Cyber Risk Management in der neuen Arbeitswelt Cybergefahren durch Homeoffice und Remote Work

Anbieter zum Thema

FTAPI Software GmbH

Specops Software GmbH

Die Gefahr, einer Cyber-Attacke zum Opfer zu fallen, steigt stetig – genauso wie die Verluste, die Unternehmen weltweit dadurch jährlich erleiden. Die Gründe für das wachsende Risiko sind auch in neuen Arbeitsmodellen wie Homeoffice und Remote Work zu finden. Doch was können Unternehmen tun, um Sicherheit und Flexibilität bestmöglich in Einklang zu bringen?

Je komplexer und dezentraler die IT-Struktur eines Unternehmens wird, desto mehr Schwachstellen ergeben sich, die Cyber-Kriminelle als attraktive Einfallstore dienen können. Dass diese es zunehmend auf sensible Daten abgesehen haben, ist deshalb auch kein Phänomen der Corona-Pandemie. Stattdessen begannen die Cyber-Angriffe bereits Ende der 2010er-Jahre, sich zu häufen, während die Digitalisierung in Form von digitalen Speichern und Cloud-Computing in vielen Branchen verstärkt vorangetrieben wurde. Diese Entwicklung wurde durch die erforderlichen Hygienemaßnahmen zusätzlich verstärkt. Um ihre Mitarbeitende zu schützen, waren Unternehmen quasi über Nacht gezwungen, die Arbeit außerhalb des Büros zu ermöglichen. Dabei fiel die Wahl nicht selten auf die schnellsten und nicht auf die sichersten Lösungen. Die dadurch entstandenen Sicherheitslücken hatten zur Folge, dass inzwischen neun von zehn Unternehmen von Attacken betroffen sind. Ein weiterer Grund dafür liegt laut Bitkom auch darin, dass die Methoden der Cyber-Kriminelle immer professioneller werden und die organisierte Cyber-Kriminalität stetig zunimmt.

Dezentrales Arbeiten schafft neue Risiken

Der Schock, der mit der rasanten Verbreitung des Coronavirus einherging, sollte längst überwunden sein. Deshalb ist es auch nicht akzeptabel, sollten Unternehmen, die ihren Teams dezentrales Arbeiten ermöglichen wollen, sich bis jetzt immer noch nicht um jene Lösungen bemüht haben, die ausreichend Schutz für ihre sensiblen Daten gewährleisten. Tools und Cloud-Server, die die Kommunikation und Zusammenarbeit auch über große Distanzen hinweg ermöglichen sollen, sind aber nur ein Teil des Problems. Denn auch die beste Technologie kann sich nicht gegen Cyber-Kriminelle zur Wehr setzen, wenn nicht alle Beteiligten innerhalb des Unternehmens an einem Strang ziehen. Tatsächlich ist mit 95 Prozent die überwältigende Anzahl aller Sicherheitsverstöße nicht auf falsche Tools oder IT-Strukturen, sondern auf menschliches Versagen zurückzuführen. Für Unternehmen ist es deshalb umso wichtiger, dort anzusetzen, wo das größte Risiko besteht – und das ist beim Menschen selbst.

Die Mehrheit der Unternehmen ist sich der lauernden Gefahren zwar bewusst. Trotzdem belegen Umfragen, dass nur die Wenigsten regelmäßige Trainings für ihre Mitarbeitende anbieten. Bei 79 Prozent von ihnen sind deshalb Verhaltensweisen zu erkennen, die ein großes Risiko für die Cyber-Sicherheit des Unternehmens darstellen, bei dem sie angestellt sind – und das, obwohl sie es in der Theorie besser wissen. Für Teams, die dezentral in ihren Homeoffices oder anderen externen Locations verteilt sind, ist es umso schwerer, das Verhalten Einzelner im Auge zu behalten. So kann es hier deutlich öfter passieren, dass Mitarbeitende einem Phishing-Angriff zum Opfer fallen oder ihren Laptop mit einem ungesicherten WLAN-Netzwerk verbinden, dass Cyber-Kriminellen Tür und Tor öffnet.

Drei Grundpfeiler für mehr Sicherheit

1. Das „Least Privilege“-Prinzip: Um sensible Informationen vor einem möglichen Missbrauch zu schützen, können IT- oder HR-Verantwortliche den User je nach Position beschränkten Zugriff auf Dateien oder andere Ressourcen gewähren – und zwar nur auf jene, die für ihre Arbeit unbedingt erforderlich sind. Es sollte nicht darum gehen, einzelne Personen auszuschließen oder ihnen die Chance auf Wissen zu verwehren, aber nicht alle, die zum Beispiel zum Marketing-Team gehören, brauchen uneingeschränkten Zugriff auf die Daten der Buchhaltung, und umgekehrt. Hierbei sind auch verschiedene Abstufungen möglich, sodass Mitarbeitende Dateien zwar lesen, aber nicht bearbeiten können.

