:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c4/46/c446ebd001ec134deacbecbc6c51fe45/0115211957.jpeg "Die Versorgungssicherheit von Haushalten und der Wirtschaft ist ein hohes Gut, welches es zu schützen gilt. Die aktuelle Bedrohungslage durch Cyberangriffe erschwert dieses Vorhaben jedoch. (Bild: OSORIOartist - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/64/0364674fa2ee58d04060445081ce3037/0115211734.jpeg "Mit aktuellen KI-Tools und Sicherheitsplattformen lassen sich shcon heute bis zu 70 Prozent aller Security-Vorfälle automatisiert abwickeln. Bleiben noch 30 Prozent der wirklich schwierigen Fälle, bei denen der Mensch nach wie vor selbst Hand anlegen muss. (Bild: Kaikoro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/24/772400bfb4a54a4d354988011ec4a914/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
IT-Security-Richtlinien Diese BYOD-Risiken müssen CISOs kennen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
Mit einer sinnvollen Richtlinie für externe Geräte in Unternehmensnetzwerken (BYOD - Bring Your Own Device) sichern CISOs sensible Geschäftsdaten. Gleichzeitig sollte es Mitarbeitern möglich sein, ihre persönlichen Geräte für arbeitsbezogene Zwecke zu nutzen. Welche Vorkehrungen sind zu treffen?
Angesichts der beliebter gewordenen Fernarbeit und einer anhaltenden Zunahme von Hacker-Angriffen wurden viele Unternehmen von der Notwendigkeit, BYOD-Richtlinien zu definieren, buchstäblich überrumpelt. In Umfragen geben rund 50 Prozent der Befragten an, dass externe Geräte aus Sicherheitsgründen registriert werden müssten. Davon benötigen jedoch nur rund 30 Prozent eine Registrierung für Sicherheitssoftware.
Da die meisten davon betroffenen Mitarbeiter unweigerlich zwischen eignen Geräten und denen des Unternehmens hin- und herwechseln, können daraus eine Reihe von nicht zu unterschätzenden Risiken entstehen. Um einerseits die Sicherheit der Geschäftsdaten nicht zu gefährden und andererseits die Mitarbeiterzufriedenheit zu erhalten, müssen mögliche Risiken gemanagt bzw. umfassende BYOD-Richtlinien definiert werden.
BYOD und mögliche Sicherheitsrisiken
In der Folge sind einige der größten und häufigsten Risiken skizziert, die durch BYOD auftreten können:
Offengelegte E-Mails
Mitarbeiter, die geschäftliche E-Mails auf privaten Geräten abrufen, versäumen es oft, grundlegende Sicherheitsmaßnahmen vorzunehmen.
Als Abhilfe empfehlen sich unter anderem robuste Penetrationstests und deren Lösungen, um den Zugriff für Unbefugte einzuschränken. Gespräche lassen sich durch umfassende Datenverschlüsselungen zusätzlich schützen. Idealerweise trennen Mitarbeiter ihre privaten und beruflichen Interaktionen und nutzen für jede Kontaktart völlig unterschiedliche Apps.
Geräteverlust bzw. Diebstahl
Leider verlegen Mitarbeiter, die viel unterwegs sind, manchmal ihre Geräte, wodurch sensible Unternehmensdaten auch dann gefährdet sind, wenn sie ordnungsgemäß gesichert sind.
Hierzu empfehlen sich Tracking-Systeme, um die Wiederbeschaffung des Geräts zu erleichtern. Darüber hinaus können mobile Datenverwaltungslösungen gefährdete Geräte aus der Ferne löschen, bevor die Daten für Dritte zugänglich werden.
Schadsoftware
Für Desktop- und Laptop-Benutzer stellt Schadsoftware nach wie vor ein Problem dar, für Smartphone-User ist sie meist jedoch noch riskanter. Nicht wenige Mitarbeiter laden problematische Apps auf ihre persönlichen Geräte herunter, ohne sich die Mühe zu machen, die Authentizität zu überprüfen.
Gehackte Apps können scheinbar harmlose Funktionen wie Telefonkameras oder GPS für kriminelle Zwecke nutzen. Daten, die durch die Integration mit Kalender-Apps oder Audio-Recordern erfasst werden, können an Dritte gesendet werden. Oft ist der schädliche Status einer App für Mitarbeiter selbst Monate nach dem Download praktisch nicht erkennbar.
Als Lösung sollten die Mitarbeiter am Arbeitsplatz darin geschult werden, problematische Apps zu erkennen. Automatisierte Bereitschaftslösungen identifizieren riskante Apps sehr schnell und minimieren Malware-Schäden. Neue Technologien wie beispielsweise „Mobile Application Management“ gestatten es, die Sicherheitseinstellungen für jeden Benutzer oder jede Anwendung zu ändern.
Cloudbasierte Speicher
Apps wie DropBox ermöglichen eine einfache Speicherung wichtiger Dokumente in der Cloud. Sie stellen leider auch ein ideales Ziel für Hacker dar. Ein BYOD-Ansatz ermöglicht es, dass immer größere Mengen sensibler Daten unsichere Cloud-Speichersysteme erreichen.
