffice – 7 Praktische Tipps

IT-Sicherheit im Homeoffice – 7 Praktische Tipps

Angetrieben durch die Corona-Krise nimmt der Trend zum Homeoffice stetig zu. Viele Arbeitnehmer arbeiten zum größten Teil – oder sogar ausschließlich – vom privaten Arbeitsplatz zu Hause. Im Homeoffice prallen Privat- und Arbeitsleben aufeinander, was ein Risiko für die IT-Sicherheit bedeutet. Unternehmen sehen sich daher zunehmend mit einer neuen Herausforderung konfrontiert: Der Gewährleistung von IT-Sicherheit im Homeoffice.

Cyber-Angriffe als Bedrohungsrisiko auch im Homeoffice

Cyber-Angriffe auf Unternehmen haben in den letzten Jahren merklich zugenommen. Laut der Cyber-Security-Studie 2020[1] gaben 78 Prozent der befragten Unternehmen an, im laufenden Jahr attackiert worden zu sein. Von 2018 bis 2019 betrug der durch Cyber-Angriffe verursachte Schaden mehr als 100 Milliarden Euro pro Jahr. Verglichen mit den Jahren 2016 und 2017 kam es sogar zu einer Verdopplung der Schadenssumme[2].

Cyber-Angriffe sind vielfältig und können nicht nur unangenehm sein, sondern auch zu erheblichen Vermögensschäden und Reputationsverlusten führen. Folgende Fallkonstellationen sollen der Verdeutlichung dienen:

  • Mit DDoS (Distributed-Denial-of-Service) Attacken werden Systeme gezielt überlastet, um Dienste oder Server zeitweise lahmzulegen. Ein durch eine DDoS-Attacke verursachter temporärer Ausfall eines Onlineshops oder einer Website kann innerhalb weniger Tag zu hohen Umsatzeinbußen führen.
  • Wenn Schadsoftware, wie bspw. Dateisysteme verschlüsselnde Ransomware, eindringt und die IT-Systeme eines Unternehmens lahmlegt, kann dies zu Produktionsausfällen und sogar zu einer kompletten Handlungsunfähigkeit des Unternehmens führen.
  • ATP-Angriffe, bei denen Angreifer über einen längeren Zeitraum gezielt Daten ausspionieren, können zu einem Verlust sensibler Daten oder Geschäftsgeheimnissen führen und dadurch irreversible Schäden verursachen.
  • Beim CEO-Fraud werden Mitarbeiter durch gezielte Video-Calls und E-Mails, bei denen sich der Angreifer als Führungskraft des Unternehmens ausgibt, veranlasst, große Geldbeträge zu überweisen. Diese Methode des sog. Social Engineerings ist zwar technisch anspruchslos, aber weit verbreitet.
  • Beim Phishing versuchen Cyber-Kriminelle mithilfe von gefälschten Webseiten, E-Mails oder Kurznachrichten an sensible Informationen oder Zugriffsdaten zu kommen.

Die Nichteinhaltung angemessener Sicherheitsmaßnahmen erhöht die Gefahr, Opfer eines Cyber-Angriffs zu werden. Dies gilt nicht nur im Büro, sondern auch im Homeoffice.

Optimaler Schutz nur mittels verschlüsselter VPN-Verbindung und MFA

 Bestmöglicher Schutz kann nur gewährleistet werden, wenn das Unternehmen die für das Arbeiten im Homeoffice notwendige Infrastruktur bereitstellt. Hierzu gehört neben der Zurverfügungstellung von sicheren Endgeräten (z.B. Firmen-Laptop oder Diensthandy) auch der geschützte Zugriff auf das Firmennetz via verschlüsselter VPN-Verbindung (Virtual-Private-Network). Dabei erfolgt der Verbindungsaufbau zu einer abgeschotteten Arbeitsumgebung (Terminal-Server oder Virtual-Desktop). Um eine VPN Verbindung aufzubauen, muss eine entsprechende Softwarelösung auf dem Endgerät installiert und eingerichtet werden. In der Regel gibt es vom Unternehmen hierfür Richtlinien und standardisiert genutzte Software.

Idealerweise wird die Verbindung erst dann aufgebaut, wenn sich der Mitarbeiter zuvor mittels einer MFA (Multi-Faktor-Authentifizierung) erfolgreich legitimiert hat. Hierzu ist neben der Eingabe von Login-Daten auch die Freigabe durch einen Hardware-Token (elektronisches Gerät zur Erzeugung eines Einmalpassworts) oder eine Smartphone-App erforderlich. Ist die Verbindung zum Unternehmensnetzwerk einmal aufgebaut, genießt der Mitarbeiter dank Firewall und Echtzeitüberwachung den gleichen Schutz, wie an seinem Arbeitsplatz im Büro. Das technische Konzept wird mittels einer Sicherheitsrichtline ergänzt, die das Unternehmen zur Verfügung stellen sollte. Diese sollte regeln, welche Informationen (auf Papier und auf IT-Systemen) aus dem Unternehmen transportiert und im Homeoffice bearbeitet werden dürfen, wer hierzu befugt ist und welche Sicherheitsvorkehrungen zu treffen sind.

