IT-Risiken im Rahmen der Corona-Pandemie: Handlungsempfehlungen für IT Freelancer_Florian Lopinski

IT-Risiken im Rahmen der Corona-Pandemie: Handlungsempfehlungen für IT Freelancer

Die Corona-Krise verlangt Unternehmen, Politik und Gesellschaft inzwischen schon seit über anderthalb Jahren große Kraftanstrengungen ab und beeinflusst nach wie vor das Leben von Millionen Menschen. Die Pandemie und gerade auch die damit einhergegangenen Kontaktbeschränkungen haben der Digitalisierung dabei einen mächtigen Schub verliehen. Schließlich war die Notwendigkeit für die Wirtschaft groß, schnell Home-Office-Möglichkeiten einzuführen, wo immer dies möglich war.

Cyberkriminalität steigt proportional zur Digitalisierung an

Durch diese Entwicklung war es möglich, vormals physische personelle Schnittstellen an vielen Stellen so zu digitalisieren, dass die gesellschaftlichen und wirtschaftlichen Prozesse in großen Teilen erhalten und gleichzeitig die notwendigen Kontaktbeschränkungen weitest eingehalten werden konnten. Natürlich ist hier anzumerken, dass dies längst nicht für jede Branche gilt, sicherlich jedoch auf weite Teile des Lebensraumes von IT-Freelancern zutrifft.

Mit der Digitalisierung von Geschäftsprozessen allein ist es aber leider noch nicht getan; die rasche Umstellung auf das Home-Office vergrößert nämlich auch die Angriffsfläche für Cyberattacken und stellt damit ein Einfallstor für Cyberkriminalität dar. Unternehmen dürfen sich während der Umstellung nicht selbst überholen und sollten darauf achten, dass die plötzliche hohe Geschwindigkeit der Digitalisierung nicht zulasten der IT-Sicherheit geht.

Dass auch die Cyberkriminalität proportional zur Digitalisierung ansteigt, zeigt mitunter der jüngste Lagebericht des BSI aus 2020, in dessen Berichtszeitraum auch die Anfänge der Corona Pandemie hineinfallen. Die dort aufgezeigten Mengengerüste verdeutlichen das Schadenspotenzial einmal mehr auf eindrucksvolle Art und Weise: Im Schnitt wurden ca. 322.000 neue Schadprogramme bzw. -varianten registriert – und das pro Tag! Gleichzeitig werden Angriffe jedoch auch qualitativ immer hochwertiger: Verteilung von Schadsoftware mittels Gießkannenprinzips war gestern, heute handelt es sich regelmäßig um gezielte und gut geplante Attacken. Auch reagieren kriminelle im Cyberumfeld schnell und flexibel auf Veränderungen und schrecken dabei auch nicht davor zurück, sich Entwicklungen der Corona-Pandemie zunutze zu machen: Im Bereich des Phishings beispielsweise nutzten Kriminelle gezielt Unsicherheiten aus, um u.a. mit gefakten Mails zu Soforthilfemaßnahmen, Kurzarbeitergeld oder anderen Unterstützungshilfen mit Covid-Bezug persönliche Nutzerdaten zu ergattern. Auch amtlich aussehende Webseiten werden als Köder für den Erwerb von Daten genutzt, mithilfe derer die Betreiber tatsächlich staatliche Gelder beantragen, diese dann jedoch für sich selbst einstreichen.

Gerade Freelancer, deren Projektgeschäft aufgrund der Pandemie zurückgegangen ist, sollten vor der Eingabe ihrer Daten im Netz lieber zwei Mal hinsehen. Allerdings muss an der Stelle gesagt werden, dass zwar die Erfolgsaussichten bei solchen betrügerischen Handlungen Corona-bedingt leicht stiegen, jedoch keine unerwartet große Häufung an Vorfällen verzeichnet wurde. Dies könnte darauf hindeuten, dass viele Leute im Vergleich zu vor einigen Jahren misstrauischer gegenüber pseudoseriösen Mailanfragen geworden sind, wenngleich die Inhalte natürlich auch an Qualität gewonnen haben. Beispielsweise werden immer mehr https-Links in Mails verwendet – ein Protokoll, das von vielen noch gedanklich mit Sicherheit verknüpft wird.