Für Unternehmen, die eine einzige Cloud-Lösung nutzen, wird die Sicherheit am besten durch eine robuste Verschlüsselung und Authentifizierung erreicht. Eine besonders proaktive Lösung: clientseitige Verschlüsselungs-Gateways, die verhindern, dass sensible Informationen überhaupt in eine unsichere Cloud gelangen.
Grundüberlegungen für BYOD-Richtlinien
Bei BYOD handelt es sich um Richtlinien, die es den Mitarbeitern in die Lage versetzt, ihre eigenen Geräte zur Arbeit mitzubringen (und mit nach Hause zu nehmen), anstatt arbeitsspezifische Geräte zu nutzen. Wenn CISOs die Kontrolle über die BYOD-Sicherheit in einem Unternehmen wiedererlangen möchten, benötigen sie gut durchdachte Richtlinien.
Endpunktunabhängig
BYOD-Richtlinien sollten endpunktunabhängig sein, damit auch neue oder neu entstehende Geräte und Plattformen ebenfalls berücksichtigt werden können.
Langfristige Gültigkeit
Ständige Überarbeitungen von einmal aufgestellten Richtlinien wird die Durchsetzbarkeit in der Belegschaft erschweren. Für eine weitere Reduktion der Sicherheitsrisiken empfiehlt es sich, unterschiedliche BYOD-Richtlinien für Auftragnehmer sowie Zeit-, Teilzeit- und Vollzeitmitarbeiter festzulegen.
Partizipation aller Parteien
Alle interessierten Parteien müssen in den Prozess der Richtlinien-Erstellung einbezogen werden. Das bedeutet, dass jeder – von leitenden Teammitgliedern bis hin zu den Personal-, IT-, Buchhaltungs- und Rechtsabteilungen – sich für die Erarbeitung einbringen sollte.
Durch die Einbeziehung dieser Mitarbeiter können CISOs eine umfassende Richtlinie erstellen, die alle Sicherheits-, Funktionalitäts-, Regulierungs-, Rechts- und Technologieanforderungen erfüllt. Darüber hinaus lassen sich Warnsignale oder Kontroversen angemessen angehen, bevor sie negative Auswirkungen zeigen.
Richtlinien müssen zur Belegschaft passen
Was für ein Unternehmen gut funktioniert, ist nicht zwingend für ein anderes geeignet. Ziel ist es, eine Richtlinie zu erstellen, die den Bedürfnissen der Mitarbeiter entspricht, ohne die Datensicherheit zu beeinträchtigen.
Liste zulässiger Geräte erstellen
Bereits in den frühesten Phasen der Implementierung der BYOD-Richtlinien sollte eine Liste der Geräte und deren Sicherheitsanforderungen erstellt werden. Darüber hinaus wäre es hilfreich, wenn CISOs darauf bestehen würden, dass die Mitarbeiter bei der Auswahl von Passwörtern, der Verwendung von Bildschirmsperren und dem Zugriff auf das Unternehmensnetzwerk alle größtmöglichen Vorsichtsmaßnahmen treffen.
BYOD-Richtlinien kommunizieren
Diese Richtlinien erfüllen nur dann einen Zweck, wenn die Mitarbeiter, die sie anwenden, alle Anforderungen verstehen und verinnerlicht haben. Ganz gleich, ob CISOs eine Informationsveranstaltung abhalten oder ein Memorandum erstellen, eines ist sicher: Wenn CISOs ihre BYOD-Richtlinien nicht richtig kommunizieren, könnte jeder User wiederum eine potenzielle Bedrohung darstellen.
Trennung von privatem Gebrauch und Arbeit
Eine BYOD-Richtlinie muss eine klare Grenze zwischen der Arbeit und dem Privatleben der Mitarbeiter ziehen. Das bedeutet, dass berufliche Apps niemals für persönliche Angelegenheiten genutzt werden können (und umgekehrt).
Das gleiche gilt für die Nutzung von Kalender-Apps, das Erstellen von Kontaktlisten und Versenden von E-Mails. Bei sehr sensiblen Daten muss eine BYOD-Richtlinie darauf hinweisen, dass keine beruflichen Daten auf Geräten verbleiben dürfen.
Haftungsfragen
Bei der Erstellung von BYOD-Richtlinien muss ebenfalls über Haftungsfragen nachgedacht werden. Verhaltensweisen der Mitarbeiter können dazu führen, dass ein Unternehmen wegen Fahrlässigkeit mit Schadensersatzansprüchen konfrontiert werden.
(ID:49594665)
:quality(80)/p7i.vogel.de/wcms/e7/78/e778a56cf781c22b8dfe2db24e8f787c/0111095238.jpeg "Die Zunahme der Fernarbeit hat für viele Menschen zu mehr Möglichkeiten und Flexibilität geführt, aber leider auch zu einer massiven Vergrößerung der Angriffsfläche für Unternehmen. (Bild: JenkoAtaman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/40/40403941e9760d220830b7b61eda0934/0114476832.jpeg "Während die spezifischen Taktiken der Hacker variieren können, sind die Phasen eines Angriffs von außen häufig sehr ähnlich. (Bild: Skórzewiak - stock.adobe.com)")