Sichere Zusammenarbeit mit Freiberuflern

So schützen Sie Ihr Unternehmen vor potenziellen Cyberbedrohungen im Zusammenhang mit Freiberuflern.

Die Zusammenarbeit mit Freiberuflern ist für viele Unternehmen längst zur Routine geworden. Denn selbst in großen Unternehmen lassen sich nicht alle Aufgaben im internen Team lösen, ganz zu schweigen von kleinen Unternehmen, die es sich meist nicht leisten können, einen zusätzlichen Mitarbeiter für spezifische Aufgaben einzustellen. Einen Außenstehenden in den internen digitalen Workflow einzubinden kann jedoch zusätzliche Cyberrisiken bergen, insbesondere wenn Sie direkt mit einer Person ohne vermittelnde Agentur zusammenarbeiten.

Gefahren eingehender E-Mails

Schon bei der Suche nach dem richtigen Freiberufler sollten Sie potenzielle Bedrohungen immer im Blick haben. Es ist unwahrscheinlich, dass Sie jemanden einstellen, ohne sich dessen Portfolio zuvor genau angesehen zu haben. Ein Freiberufler kann Ihnen ein Dokument, ein Archiv seiner Referenzen oder einen Link zu einer Website eines Drittanbieters übermitteln; und sehr wahrscheinlich wird Ihnen keine andere Möglichkeit bleiben, als dem Link zu folgen oder die fragliche Datei zu öffnen. Was sich jedoch tatsächlich hinter einer solchen Datei oder Website verbirgt, können Sie vorerst nicht wissen.

Forscher entdecken regelmäßig Sicherheitslücken in Browsern oder Office-Suiten. Und mehr als einmal ist es Angreifern bereits gelungen, die Kontrolle über Unternehmenscomputer zu übernehmen, indem sie schädliche Skripte in ein Textdokument einfügen oder ein Exploit-Paket in den Code einer Website einbetten. Tatsächlich sind solche Tricks nicht immer notwendig, denn es gibt durchaus Mitarbeiter, die empfangene Dateien öffnen, ohne auf ihre jeweilige Erweiterung zu achten, und so beispielsweise eine .exe-Datei ausführen.

Denken Sie daran, dass Angreifer ihr Portfolio (bei dem es sich übrigens auch um Fake-Referenzen handeln kann) vorzeigen und später eine schädliche Datei unter dem Deckmantel einer von Ihnen geforderten Abgabe senden können. Darüber hinaus besteht die Möglichkeit, dass jemand die Kontrolle über den Computer oder die Mailbox eines Freiberuflers übernehmen und auf diesem Weg Ihr Unternehmen angreifen kann. Schließlich können Sie nicht wissen, wie das Gerät oder Konto des jeweiligen Freelancers geschützt ist. Deshalb sollten Sie erhaltene Dateien niemals als vertrauenswürdig einstufen, auch wenn sie von einem Freiberufler stammen, mit dem Sie seit Jahren zusammenarbeiten.

Gegenmaßnahmen

Wenn Sie auf Dokumente zurückgreifen müssen, die außerhalb der Unternehmensinfrastruktur erstellt wurden, ist die Aufrechterhaltung der digitalen Hygiene von essenzieller Bedeutung. Alle Mitarbeiter sollten sich relevanten Cyberbedrohungen bewusst sein, daher lohnt es sich, ihr Sicherheitsbewusstsein zu stärken. Darüber hinaus können Ihnen folgende Ratschläge behilflich sein:

  • Legen Sie strenge Regeln für den Austausch von Dokumenten fest; leiten Sie diese auch an Freiberufler weiter und öffnen Sie keine Dateien, die diese Regeln nicht befolgen. Ein selbstextrahierendes Archiv im Anhang? Nein Danke! Ein passwortgeschütztes Archiv, dessen Kennwort in derselben E-Mail zu finden ist? Wahrscheinlich der Versuch Ihre E-Mail-Antimalware-Filter zu umgehen.
  • Setzen Sie einen separaten, vom Rest des Netzwerks isolierten Computer für die Arbeit mit Dateien aus externen Quellen ein. So können Sie mögliche Schäden im Falle einer Infektion deutlich reduzieren.
  • Stellen Sie sicher, dass dieser Computer mit einer Sicherheitslösung ausgestattet ist, um den Exploit von Schwachstellen oder das Öffnen eines Links zu einer schädlichen Website zu blockieren.

