Solche Angriffe nennt man Phishing. Die Wortschöpfung setzt sich aus „password“ (Passwort) und „fishing“ (angeln) zusammen, meint also Passwort-Angeln. „Es geht beispielsweise um Versuche, Nutzer mit gefälschten Nachrichten, Mails oder SMS auf Betrugsseiten zu locken“, erklärt Andy Voß von der „Computer Bild“. Phishing-Attacken sind selbst für erfahrene Anwender oder sogar Profis nicht immer sofort erkennbar und richten sich immer öfter auch gegen Firmenmitarbeiter im Homeoffice.

„Mitarbeiter im Homeoffice sind beliebte, weil leichte Opfer. Während der Firmen-Administrator im Unternehmen noch eine gewisse Kontrolle über die Arbeitsrechner hat, gibt es das im Homeoffice oft nicht“, sagt Ronald Eikenberg vom „c‘t“-Fachmagazin. Besonders verwundbar ist eine Firma, wenn Mitarbeiter für die Büroarbeit im Homeoffice ihren eigenen Computer nutzen, der eben auch privat im Einsatz ist.

„Fängt sich der Mitarbeiter zu Hause einen Trojaner ein, kann dieser durch die VPN-Verbindung dann im Firmennetz wüten. Schlimmstenfalls legt man also durch einen falschen Klick die ganze Firma lahm“, warnt Eikenberg. Der IT-Branchenverband Bitkom rät daher, im Homeoffice nicht mit dem privaten Rechner zu arbeiten. „Besser ist es, nur Unternehmensgeräte zu nutzen, auf denen dann zum Beispiel die Zugriffsrechte beschränkt werden und die Installation von Software nur Administratoren gestattet ist“, sagt Simran Mann, IT-Sicherheitsexpertin beim Bitkom. Zudem könne so auch sichergestellt werden, dass notwendige Sicherheitsupdates tatsächlich eingespielt werden.

Ist der Heimarbeitsplatz infiziert, ist das nicht unbedingt sofort erkennbar. Ein Ziel der Angreifer ist es ja auch, möglichst lange unentdeckt zu bleiben, erklärt Eikenberg. „Hinweise darauf sind aber beispielsweise Umleitungen von Website-Aufrufen, das Auftauchen von Programmen, die man nicht installiert hat, oder ein plötzlicher Anstieg der Auslastung des Systems.“ Skeptisch sollten Nutzer zudem werden, wenn der Virenscanner anschlägt.

Bei allen technischen Möglichkeiten: Am Ende steht immer der User im Mittelpunkt einer Cyberattacke. „Phishing ist eine Form des Social Engineering, also ein Angriff auf die Schwachstelle Mensch. Technische Schutzmaßnahmen sind sinnvoll, können solche Angriffe aber nicht verhindern“, sagt Eikenberg. Gleichwohl gelte immer: Nur mit aktueller Software und nur mit aktivem Virenschutzprogramm arbeiten. Der in Windows 10 und 11 integrierte Defender reiche in vielen Fällen schon aus, so Eikenberg. Haupteinfallstor für Cyberkriminelle sei nach wie vor die E-Mail. „Aber es gab und gibt durchaus Angriffe, bei denen Beschäftigten präparierte USB-Speicher untergejubelt werden, die automatisch Schadsoftware installieren, wenn sie in das Firmen-Notebook gesteckt werden“, sagt Bitkom-Expertin Simran Mann. Hier sei der Aufwand aber ungleich höher.

Während Mail-Angriffe früher noch relativ einfach zu erkennen waren, etwa durch schlechtes Deutsch im Textblock der Mail, sei das mittlerweile deutlich schwieriger. „Diese Mails sind teilweise sehr professionell und ausführlich recherchiert, bis hin zu E-Mail-Signaturen der vermeintlichen Absender“, warnt Mann.

Aber auch per Telefon versuchen Kriminelle nach wie vor, sich Zugang zu Rechnern zu verschaffen. Hier ist auch von Vishing die Rede, einer Wortschöpfung aus „voice“ (Stimme) und „fishing“.

Ein Klassiker: Betrüger geben sich am Telefon als Mitarbeiter des Microsoft-Supports aus und bringen Menschen dazu, Software zur Fernwartung zu installieren. Dann haben sie die volle Kontrolle über den Rechner und Zugang zu allen Daten. Andy Voß rät, bei solchen Anrufen direkt aufzulegen. Weder Microsoft noch andere seriöse Unternehmen rufen jemals ungefragt an oder schicken einfach E-Mails, in denen persönliche Daten abgefragt werden.

Mit der beste Schutz gegen Cyberattacken und Social Engineering bleiben der gesunde Menschenverstand und Skepsis. „Wer sich aktiv über die Tricks der Angreifer informiert, erkennt diese natürlich leichter“, sagt Voß. Keinesfalls sollte man Anhänge in Mails unbekannter Absender einfach nur aus Neugierde öffnen. Vergleichsweise leicht haben es Cyberkriminelle bei Mitarbeitern im Homeoffice auch deshalb, weil die Kommunikation fast ausschließlich digital läuft. „Der persönliche Austausch unter vier Augen bleibt aus. Die Wahrscheinlichkeit ist damit viel höher, dass man auf eine gefälschte Mail hereinfällt, die vermeintlich vom Chef oder Admin stammt“, sagt Eikenberg. Wer unsicher ist, sollte lieber einmal zu viel telefonisch nachfragen, als dubiose Anhänge zu öffnen oder nebulöse Anweisungen auszuführen.