:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Risiken und Möglichkeiten für IT-Sicherheitsverantwortliche Auswirkungen der Corona-Krise auf die IT-Sicherheit
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Die Digitalisierung in Deutschland nimmt durch Corona enorm an Fahrt auf. Zu den erfolgreichsten Maßnahmen zur Eindämmung der Covid-19-Pandemie gehören zweifellos die Kontaktbeschränkungen und damit die Verlagerung der Arbeitsplätze ins Home Office, sofern möglich. Welche Konsequenzen ergeben sich aber aus diesem – eher aus der Not geborenen – New Work Ansatz für die IT-Sicherheit in Unternehmen?
Das Wirtschaftsberatungsunternehmen Deloitte befragte im vierten Quartal 2019 353 Gesellschafter und Führungskräfte großer Mittelständler zum Thema IT-Sicherheit. Bereits bevor sich das hochansteckende Corona-Virus über den gesamten Erdball ausbreitete, warnten Branchen-Experten vor einer allgemeinen Zunahme im Bereich der Cyber-Gefahren – nichtsdestotrotz gestanden fast die Hälfte der Befragten der IT-Sicherheit immer noch keine aktuelle Top-Priorität zu, wollten sich aber zukünftig intensiver mit dieser Problematik auseinandersetzen.
Nach den mehr oder weniger abrupten Covid-19-Lockdowns und der rasant gestiegenen Bedeutung von Tele-Arbeit haben sich natürlich auch Cyber-Kriminelle auf der ganzen Welt den neuen Rahmenbedingungen angepasst, ihre Angriffsstrategien justiert – und massiv verstärkt. Die Herausforderungen für IT-Sicherheitsverantwortliche, aber auch für die gesamte Geschäftsführung inkl. HR-Management spreizen sich einerseits erheblich auf und ziehen andererseits auch enormen Handlungs- und Investitionsbedarf nach sich.
Steigende Heterogenität durch Tele-Arbeit
Die Corona-Krise traf den deutschen Mittelstand ganz unterschiedlich – wer sich bereits eingehend und proaktiv der Digitalisierung und auch dem Thema „Ortsunabhängige Produktivität“ gewidmet hatte, konnte gut vorbereitet und zügig Mitarbeiterinnen und Mitarbeiter ins Home-Office schicken und seine Geschäftstätigkeit weitestgehend aufrechterhalten. Andere Unternehmen, die dann aber nicht selten auch branchenbedingt immer noch einen hohen Anteil von analogen Prozessen und/oder Produktionsschritten aufwiesen, kamen fast vollkommen zum Stillstand – zum Beispiel in der Tourismusbranche oder in der Automobilindustrie. Die bereits vor Corona vorhandene digitale Heterogenität bildet der Digitalisierungsindex Mittelstand 2019/2020 gut ab, identifiziert aber auch im Fazit den Bereich „Datenschutz und IT-Sicherheit“ als klares Schwerpunkt-Thema.
Der Corona-bedingte Transfer von Mitarbeiterinnen und Mitarbeitern ins Home-Office verbreitert die Unterschiedlichkeit der Rahmenbedingungen und die Komplexität der resultierenden Aufgaben – insbesondere im Mittelstand – noch weiter: Modellvielfalt und Leistungsfähigkeit der Hardware, Aktualität der Software, Netz-Anbindung der räumlich verstreuten Tele-Arbeitsplätze, Effektivität der administrativen Prozesse. Wer bereits Probleme mit der Umsetzung einer „Bring-Your-Own-Device“-Strategie hatte, tut sich entsprechend schwer mit einer „Use-Your-Own-Device-at-Home“-Agenda. Einer großangelegten Beschaffung von zusätzlicher Hardware für den Telearbeitsplatz standen Einschränkungen in der Verfügbarkeit entgegen. Andererseits stehen IT-Verantwortliche, die vielleicht gerade die Absicherung ihrer unternehmensinternen Server- und Arbeitsplatzrechner-Infrastruktur mühsam abgeschlossen haben, vor der nicht minder anspruchsvollen Herausforderung, unter enormen Zeitdruck sichere, stabile und leistungsfähige Datenverbindungen zu externen Usern und Clients aufzubauen. Dementsprechend setzen sich die Themen „Verfügbarmachung sicherer Home-Office-Arbeit“ Bereitstellung der benötigten Services“ und „Allgemeine IT-Security“ selbstbewusst auf die TOP-Liste von Geschäftsleitungs- und Vorstandssitzungen. Die Bandbreite der abzuleitenden Maßnahmen sprengt aber den reinen IT-Bereich.