2. Sichere SSO-Anmeldeverfahren: Die Abkürzung SSO steht für „Single Sign-On“ und stellt eine Authentifizierungsmethode dar, die es Usern ermöglicht, sich sicher bei mehreren Websites und Tools anzumelden. Anstatt überall gesondert die Login-Daten eingeben zu müssen, bestehen die Identitätsdaten hier aus Tokens, die eine übergreifende Authentifizierung der Mitarbeitenden sicherstellt. Das spart nicht nur Zeit, sondern verhindert außerdem, dass Mitarbeitende sich eine Vielzahl von Passwörtern merken müssen, die von Cyber-Kriminellen nicht selten geknackt werden, wodurch sie einzelne Konten illegalerweise übernehmen und von dort aus weitere Schwachstellen eines Unternehmens ausspähen können.

3. Regelmäßige Schulungen: Gerade dann, wenn nicht alle Mitarbeitenden im selben Büro sitzen, fehlen wichtige Kontrollmechanismen, die zur Cyber-Sicherheit eines Unternehmens beitragen. Das ist längst kein Grund, alle Teams wieder an einem zentralen Ort zu versammeln, allerdings sollten die Verantwortlichen sich bewusst sein, dass regelmäßige Sicherheitstrainings für sie umso unverzichtbarer sind. User müssen immer wieder daran erinnert werden, welche Gefahren zum Beispiel von schwachen Passwörtern oder Phishing-Mails ausgehen, wobei sie in diesem Rahmen auch über neueste Hacking-Methoden in Kenntnis gesetzt werden können. Für Unternehmen, die ihren Teams dauerhaft Remote Work ermöglichen möchten, ist dies das wohl wichtigste To-Do, denn der Mensch ist und bleibt das schwächste Glied im Kampf gegen Cyber-Kriminelle. Auch öffentliches WLAN birgt Gefahren. Für Mitarbeitende, die von unterwegs oder zum Beispiel aus einem Café arbeiten, sind diese zwar nützlich, um online zu bleiben, trotzdem gilt es, dieses Sicherheitsrisiko zu meiden und stattdessen zum Beispiel auf den Hotspot des eigenen Smartphones auszuweichen.

Unternehmen müssen Verantwortung übernehmen

Auch dann, wenn das Kind bereits in den Brunnen gefallen ist und es zu einem Angriff durch Cyber-Kriminelle kam, ist es wichtig, zu wissen, wie Unternehmen am besten reagieren – und zwar sowohl in der internen Kommunikation als auch extern. Um in Ruhe klären zu können, wo der Verstoß genau aufgetreten und wie groß der daraus entstandene Schaden ist, macht es Sinn, zunächst die Systeme abzusichern und den Fernzugriff vorübergehend zu deaktivieren. Konnte dies geklärt werden, müssen einerseits die Schwachstellen behoben werden, andererseits ist es wichtig, auch extern Betroffene und Mitarbeitende über den Vorfall zu informieren. Wann ist der Verstoß aufgetreten? Wie konnte es dazu kommen? Wurde der Verstoß bereits behoben und wenn ja, wann? Welche Art von Daten wurden kompromittiert? Und welche Maßnahmen werden ergriffen, um Ähnliches in Zukunft zu vermeiden? All diese Faktoren sind wichtig, um das Vertrauen aufrechtzuerhalten und gleichzeitig mehr Bewusstsein für die bestehenden Gefahren zu schaffen.

Besonders wichtig ist allerdings, wie mit den Usern umgegangen wird, die für den Vorfall verantwortlich sind. Die Sicherheit des Unternehmens gefährdet zu haben, ist ihnen höchstwahrscheinlich sehr unangenehm und genau deshalb ist ein ausreichendes Maß an Empathie gefragt. Niemand geht Risiken mutwillig ein. Der Ernstfall ist aus diesem Grund eine gute Gelegenheit, um die eigenen Sicherheitsstrategien zu überdenken. Bringen Mitarbeitende sensible Unternehmensdaten in Gefahr, zum Beispiel weil unwissentlich der schädliche Anhang einer Phishing-Mail angeklickt wird, sind die bisher durchgeführten Schulungen offenbar nicht ausreichend und sollten zeitnah ausgeweitet werden.

Über den Autor: Marcelo Lebre ist CTO und Mitgründer von Remote.

(ID:49537349)