IT-Security im Homeoffice

Seit der Coronavirus-Pandemie arbeiten ja viele Menschen im Homeoffice. Inzwischen wird in Unternehmen die Diskussion um digitales, standortunabhängiges Arbeiten überaus intensiv geführt. New Work-Konzepte für einen Großteil oder gar die gesamte Belegschaft bringen jedoch für die IT-Sicherheit große Herausforderungen mit sich.


Anzeige

Außerhalb des Unternehmensnetzwerks ist es schwieriger, die eigenen Assets zu schützen und IT-Sicherheit zu gewährleisten. Von jedem einzelnen Mitarbeiter geht damit automatisch ein erhöhtes Sicherheitsrisiko aus. Mir ist der nachfolgende Text von Bitglass zugegangen, den ich euch nicht vorenthalten möchte. Anurag Kahol, CTO bei Bitglass, diskutiert, wie Unternehmen auch mit der Belegschaft im Homeoffice ausreichend Schutz herstellen können, ohne die Produktivität zu beeinträchtigen.

IT-Security zwischen New Work und Insiderbedrohungen

Im Bereich IT-Security sind die Lasten nicht zu Gunsten der Unternehmen verteilt: Während sie permanent über ihre gesamte IT-Landschaft hinweg sämtliche der Bedrohungslage angemessenen Sicherheitsmaßnahmen ergreifen müssen, kann Angreifern eine kleine Schwachstelle ausreichen, um massiven Schaden anzurichten.

Security
(Security, Quelle: Pexels freie Nutzung)

Ungesicherte Endgeräte, Cloud- und IaaS-Anwendungen, schlecht gesicherte Netzwerke oder das Surfen im World Wide Web eröffnen Hackern zahlreiche Möglichkeiten, Unternehmen zu infiltrieren und Daten zu erbeuten. Da sich letztere gut zu Geld machen lassen, verfügen Cyberkriminelle über eine entsprechend große Motivation, ihre Angriffstechniken zu verfeinern und möglichst passend auf ihre Zielunternehmen zuzuschneiden. Potenzielle Schwachstellen an all diesen Fronten zu schließen und undurchdringlich zu halten, ist für Unternehmen ein herausforderndes Unterfangen.


Anzeige

Remote Work und die Risiken durch Insideraktivitäten

Dies wird verstärkt durch die in der Wirtschaft fortschreitende Digitalisierung. Diese Entwicklung bringt das Erfordernis mit sich, digitale Geschäftsprozesse unter sämtlichen Umständen stets aufrecht zu erhalten, um Einnahmeausfälle zu vermeiden und die Wettbewerbsfähigkeit zu gewährleisten. Auch in Sachen Arbeitskultur spielt die Digitalisierung längst eine bedeutende Rolle: Die New Work-Bewegung nutzt digitale Errungenschaften, um Mitarbeitern Selbstbestimmung über Arbeitszeit und -ort einzuräumen, in der Hoffnung, ein innovatives, kreatives Arbeitsumfeld zu schaffen.

Vor allem für die jüngeren Generationen spielt es für ihre Berufsentscheidungen eine entscheidende Rolle, frei bestimmen zu können, von wo aus und wann sie arbeiten. Mit der aktuellen Pandemiekrise, in der ganze Belegschaften auf Remote Work ausweichen mussten, hat diese Debatte in vielen Unternehmen wieder eine neue Intensität erreicht.

Unter dem Aspekt der IT-Security stellt es sich allerdings so dar, dass jeder einzelne Mitarbeiter außerhalb des Firmenstandorts ein erhöhtes Sicherheitsrisiko mitbringt, das sich entsprechend vervielfältigt, je mehr Mitarbeiter von außerhalb arbeiten. Sicherheitsrisiken durch Insider sind für Unternehmen keineswegs neu, ebenso wie deren Hintergründe: Mitarbeiter mit böswilligen Absichten wie Wirtschaftsspionage oder persönlicher Bereicherung wurden vor allem in regulierten Branchen auch schon vor der Digitalisierung in Unternehmenssicherheitskonzepten berücksichtigt.

Im digitalen Zeitalter werden die Möglichkeiten, Unternehmensdaten betriebsintern einzusehen und zu entwenden hingegen noch weitaus vielfältiger. Dementsprechend besteht auch ein erhöhtes Risiko durch berechtigte Nutzer wie Mitarbeiter oder externe Dienstleister, die IT-Systemzugang haben. Dabei ist anzunehmen, dass die meisten Datenverluste weniger durch böse Absicht, sondern vielmehr durch Unachtsamkeit oder Unbekümmertheit entstehen. Zum Beispiel kann es vorkommen, dass sie sich beim Zugriff von unterwegs in unsichere WLAN-Netzwerke einwählen, ihre ungesicherten persönlichen Geräte nutzen, Anmeldeinformationen verlieren oder auf verdächtige Links klicken.

