Verteilte Infrastrukturen absichern Herausforderungen durch Pandemie verlangen nach neuen Ansätzen

Autor / Redakteur: Jason Lee / Peter Schmitz

Homeoffice ist vielleicht der offenkundigste Beleg für die tiefen Einschnitte, die COVID-19 für die Arbeitswelt bedeutete. Immer mehr zeichnet sich ab, dass es kein Zurück zum vormaligen Status quo geben wird. Vielmehr wird sich ein hybrides Modell aus Homeoffice und Büro-Arbeit etablieren. Daran müssen auch vorhandene Sicherheitskonzepte angepasst werden.

Firma zum Thema

Jason Lee, Chief Information Security Officer bei Zoom, zeigt, wie Unternehmen ihre immer komplexeren Infrastrukturen gegen neue Bedrohungen schützen und ihre Mitarbeiter für das Thema Sicherheit sensibilisieren können.
Jason Lee, Chief Information Security Officer bei Zoom, zeigt, wie Unternehmen ihre immer komplexeren Infrastrukturen gegen neue Bedrohungen schützen und ihre Mitarbeiter für das Thema Sicherheit sensibilisieren können.
(Bild: Zoom)

Unternehmensnetzwerke sind heute keine geschlossenen Systeme mehr wie noch vor wenigen Jahren. Früher gab es eine klare Trennung zwischen dem internen Netzwerk und dem öffentlichen Web, mit wenigen Schnittstellen, die sich vergleichsweise einfach absichern ließen. Durch den Siegeszug mobiler Geräte und Cloud-Anwendungen gilt das schon länger nicht mehr und besonders durch das massive Wachstum von Remote Work im letzten Jahr ergaben sich nochmals komplexere Systeme.

Für Sicherheitsteams bedeutet das, dass sie ihre Netzwerke neu bewerten müssen und Sicherheit verstärkt von der Geräteebene aus denken müssen. Unternehmen benötigen dafür ein leistungsfähiges Mobile Device Management (MDM) und müssen klare Richtlinien für die Gerätenutzung vorgeben. Beispielsweise sollten nur die entsprechenden Arbeitnehmer selbst Zugriff auf ihre Endgeräte haben. Einen guten Schutz gegen unbefugte Benutzung bietet zudem Multi-Faktor-Authentifizierung, die sich heute immer weiter verbreitet.

In diesem Kontext ist auch der Zero-Trust-Ansatz zu sehen. Hierbei geht es einfach darum, jeden Zugriff auf Unternehmensdaten zu verifizieren, egal ob dieser von „innen“ oder von „außen“ kommt. In den alten Perimeter-Konzepten taucht diese Unterscheidung immer noch auf. In verteilten Infrastrukturen und Cloud-Umgebungen ist sie allerdings nicht mehr zeitgemäß. Neben technischen Lösungen wie Micro Segmentation setzt das allerdings auch wieder ein Umdenken unter den Mitarbeitern voraus. Lange Zeit galt es als gesetzt, dass alles, was sich innerhalb des eigenen Netzwerks abspielt, sicher ist. Genau das ist beim Zero-Trust-Ansatz nun nicht mehr der Fall: Hier gilt jeder als potentiell verdächtig, bis er als sicher identifiziert wurde.

Kultur der Sicherheit schaffen

Cybersicherheit ist ein Thema, dass alle Mitarbeiter im Unternehmen angeht. Das gilt in der heutigen Zeit mit ihren schwierigen Voraussetzungen umso mehr. Sicherheitsexperten sind gefragt und in vielen Unternehmen rar und selbst, wenn sie es wollte, alles könnte die IT-Abteilung nicht überwachen. Daher ist es umso wichtiger, dass jeder einzelne Mitarbeiter versteht, welche Rolle er selbst und sein Handeln für das gesamte Sicherheitskonzept des Unternehmens spielen. Längst sind Phishing und Social Engineering zu bevorzugten Angriffsvektoren für Kriminelle geworden. Diese müssen sich gar nicht erst mit komplexen technischen Systemen auseinandersetzen, sondern können Überraschungsmomente sowie das Unwissen und die Hilfsbereitschaft der Mitarbeiter ausnutzen.

Gegen solche Angriffe auf persönlicher Ebene hilft nur intensives und wiederholtes Training der Mitarbeiter. Außerdem sollten Unternehmen klare Policies für die interne Kommunikation zum Beispiel mit der IT-Abteilung festlegen. Wenn allen Mitarbeitern bekannt ist, dass die Kollegen aus der IT sie niemals per Mail nach Passwörtern fragen, werden sie derartige Phishing-Versuche leichter erkennen. Schließlich gehen auch die Kriminellen immer elaborierter vor und recherchieren im Vorfeld Namen von Kollegen und Fakten rund um das Unternehmen. Außerdem benutzen sie oft Adressen, die echten Unternehmensadressen auf den ersten Blick täuschend ähnlich sehen. Im letzten Jahr konnten wir außerdem beobachten, dass Betrüger versuchten, die allgegenwärtige Pandemie für sich auszunutzen, indem sie sich beispielsweise als Mitarbeiter des Gesundheitsamtes ausgaben.

Zu einer umfassenden Kultur der Sicherheit gehört auch, diese tief im Entwicklungsprozess zu verankern – also umfassende Sicherheitstrainings für Developer anzubieten und Prinzipien wie DevSecOps umzusetzen.

Sichere und effiziente Kommunikationswege schaffen

Für die erfolgreiche Arbeit im Homeoffice ist Kommunikation natürlich entscheidend, sowohl zwischen Mitarbeitern als auch mit Kunden. Hier kommt es einerseits auf die Auswahl sicherer Tools an, aber auch auf die Aufmerksamkeit und Mithilfe der Angestellten. Gerade bei Videokonferenzen stehen ihnen – je nach Anbieter – verschiedene hilfreiche Features zur Verfügung, die Meetings sicherer machen.

Nutzer von Zoom sollten die Warteraumfunktion verwenden, wo der Host direkt sehen kann, welche Personen einem Meeting beitreten möchten. Deaktiviert man zudem die Funktion „Beitritt vor dem Host zulassen“ hat der Organisator einer Besprechung die volle Kontrolle, wen er zu seiner Konferenz zulässt. Sind einmal alle erwarteten Teilnehmer aufgenommen, können Meetings außerdem geschlossen werden, sodass keine weiteren Personen mehr beitreten können. Außerdem hat der Host die Kontrolle darüber, wer die Chat-Funktion nutzen oder seinen Bildschirm teilen kann.

Auch bei anderen Kommunikationstools sollten Unternehmen ihre Mitarbeiten mit den vorhandenen Sicherheitsfeatures vertraut machen und klare Richtlinien aufstellen, was mit welchem Tool erlaubt ist. Das betrifft insbesondere das Filesharing. Beispielsweise kann es zu Komplikationen mit der DSGVO kommen, wenn Kundendaten über bestimmte Messenger verschickt werden. Mitarbeiter müssen also auch dafür sensibilisiert werden, wie sie Daten auf sicherem Weg mit Kollegen teilen können.

Über den Autor: Jason Lee ist CISO bei Zoom.

(ID:47354898)