Zugriffsrechte

Gehen wir davon aus, Sie haben nach langem Suchen den für Sie passenden externen Experten gefunden. Um an einem Projekt mitarbeiten zu können, erhalten Freiberufler häufig Zugriff auf die digitalen Systeme des Unternehmens: Filesharing-Plattformen, Projektmanagementsysteme, Konferenzdienste, interne Messenger, Cloud-Dienste usw. Vermeiden Sie hierbei unbedingt die folgenden zwei Fehler – geben Sie dem Freelancer keine unnötigen Zugriffsrechte und vergessen Sie nicht, den Zugriff nach Abschluss Ihrer Zusammenarbeit zu widerrufen.

Bei der Gewährung von Rechten gilt immer: je weniger, desto besser. Ein Freiberufler sollte nur Zugriff auf die Ressourcen erhalten, die für das aktuelle Projekt auch wirklich benötigt werden. Unbegrenzter Zugriff auf Dateispeicher oder sogar Chatverläufe können eine Bedrohung für Ihr Unternehmen darstellen. Unterschätzen Sie nicht die Informationen, die in Hilfsdiensten gespeichert werden. Medienberichten zufolge war der Twitter-Hack aus dem Jahr 2020 darauf zurückzuführen, dass Angreifer auf den internen Chat des Unternehmens zugreifen konnten. Im Chat selbst konnten die Angreifer mithilfe von Social-Engineering-Techniken einen Mitarbeiter des Unternehmens davon überzeugen, ihnen Zugriff auf Dutzende von Konten zu gewähren.

Auch der Widerruf von Rechten nach Projektende ist keine Formsache. Damit möchten wir selbstverständlich nicht sagen, dass alle Freiberufler nach Abschluss ihrer Arbeit Ihr Projektmanagementsystem hacken. Aber bereits die bloße Existenz eines zusätzlichen Kontos mit Zugriff auf Unternehmensdaten ist nicht von Vorteil. Was, wenn der Freiberufler ein schwaches Passwort verwendet hat oder dieses auch für andere Konten verwendet? Im Falle eines Lecks würde dies dann auch eine zusätzliche Schwachstelle in Ihrem Unternehmensnetzwerk bedeuten.

Gegenmaßnahmen

Das Wichtigste ist, den Account des jeweiligen Freiberuflers nach Beendigung des Arbeitsverhältnisses zu löschen bzw. zu deaktivieren. Zumindest sollten Sie aber die zugehörige E-Mail-Adresse und das Passwort ändern – dies kann in Systemen erforderlich sein, die alle mit dem Konto verknüpften Daten löschen. Darüber hinaus empfehlen wir:

  • Führen Sie Register darüber, wer Zugriff auf welche Dienste hat. Dies hilft Ihnen einerseits, alle Rechte nach Projektende zu widerrufen, und kann andererseits bei der Untersuchung eines möglichen Vorfalls hilfreich sein.
  • Verlangen Sie von all Ihren Auftragnehmern eine angemessene digitale Hygiene und den Einsatz von Sicherheitslösungen auf allen Geräten, die zum Zugriff auf Unternehmensressourcen verwendet werden.
  • Verlangen Sie die Aktivierung der 2-Faktor-Authentifizierung für alle Cloud-Systeme.
  • Richten Sie eine separate Infrastruktur für die Projekte und Dateien Ihrer Freiberufler und Subunternehmer ein, falls möglich.
  • Scannen Sie alle im Cloud-Speicher oder auf dem Unternehmensserver befindlichen Dateien auf Malware.
Tipps