Zero Trust – aber nicht auf Kosten der Arbeitsatmosphäre

Die Gefahr durch Insider liegt also weniger in deren persönlichen Motiven, sondern unabhängig davon in den Schäden, die durch ihre Nutzeraktivitäten entstehen können, begründet. Als strategischer Sicherheits-Ansatz empfiehlt sich dafür die Maxime des „Zero Trust". Dieser liegt der Gedanke zu Grunde, dass von Insidern dasselbe Schadensrisiko ausgeht, wie von externen Angreifern mit bösen Absichten.

Demgegenüber steht jedoch die Annahme, dass die Wettbewerbsfähigkeit von Unternehmen unter anderem durch eine vertrauensvolle Arbeitskultur, die Innovationen begünstigt, positiv beeinflusst wird. IaaS-, SaaS- oder Webanwendungen beispielsweise tragen durch die flexiblen Zugriffsmöglichkeiten zu einer angenehmen Arbeitsatmosphäre bei, da die Mitarbeiter diese nach ihren Bedürfnissen nutzen können. Das Nutzungsverhalten durch rigide Handlungsrichtlinien erheblich einzuschränken, um Sicherheit zu gewährleisten, wäre hingegen kontraproduktiv.

Haben Arbeitnehmer ständig die Befürchtung, sie könnten durch ihr Digitalverhalten Schaden anrichten, beschränken sie sich unter Umständen selbst in ihrer Produktivität. Unternehmen haben daher ein vitales Interesse daran, die geeigneten Rahmenbedingungen zu schaffen, die Produktivität und Sicherheit miteinander in Einklang bringen – auch in Extremsituationen wie Remote Work der gesamten Belegschaft.

Ihre Herausforderung besteht also darin, die Prinzipien des Zero Trust effizient umzusetzen. Dies kann mit standortunabhängigen Sicherheitsmaßnahmen, die dafür sorgen, dass nur entsprechend autorisierten Mitarbeitern zum richtigen Zeitpunkt der Zugriff auf Unternehmensressourcen gewährt wird.

SASE: Flexibles Konzept für Cloud- und Netzwerksicherheit

Klassische Netzwerksicherheitslösungen geraten vor allem im Remote Work durch das sich ändernde Nutzerverhalten – bedingt durch Cloud Computing und mobile Endgeräte – zunehmend an ihre Grenzen. Public Cloud Anwendungen beispielsweise sind für jeden Benutzer, auf jedem Gerät und von jedem Ort der Welt aus frei zugänglich. Während die App-Anbieter für die Sicherheit ihrer Infrastruktur sorgen, obliegt es den Kunden, die Nutzung gegen potenzielle Datenverluste abzusichern.

  • Unternehmensfirewalls können den Datenfluss hingegen empfindlich ausbremsen, wenn eine hohe Zahl an Nutzern sich über VPN-Verbindungen ins Netzwerk einwählt.
  • Ein Backhauling des Datenverkehrs zu einem Cloud-Proxy SWG kann zu einem latenzanfälligen Netzwerk-Hop führen und außerdem die Privatsphäre der Benutzer verletzen, da der gesamte Benutzerinhalt am Proxy überprüft wird, einschließlich der persönlichen Anmeldedaten.

Hinzu kommt, dass die IT-Anforderungen jedes Unternehmens überaus spezifisch und die Umsetzung von Sicherheitsmaßnahmen stets den individuellen Gegebenheiten angepasst werden sollte. Eine hohe Flexibilität bieten in dieser Hinsicht Secure Access Service Edge (SASE)-Plattformen. Diese werden im Gegensatz zu physischen Appliances, die sich auf den Netzwerkperimeter fokussieren, aus der Cloud bereitgestellt und stellen ein einheitliches Sicherheitsniveau über alle Benutzer, Apps, Webziele und on-Premises-Strukturen hinweg, her. Unternehmen stehen dort Services zur Verfügung, die sich im Wesentlichen auf die folgenden Technologien gründen:

CASBs

Cloud Access Security Broker (CASBs) regeln die Art der gemeinsamen Nutzung und wie und wann Benutzer auf Cloud- Anwendungen und IaaS-Plattformen zugreifen können. Sie bieten Sichtbarkeit und Kontrolle für Daten im Ruhezustand, sowie Inline-/Echtzeitschutz für Daten beim Zugriff und in der Übertragung in die Cloud. Die CASB-Technologie ermöglicht es SASE-Plattformen, Cloud-Daten zu verschlüsseln, Verluste durch DLP-Funktionen wie Bearbeitung und Quarantäne zu verhindern und Malware beim Upload, beim Download und im Ruhezustand in der Cloud abzuwehren.

