Neue Sicherheitskonzepte für die neue Normalität Die neue Arbeitswelt braucht neue Sicherheitsstrategien

Autor / Redakteur: Frank Reiländer / Peter Schmitz

Remote Work und Cloud Services haben die Arbeitswelt verändert und vielen Unternehmen während der Corona-Pandemie eine Fortführung ihres Geschäftsbetriebs ermöglicht. Allerdings sind ihre Infrastrukturen dadurch offener und verwundbarer geworden – die alten Sicherheitskonzepte und Security-Lösungen können sie nicht mehr zuverlässig schützen und taugen nicht für die Anforderungen von heute und morgen. Unternehmen benötigen daher neue ganzheitliche Strategien und neue Technologien.

Firmen zum Thema

Seit der COVID-19-Krise sind durch Remote-Work und die verstärkte Cloud-Nutzung die Infrastrukturen von Unternehmen zwar flexibler, aber auch offener und damit verwundbarer geworden.
Seit der COVID-19-Krise sind durch Remote-Work und die verstärkte Cloud-Nutzung die Infrastrukturen von Unternehmen zwar flexibler, aber auch offener und damit verwundbarer geworden.
(© peshkov - stock.adobe.com)

Corona hat die Wirtschaft durcheinandergewirbelt und vielen Unternehmen klargemacht, dass Homeoffice kein Gimmick oder Zugeständnis an die Mitarbeiter ist, sondern ein wesentlicher Bestandteil von Resilienzstrategien. Ohne Heimarbeit hätten sie im Frühjahr nur schwer ihren Geschäftsbetrieb aufrechterhalten können – allerdings mussten sie damals oft große Anstrengungen unternehmen, um ihren Mitarbeitern überhaupt ein ortsunabhängiges Arbeiten zu ermöglichen. Neben mobilen Geräten fehlte es vielfach an Zugängen zu Ressourcen innerhalb des Unternehmensnetzwerks und neuen Kommunikations- und Kollaborationsdiensten, die Mitarbeitern den Austausch mit Kollegen und Geschäftspartnern erleichtern und die gemeinsame Arbeit an Dokumenten und Projekten erlauben.

Mit Remote-Work und der Cloud-Nutzung sind die Infrastrukturen von Unternehmen offener und damit verwundbarer geworden. Sie müssen Zugriffe von außen auf interne Systeme zulassen und ihre Daten zirkulieren zwischen dem eigenen Rechenzentrum, der Cloud und mobilen Arbeitsgeräten, die sich in wenig kontrollierten Umgebungen befinden – vom Heimnetzwerk bis zum öffentlichen WLAN-Hotspot. Die traditionelle Perimetersicherung per Firewall, die vor allem auf eine restriktive Abschottung des Unternehmensnetzes setzt, reicht für diese neue Arbeitswelt nicht aus; Unternehmen benötigen neue Ansätze und Technologien, um ihre Systeme, Daten und Mitarbeiter zu schützen.

Eine Herausforderung ist das insbesondere für Unternehmen, die zuvor nicht oder nur wenig auf Heimarbeit gesetzt hatten und in diesem Jahr kurzfristig auf breiter Front damit starten mussten. Ihr Fokus lag meist auf der Ausstattung der Mitarbeiter mit Mobilgeräten und der Einführung von Videokonferenzlösungen, um bestehende Abläufe an die neuen Gegebenheiten anpassen zu können – Security hatte da nicht immer die höchste Priorität. Nun sind sie gefordert nachzubessern, damit unsichere Umgebungen nicht zum Dauerzustand werden, denn die Heimarbeit wird nach Corona nicht einfach wieder verschwinden.

Cyberkriminelle jedenfalls haben die Schwächen des Homeoffice und das Potenzial von Corona als Thema, das arglose Anwender zu unbedachten Klicks auf Links oder Dateianhänge verleiten kann, schnell erkannt und schon im ersten Quartal dieses Jahres ihre Angriffsbemühungen deutlich verstärkt. Damit wurde eine ohnehin angespannte Sicherheitslage noch bedrohlicher, denn nicht nur die Zahl der Attacken, sondern auch ihre Qualität nimmt seit Jahren zu. Fortschrittliche Malware und moderne Hacking-Tools, die früher lediglich großen Hacker-Gruppierungen zur Verfügung standen, kann heute jeder Cyberkriminelle im Dark Web kaufen oder mieten. Zudem haben Cyberkriminelle wenig Scheu, neue technologische Entwicklungen für ihre Zwecke zu nutzen und beispielsweise Schadprogramme mit KI-Hilfe immer wieder zu verändern, damit Virenscanner sie nicht entdecken.