Auch Identitätsdiebstähle etwas anderer Natur nahmen im Rahmen der Pandemie spürbar zu; so gaben sich Hacker gerne auch als Supportmitarbeiter aus, um sich gezielt Zugriff auf Computersysteme argloser Anwender zu verschaffen.

VPN-Software- Besserer Schutz im Home-Office?

Mit der Corona-Pandemie haben sich viele Tätigkeiten in das Home-Office verlagert – eine Entwicklung, die durchaus auch Chancen bietet. Gerade für Freelancer, die geografisch weiter von ihrem Kunden entfernt sitzen, bedeutet der Switch auf das Home-Office die Möglichkeit, Reisezeit (und auch -kosten) einzusparen. Auch, wenn es mittlerweile (gerade in der Zusammenarbeit) Standard ist, den Remote-Stundensatz entsprechend anzupassen. Doch noch viel mehr ist diese Entwicklung auch Treiber für einen Lifestyle, den vor allem viele junge Leute anstreben: Mit der Zunahme an Home-Office-Einsätzen ist man nicht mehr nur nicht an den Sitz des Kunden gebunden, sondern auch nicht an die eigenen vier Wände. Lässt man etwaige Einschränkungen aufgrund der aktuellen Pandemie einmal außen vor, so bietet das „Modell Telearbeit“ vor allem für Orts- & Weisungsunabhängige Freelancer ganz neue Flexibilität. Ob aus der Wohnung / dem Büro in Deutschland, der Finca in Spanien oder vom Haus in Finnland – sogar ein Camper würde die Zwecke erfüllen. Die LTE- bzw. 5G-Abdeckung ist in den meisten Ländern ohnehin besser als in Deutschland, und mit entsprechenden Mobilfunkverträgen kann man sich in ganz Europa unbegrenzt im Netz bewegen.

Gerade auch mit Blick auf den Switch in das Home-Office sollte jedoch darauf geachtet werden, angemessene Vorkehrungen zum Schutz ihrer Daten und Systeme zu treffen, um damit letztlich vor allem auch die Kunden zu schützen. Wird aufgrund einer gravierenden Sicherheitslücke auf Seiten des Dienstleisters ein Kundensystem durch eine Cyberattacke avisiert, bedeutet dies für den Dienstleister einen Reputationsschaden, der die künftige Zusammenarbeit mit dem betroffenen wie auch die Neukundenakquise massiv erschweren kann.

Eine BSI-Umfrage zur IT-Sicherheit im Home-Office 2020 zeigt auf, dass mit der Corona-Krise der Einsatz von Technologien mit Home-Office-Bezug wie z.B. Video- und Messengerdienste teils um über 30% zugenommen hat, geplante Nutzungen nicht eingerechnet. Auf der anderen Seite zeigt die Umfrage auch einen Anstieg der Umsetzung technischer Sicherheitsmaßnahmen während Corona. Dieser fällt hier im Vergleich weniger stark aus, wobei der bereits vor der Corona-Krise höhere Stand auch berücksichtigt werden muss.

Abb. 1: Die Corona-Krise hat eine Beschleunigung der Implementierung wesentlicher Sicherheitsmaßnahmen bewirkt, Quelle: BSI-Umfrage zur IT- Sicherheit im Home-Office 2020

Um den Corona-bedingt stark gestiegenen Anforderungen an das Home-Office gerecht zu werden, kommen für den  sicheren Zugriff auf das Firmeninterne Netzwerk häufig VPN-Netzwerke zum Einsatz; besonders die bekannten Citrix Produkte sind dabei sehr beliebt. Doch auch die VPN-Software hat ihre Grenzen: Regelmäßig werden herstellerseitig Updates auf den Markt gebracht, um neu aufgedeckte Sicherheitslücken zu schließen. Tatsächlich wurden auch in den vergangenen Monaten teils Lücken entdeckt, mithilfe derer Kriminelle sich sogar Zugriff auf gültige Sessions verschaffen konnten.