7 praktische Tipps zur Verbesserung der IT-Sicherheit im Homeoffice

Insbesondere aus Kostengründen wird es vielen Betrieben jedoch nicht möglich sein, das beschriebene Konzept umsetzen zu können. Kommen im Homeoffice private Rechner zum Einsatz, besteht ein grundlegendes Sicherheitsrisiko, da der durchschnittliche PC-Anwender nicht über die erforderlichen Kenntnisse verfügt, um ausreichende IT-Sicherheitsmaßnahmen umsetzen zu können.

Mitarbeiter, die ihre privaten Rechner zu Arbeitszwecken nutzen, sind jedoch für die Sicherheit ihrer Geräte verantwortlich und mithin einem Haftungsrisiko ausgesetzt. Grundsätzlich sollte daher jeder Arbeitgeber, der seine Mitarbeiter auf privaten Endgeräten arbeiten lässt, erforderliche Sicherheitsmaßnahmen finanziell und organisatorisch unterstützen.

Nachfolgend werden 7 einfache und leicht umzusetzende Tipps aufgezeigt, wie die IT-Sicherheit am heimischen PC verbessert werden kann:

1. Hard- und Software auf dem neusten Stand halten

Zu einer soliden Arbeitsumgebung gehört, dass ausschließlich Software verwendet wird, die auf dem aktuellsten Stand ist. Nichts macht es Angreifern leichter, als unbekannte Schwachstellen im Programmcode (sog. Zero-Day-Exploits) zu nutzen, um Zugriff auf das Endgerät und damit auf Firmendaten zu bekommen. Notwendig ist es, stets die neuesten Software-Aktualisierungen zu installieren. Das Installieren von Updates und Patches betrifft jedoch nicht nur das Betriebssystem, sondern auch die verwendeten Software Programme, die Gerätetreiber der Hardware sowie den WLAN-Router.

2. Trennung von privaten und geschäftlichen Daten

Die private und geschäftliche Nutzung eines Geräts birgt ein großes Gefahrenpotenzial. Es ist daher empfehlenswert, die beiden Bereiche so gut es geht zu trennen. Die beste Möglichkeit stellt dabei die Nutzung von sogenannten Containern dar. Dabei handelt es sich um Anwendungen, die einen geschützten Bereich auf dem Endgerät abtrennen. Nur innerhalb dieses Containers ist ein Zugriff auf Unternehmensdaten möglich.

Steht keine Container-Software zur Verfügung, so kann eine Trennung der Daten zumindest über separate Benutzerkonten erfolgen. Wird der private Computer für die Arbeit im Homeoffice genutzt, dann sollte hierfür ein separates Konto erstellt werden. Hierdurch können private von geschäftlichen Daten getrennt werden. Das Arbeitskonto sollte selbstverständlich mit einem eigenen Passwort versehen werden.

Was den Zugriff auf das E-Mail-Postfach angeht, sollte dieser via Exchange-Client oder Webmail erfolgen, damit E-Mails nicht auf dem privaten Rechner gespeichert werden.

3. Nutzung aktueller Sicherheitssoftware

Sicherheitsprogramme, die nicht nur vor Computerviren schützen, sondern auch einen Phishing-Schutz und eine Firewall bieten, gibt es bereits für kleines Geld. Virenschutz ist nicht nur empfehlenswert, sondern fast schon obligatorisch. Der Befall des PCs im Homeoffice durch Malware kann sich schnell im gesamten Firmennetzwerk ausbreiten und erhebliche Schäden verursachen.

4. Verschlüsselung der Festplatte sowie portabler Speichermedien

Ein weiterer Tipp besteht darin, die Festplatte des Geräts und externe Speichermedien – wie USB-Sticks, Speicherkarten oder mobile Festplatten – zu verschlüsseln. Hierdurch kann auch im Homeoffice gewährleistet werden, dass Daten geschützt bleiben. Dieser Schutz hilft insbesondere dann, wenn das Notebook oder das Speichermedium verloren geht. Die Verschlüsselung des Datenspeichers ist meist mit den vorhandenen Mittelns des Betriebssystems möglich und verursacht keine zusätzlichen Kosten.

Weiterlesen →

Posted by Dr. Mathias Grzesiek in Cybersecurity, Datenschutz, IT-Compliance, Praxistipps