Accounts benötigen einen besseren Schutz

Natürlich werden die bisherigen Sicherheitslösungen und Sicherheitsmaßnahmen durch Remote-Work nicht überflüssig. Nach wie vor gehen die größten Risiken von Software-Schwachstellen und schwachen oder mehrfach verwendeten Passwörtern aus – an Patch-Management und sicheren Logins führt daher auch künftig ebenso wenig ein Weg vorbei wie an einer zuverlässigen Endpoint Protection und einer Firewall. Allerdings müssen Unternehmen ihre Daten konsequenter verschlüsseln und ein größeres Augenmerk darauf richten, Benutzerkonten besser zu schützen, Rechte restriktiver zu vergeben und Zugriffe genauer zu überwachen. Nur so können sie in verteilten Infrastrukturen, in denen Mitarbeiter von unterschiedlichen Orten auf das Unternehmensnetzwerk und Dienste in der Cloud zugreifen, einen Missbrauch von Accounts schnell erkennen und die Schäden minimieren.

Um den Schutz von Accounts zu verbessern, gehören die bisherigen Passwortrichtlinien auf den Prüfstand. Jahrelang wurden Mitarbeiter mit immer längeren, komplexeren und regelmäßig zu wechselnden Kennwörtern überfordert – und mit den neuen Cloud-Diensten sind noch einmal einige hinzugekommen. Das führt dazu, dass Mitarbeiter gerne für alle Accounts dasselbe Kennwort verwenden. Erbeuten Cyberkriminelle dieses via Social Engineering oder erraten es – ein „i“ in einem Wort durch eine „1“ zu ersetzen, erfüllt zwar oft die Vorgaben, macht ein Kennwort aber nicht wirklich komplex –, sind gleich mehrere Zugänge kompromittiert. Eine Zwei- oder Mehrfaktor-Authentifizierung bietet einen weitaus besseren Schutz.

Darüber hinaus ist die Umsetzung von Least Privilege-Konzepten sinnvoll. Allen Accounts, egal ob sie Menschen oder Anwendungen zugordnet sind, werden nur genau die Rechte zugewiesen, die für die jeweiligen Aufgaben notwendig sind. Auf diese Weise reduzieren Unternehmen ihre Angriffsfläche, weil Angreifer mit gestohlenen Zugangsdaten oder nach der Infektion eines Systems mit Malware keine weitreichenden Berechtigungen besitzen, die ihnen eine Ausbreitung auf andere Systeme erleichtern würde.

KI hilft bei der Erkennung von Angriffen

Angesichts verwundbarer Infrastrukturen und ausgefeilter Bedrohungen dürfen sich Unternehmen heute nicht mehr allein auf die Abwehr von Angriffen konzentrieren, sondern müssen auch für den Fall vorsorgen, dass sie erfolgreich attackiert werden – hundertprozentig verhindern lässt sich das nämlich nicht. Sie benötigen Lösungen oder Services, die ihnen helfen, laufende Angriffe aufzuspüren, sie schnellstmöglich einzudämmen und ihre Auswirkungen zu beseitigen.

Der Schlüssel zur Erkennung von Angriffen sind die Statusinformationen, die innerhalb des Netzwerks und in der Cloud, auf Rechnern und Servern, bei der Nutzung von Anwendungen und Services anfallen: von Nutzeranmeldungen über aufgebaute Netzwerkverbindungen bis hin zu Zugriffen auf Dateien. Das alles muss zusammengetragen und kontextbezogen ausgewertet werden, um Abweichungen zu entdecken, die auf eine Bedrohung hindeuten können – zum Beispiel den Login mit Zugangsdaten eines deutschen Mitarbeiters mitten in der Nacht von einer asiatischen IP-Adresse aus. Für Menschen ist das nicht zu schaffen, dafür sind die Datenmengen zu umfangreich, aber Machine Learning und künstliche Intelligenz leisten hier sehr gute Arbeit.