Nichtsdestotrotz überwiegt der Nutzen von VPN-Produkten die Risiken bei weitem und ist auch aus dem Sicherheitsblickwinkel heraus dem Einsatz von Cloud-Produkten meist vorzuziehen. Allerdings sollten Unternehmen wie auch Freelancer darauf bedacht sein, dass dies kein Freifahrtschein für einen Blindflug in Sachen IT-Security darstellt. Wie so häufig in der IT-Sicherheit steht und fällt der Grad an Sicherheit maßgeblich von der entsprechenden Awareness der Endanwender ab: So sollte die VPN-Software regelmäßig gemäß den Herstellerempfehlungen auf den neuesten Stand gebracht werden, zudem sollte das in Betrieb befindliche Endgerät frei von Schadsoftware sein und regelmäßig entsprechenden Prüfungen unterzogen werden. Ohnehin dürfte die Einwahl auf den Kundensystem via VPN für IT-Freelancer, die in aller Regel Ihre eigene Hard- und Software mitbringen, in aller Regel keine große Neuerung darstellen.

Handlungsempfehlungen: IT-Sicherheit für IT-Freelancer

Home-Office hin oder her: Jeder unternehmerisch Tätige sollte schauen, dass er oder sie angemessene Schutzvorkehrungen trifft. Aber was genau sind nun angemessene Vorkehrungen? Dies hängt von verschiedenen Faktoren ab, z.B. der Art und Größe des Unternehmens. Das BSI bietet mit dem IT-Grundschutz Vorgehensweisen zur Entwicklung geeigneter Schutzmaßnahmen auf unterschiedlichen Ebenen. Das Ganze gipfelt in der Möglichkeit, das eigene Unternehmen mit dem BSI-27001- Standard zu zertifizieren. Ein solches Zertifikat kann zwar eine positive Außenwirkung erzielen und damit auch entsprechend auf die Neukundenakquise auswirken, andererseits ist die Erlangung aber langwierig und kostspielig und somit für kleinere Unternehmen nicht wirklich hilfreich. Gerade im Rahmen von den eingangs beschriebenen hohen Geschwindigkeiten bei der Digitalisierung müssen kleine Betriebe bzw. Selbstständige schnell auf die neuen Anforderungen reagieren. Dennoch bietet das BSI hier Ausarbeitungen ein nützliches Werkzeug für die strukturelle Herangehensweise an die Implementierung von IT-Sicherheit im eigenen Unternehmen.

Als Freelancer lohnt es sich je nach den Gegebenheiten, noch eine Stufe weiter unten einzusteigen und sich vor allem auf die technischen Maßnahmen zu fokussieren. Der Grund liegt vor allem in der Unternehmensstruktur: Mitarbeiter sind nicht oder kaum vorhanden, für personelle bzw. organisatorische Maßnahmen muss daher in der Regel nur auf eine Person geschaut werden.

Wichtig ist daher für Selbstständige, dass technische Maßnahmen eingesetzt werden, bspw. zuverlässige Firewalls, Virenschutzprogramme und ggf. VPNs.

Zumal sollten wie oben bereits erwähnt regelmäßige Updates der eingesetzten Betriebssysteme und anderer Softwareprodukte stets zeitnah nach dem Release vorgenommen werden.

Ferner ist auch die Erstellung regelmäßiger Backups dringend anzuraten, wobei die Art des Backupmediums zur Disposition gebracht werden kann. Soll es nun das NAS-System sein, das in das eigene Netzwerk integriert ist, oder doch lieber die Cloud-basierte Lösung von einem der großen Anbieter? Letzteres ist komfortabel, führt aber auch wieder zu datenschutzrechtlichen Fragestellungen. Hier sollte vor allem abgewogen werden, welche Daten man sichern möchte und welche zusätzlichen Schutzmechanismen ggf. eingesetzt werden können.