IT-Sicherheit beschränkt sich nicht nur auf Hard- und Software
Der Mensch gilt auch weiterhin noch als das größte und unkalkulierbarste IT-Risiko. Diese Kategorisierung schwächt sich auch nicht durch die Verlagerung ins Home-Office ab, ganz im Gegenteil. Die Ausstattung mit aktueller, performanter und sicherer Soft- und Hardware stellt daher nur die eine Hälfte der Medaille dar. Neben den technischen Experten sind hier Vorgesetzte und HR-Verantwortliche gefordert, Mitarbeiterinnen und Mitarbeiter zu unterstützen, zu schulen und zu motivieren. Wer sich bis vor den Corona-bedingten Kontakteinschränkungen wohl und akzeptiert in seinem Arbeitsumfeld fühlte, kann in der Abgeschiedenheit des provisorischen Home-Offices durchaus Unsicherheit und Isolation empfinden. Ohne den spontanen und klärenden Austausch in der Teeküche – auf dem kurzen Dienstweg – häufen sich dann auch oft Verständnis- und Flüchtigkeitsfehler. Das Risiko, einer Phishing-Attacke zum Opfer zu fallen, nimmt entsprechend zu. Den „Human Factor“ bekommt man mit regelmäßigen Security-Awareness-Schulungen in den Griff. Auf das gleichfalls sehr wichtige seelische Gleichgewicht wirken sich digitale Smalltalks positiv aus, die anlassunabhängig zu festen Terminen vereinbart, aber eben auch ganz spontan und „hemdsärmelig“ durchgeführt werden sollten. Gleichfalls stehen die Führungskräfte in der Pflicht, die Einhaltung der unternehmensspezifischen Sicherheitsrichtlinien zu forcieren und zu kontrollieren. Die IT-Admins können angesichts ihres erheblich gestiegenen Aufgabenspektrums diese Entlastung sehr gut gebrauchen.
Agilität und Entscheidungsdynamik in Corona-Zeiten
Die enorme Unvorhersehbarkeit der pandemischen Entwicklung schlägt natürlich auch in den Bereich der agilen Führungs- und Arbeitsorganisation durch. Entscheidungen müssen einerseits schneller getroffen werden, andererseits sinkt die „Halbwertzeit“ der Gültigkeit. Dementsprechend müssen die Sicherheits-Tools – aber auch die Führungsgrundsätze – mit den aktuellen und zukünftigen Bedrohungsszenarien Schritt halten und sich den Anforderungen des New Work Konzepts anpassen. Auf die Hard- und Software bezogen ergibt sich die Notwendigkeit, Firmware und Programmversionen stets auf dem neusten Stand zu halten und bei Bedarf auch die Nutzungszyklen der Devices erheblich zu verkürzen. Wenngleich also auch die Entscheidungsfrequenz zunimmt, darf die Qualität und die Praktikabilität der erarbeiteten New Work Konzepte nicht leiden. Dementsprechend gilt es nun bei der Entwicklung von IT-Sicherheits-Strategien und -Vorgehensweisen ein viel breiteres Spektrum abzudecken und flankierende Kompetenzen und Bereiche mit einzubeziehen. Gleichzeitig muss immer wieder die Kategorisierung von IT-Sicherheit als „Chefsache“ forciert werden.
Home-Office: Gekommen, um zu bleiben
Sicherlich wird sich in mehr oder weniger absehbarer Zeit der Anteil der Tele-Arbeiterinnen und -Arbeiter wieder reduzieren. Nichtsdestotrotz stellt das Home-Office eine Ergänzung des unternehmerischen Wertschöpfungsportfolios dar, das seinen in Corona-Zeiten erkämpften Platz sicher nicht mehr räumen wird – und mit entsprechend angepassten Sicherheitskonzepten dauerhaft und robust unterfüttert werden sollte. Insofern konnte die Digitalisierung im Mittelstand einen ordentlichen Sprung nach vorne machen, den die IT- und Personalverantwortlichen auf Geschäftsführungsebene möglichst zuversichtlich weiterverfolgen können. Ein „Zurück in die gute alte Zeit“ wird es nicht mehr geben.
Über den Autor: Sascha Martens ist seit April 2019 als CTO bei Mateso tätig, ein international agierendes IT-Unternehmen mit Sitz in Augsburg.
(ID:46934697)
:quality(80)/p7i.vogel.de/wcms/e7/78/e778a56cf781c22b8dfe2db24e8f787c/0111095238.jpeg "Die Zunahme der Fernarbeit hat für viele Menschen zu mehr Möglichkeiten und Flexibilität geführt, aber leider auch zu einer massiven Vergrößerung der Angriffsfläche für Unternehmen. (Bild: JenkoAtaman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")