Algorithmen können große Datenmengen viel schneller als Menschen analysieren und dadurch auch Risiken sehr gut bewerten. So können sie Menschen unterstützen und ihnen bessere Entscheidungen ermöglichen oder sogar abnehmen. Bei einem entdeckten Angriff können sie beispielsweise umgehend Gegenmaßnahmen einleiten, etwa ein infiziertes System isolieren, eine Verbindung unterbrechen oder manipulierte Daten wiederherstellen. Selbstverständlich soll der Mensch nicht komplett die Kontrolle abgeben, aber ohne eine Automatisierung ist ein hohes Sicherheitslevel nicht erreichbar. Automatisierung verschafft Sicherheitsabteilungen einen Zeitvorteil, weil Angriffe sofort bei Entdeckung gestoppt oder eingedämmt werden, und sie entlastet Security-Mitarbeiter bei Routineaufgaben, sodass sie sich auf wichtige Tätigkeiten und Entscheidungen konzentrieren können, die eine KI nicht treffen kann oder treffen soll.

Sicherheitslösungen müssen zusammenspielen

Ihre volle Kraft können KI und Automatisierung indes erst entfalten, wenn Sicherheitslösungen zusammenarbeiten und einen Austausch von Daten erlauben. Der früher oft empfohlene Best-of-Breed-Ansatz – Sicherheitslösungen, die ein bestimmtes Problem auf bestmögliche Art lösen – hat daher ausgedient, wichtiger ist das sinnvolle Zusammenspiel der verschiedenen Lösungen. Für Unternehmen bedeutet das, dass sie ihre Security-Silos auflösen und durch integrierte Anwendungen ersetzen sollten. Die haben nicht nur den Vorteil, dass sie durch ihren ganzheitlichen Ansatz ein höheres Sicherheitsniveau erreichen, sondern auch einfacher zu verwalten sind als ein Flickenteppich aus einzelnen Lösungen.

Zu einem ganzheitlichen Sicherheitskonzept gehört allerdings auch der Mensch: Mitarbeiter benötigen klare Vorgaben zum sicherheitsbewussten Umgang mit Firmendaten und geschäftlichen Anwendungen – ganz besonders im Homeoffice. Sie sollen aber auch Phishing-Mails, die es an den Sicherheitssystemen des Unternehmens vorbeigeschafft haben, als solche erkennen oder den Anruf eines vermeintlichen Support-Mitarbeiters von Microsoft als Betrugsversuch identifizieren. Das dafür notwendige Wissen vermitteln Unternehmen in regelmäßig stattfindenden und auf die jeweiligen Positionen der Mitarbeiter angepassten Awareness-Trainings; auch Phishing-Simulationen sind ein probates Mittel, das Sicherheitsbewusstsein zu schärfen, weil Mitarbeiter sehr praxisnahe Erfahrung sammeln.

Schulungen, neue Sicherheitslösungen, eine Überarbeitung bestehender Security-Konzepte – all das erfordert Investitionen, trägt aber auf den ersten Blick nicht zum Umsatz bei. Häufig treiben Unternehmen das Thema IT-Sicherheit daher nicht mit Nachdruck voran und übersehen dabei, dass durch Sicherheitsvorfälle weitaus größere Kosten entstehen. Zu den Ausgaben für die Schadensbeseitigung und die Wiederherstellung des Geschäftsbetriebs kommen Umsatzausfälle und möglicherweise Vertragsstrafen, Bußgelder und Reputationseinbußen.

Zudem ist Security keine einmalige Anstrengung, an deren Ende ein sicheres Unternehmen steht, sondern vielmehr ein Prozess. Unternehmen müssen ihren aktuellen Sicherheitsstand immer wieder neu bewerten und kontinuierlich verbessern. Dienstleistungs- und Beratungsspezialisten können hier nicht nur mit Audits und Penetrationstests helfen, die Lücken aufdecken und Verbesserungspotenziale offenbaren. Sie können viele Elemente einer ganzheitlichen Security auch als Managed Services liefern, sodass Unternehmen dieses komplexe und hochkritische Thema an einen Spezialisten auslagern und sich auf ihr eigentliches Geschäft konzentrieren können.

Über den Autor: Frank Reiländer ist Head of Cybersecurity bei CGI in Deutschland.

(ID:47441814)