Eine vollständigere Aufstellung technischer Sicherheitsmaßnahmen bietet die nachfolgende Abbildung 2. Dort sind ergänzend auch Themen aufgeführt, für die nicht immer bei Freelancern ein Use Case vorliegt – Beispiel Identitätsmanagement & Zugriffskontrolle, solche Vorkehrungen sind beim 1-Mann-Betrieb schlichtweg überflüssig. Insgesamt zeigt die Grafik jedoch anschaulich, dass kleinere Unternehmen in den meisten Aspekten Sicherheitstechnisch schlechter aufgestellt sind als Großunternehmen.

Man kann zwar darauf verweisen, dass große Unternehmen häufiger Ziel eines Cyberangriffes werden; allerdings haben solche Attacken bei kleinen Unternehmen oft deutlich schwerwiegendere Konsequenzen und können mitunter schnell existenzbedrohliche Ausmaße annehmen.

Abb. 2: Kleinere Wirtschaftliche Entitäten sind in Sachen IT-Sicherheit i.d.R. etwas schlechter aufgestellt als große Unternehmen, Quelle: BSI-Umfrage zur IT-Sicherheit im Home-Office 2020

Neben den beschriebenen IT-Sicherheitsvorkehrungen sollte man sich gerade auch als Freelancer auf einen potenziellen Hardwareausfall vorbereitet sein. Ob nun ein Hackerangriff das Endgerät lahmlegt oder der Laptop schlichtweg aus Altersschwäche den Geist aufgibt: Es ist keinesfalls verkehrt, ein voll Einsatzfähiges Ersatzgerät für den Fall der Fälle im Schrank liegen zu haben. Gerade für Freelancer sind die Kosten an der Stelle überschaubar, der Nutzen jedoch enorm: Ein Business-taugliches Notebook kann häufig schon für zwei bis drei Tagessätze erworben werden und ist meist sogar als Betriebsausgabe anrechenbar – ein kleiner Preis für die Sicherstellung der „Business Continuity“. Vor allem dann, wenn die Alternative bedeutet, dass man erst sein Endgerät zur Reparatur bringen muss und damit mindestens 1-2 Tagessätze verliert, bis man wieder lauffähig ist, nur um im Zweifel dann ohnehin ein Zweitgerät zur Überbrückung erwerben zu müssen.

Letzten Endes sollte man sich als Freelancer unbedingt Gedanken über den Schutzbedarf der eigenen Infrastruktur machen und für die einzelnen Schutzmöglichkeiten die Kosten gegen den Nutzen abwägen. Letzteres kommt einen dabei meist günstiger und stressfreier zu stehen und allein die Überlegungen sorgen schon dafür, dass man bei sich selbst die „IT Security Awareness“ schafft.

Zertifizierungsmöglichkeiten bieten Geschäftspartnern die Sicherheit, dass ein gewisser Sicherheitsstandard im Unternehmen anliegt, was Opportunitäten sichert oder sogar erhöht. Viel entscheidender ist jedoch, dass Sicherheitsvorfällen in der Praxis vorgebeugt wird; denn einen Kunden nicht zu verlieren ist meist wichtiger als einen neuen zu gewinnen.

Schlussendlich bietet die Pandemie Chancen auch für Freiberufler, vor allem dann, wenn Kunden weiter entfernt sitzen und man die gewonnene Reisezeit in das Geschäft und die Familie investieren kann. Doch wie immer gilt dies nur, solange man seine Geschäftsgrundlage schützt, in der digitalen wie auch in der wirklichen Welt.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Nachrichten und Ratgeber für IT Freelancer  

   + kostenlos

   + kompakt

   + monatlich

   + spamfrei

Das Neueste zum Wettbewerb 'IT Freelancer des Jahres'

Newsletter des IT Freelancer Magazins