On-Device Secure Web Gateways

Mit geräteinternen Secure Web Gateways (SWG) wird der gesamte Cloud-Verkehr am Endpoint entschlüsselt und überprüft. Lediglich Sicherheitsvorfälle werden in die Cloud hochgeladen, wodurch die Privatsphäre der Nutzer geschützt bleibt. Da kein Übergang (Netzwerk-Hop) zu einer physischen Appliance oder einen Cloud-Proxy besteht, wird die Latenzzeit verringert. Verdächtige URLs und nicht verwaltete Anwendungen werden blockiert, bevor sie aufgerufen werden können, und der Zugriff von Mitarbeitern auf Inhalte wird durch Variablen wie Kategorie, Vertrauenswürdigkeit des Ziels, Benutzergruppe, Gerätetyp und Standort gesteuert.

Zero Trust Network Access

Zero Trust Network Access (ZTNA) stellt eine Technologie dar, die automatisiert geeignete Zugriffskontrollen zum Schutz sensibler Daten in On-Premises-Ressourcen durchführt. Führende SASE-Plattformen bieten agentenloses ZTNA für Browser-Anwendungen sowie standardmäßig agentenbasiertes ZTNA zur Sicherung von Thick-Client-Anwendungen wie SSH und Remote-Desktops. Sobald die Benutzer über SSO authentifiziert sind und ihr Datenverkehr proxifiziert wird, wird der sichere Zugriff auf sensible Anwendungen und Dateien ermöglicht. Schutzmechanismen wie DLP und ATP werden in Echtzeit durchgesetzt. Benutzern, die nicht authentifiziert sind oder als vertrauenswürdig eingestuft werden, wird der Zugriff einfach verweigert.

Die Herausforderungen für IT-Security und die Risiken durch Insiderbedrohungen erlangen durch verstärktes Remote Work eine neue Dimension. Veränderungen in Unternehmensprozessen und in der Art der Zusammenarbeit ziehen eine dynamischere Bedrohungssituation nach sich, die ein Umdenken bei der Gestaltung der IT-Umgebungen mit sich bringt. SASE-Technologien stellen einen ersten aussichtsreichen Ansatz dafür dar, eine moderne Arbeitskultur digital mit der erforderlichen Sicherheit zu ermöglichen.

Ähnliche Artikel
Sicherheitslücken im deutschen Gesundheitsdatennetz
Unterminieren Führungskräfte die IT-Sicherheit?
Finanzsektor: Vorletzter Platz bei Anwendungssicherheit
Online-Banking und Sicherheit


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu IT-Security im Homeoffice

  1. 1ST1 sagt:

    Puh, harte Kost, hier wird mit Begriffen durch die Gegend geworfen, wo man erstmal gucken musss, was das alles ist.

  2. Ralf S. sagt:

    Hochinteressanter Artikel! Auch wenn ich mind. die Hälfte als Nicht-Admin nicht mal ansatzweise verstanden habe. So zeigt uns dieser Artikel allerdings doch mal wieder mehr als deutlich, dass "Digitalisierung first – Bedenken second" halt doch kein allzu guter, grundlegender Ansatz für die Zukunft darstellt…

  3. Ralf Lindemann sagt:

    Tatsächlich, IT-Security im Homeoffice ist aktuell ein Thema von erheblicher Relevanz. Das hat im Sommer nicht zuletzt der erfolgreiche Angriff auf die IT-Infrastruktur der Ruhr-Universität Bochum gezeigt. Interessanterweise betraf der Angriff in der Hauptsache die Universitätsverwaltung, deren Mitarbeiter sich zum Zeitpunkt der Attacke (dank Corona) quasi vollständig im Homeoffice befanden …

    Die WAZ hat das Thema IT-Security im Homeoffice heute mit mehreren Artikeln breit aufgegriffen. Ein Zitat als Problemanriss:

    „Besonders der Fernzugriff von Windows werde verstärkt angegriffen, warnt Eset, ein führender Anbieter von Sicherheitssoftware. „Der Lockdown war wie ein Startschuss (…). Vor dem Ausbruch der Corona-Pandemie ermittelte Eset etwa 260.000 Angriffe täglich in Deutschland. Seitdem haben sich die Attacken fast verzwölffacht. Im April waren es schon rund 1,7 Millionen und im Juni drei Millionen Angriffsversuche pro Tag auf das „Remote Desktop Protocol". „Die Kriminellen wissen, dass die Firmen schlecht vorbereitet waren auf Telearbeit" (…). Plötzlich arbeiteten über 40 Prozent von zuhause (…). Doch fast 28 Prozent aller Fimen in NRW sicherte den Zugang zu ihrem Netzwerk lediglich per Passwort ab – weitere 42 Prozent nutzten zwar die sicherere VPN-Technik, verzichteten jedoch auf eine Zwei-Faktor-Authentisierung. „Man wollte die Arbeit sichern und hat die Datensicherheit hinten über fallen lassen." (Quelle: https://www.waz.de/region/rhein-und-ruhr/hackerangriff-aufs-homeoffice-windows-fernzugriff-im-fokus-id230594782.html)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.