:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Teamwork von Mitarbeitern und Technologie Neues Arbeiten, neue Sicherheitsstrategie
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107800/107800/65.jpg "SonicWall_Registered-2C.JPG ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/76/607696cf2c231/rubrik.png "rubrik.png (Rubrik)")
Zuhause, unterwegs oder vielleicht sogar am anderen Ende der Welt – die COVID-19-Pandemie hat vielen Führungskräften gezeigt, dass ihre Mitarbeiter auch außerhalb des Büros gut, wenn nicht gar besser arbeiten. Entsprechend wird Flexibilität beim Arbeitsort in Zukunft wesentlich häufiger zur Norm – aber auch zum Risiko.
Unternehmen müssen aufpassen, dabei nicht ihre eigene Sicherheit zu gefährden, denn auf ortsunabhängiges Arbeiten sind viele Cyber-Security-Strategien noch nicht ausgerichtet. Dadurch öffnen sie Kriminellen Tür und Tor.
Im März letzten Jahres musste es vielerorts schnell gehen: Innerhalb weniger Tage schickten Unternehmen ihre Mitarbeiter ins Homeoffice und implementierten neue Lösungen, die ihnen dort die Arbeit ermöglichten. Für viele Organisationen ging es darum, das eigene Überleben zu sichern und ihren Kunden weiterhin Produkte oder Dienstleistungen anzubieten. Inzwischen sind Unternehmen in Deutschland immerhin bei der digitalen Zusammenarbeit gut aufgestellt, wie eine aktuelle Studie von Atlassian zeigt: Nach Investitionen in den Bereichen Projektmanagement (45 Prozent), Social Intranet, Messaging oder Chat (40 Prozent) und Wissensmanagement (31 Prozent) erreichen sie auf einer Skala von eins bis fünf einen Collaboration Maturity Score von 3,4. Allerdings geben 40 Prozent der IT-Entscheidungsträger an, dass Sicherheitsbedenken das größte Hindernis für sie sind, wenn es darum geht, in mehr Tools für die Fernarbeit zu investieren.
Eine kürzlich vorgestellte Untersuchung des ITK-Branchenverbands Bitkom zeigt, dass diese Sorgen berechtigt sind: Fast neun von zehn der befragten Unternehmen (88 Prozent) bestätigten, dass sie in den letzten zwölf Monaten von Cyber-Angriffen betroffen waren. Zwar wurden in erster Linie Kommunikationsdaten wie E-Mails und unkritische Business-Informationen gestohlen; doch auch Kunden- und Finanzdaten sowie kritische Business-Informationen, etwa zur Preisgestaltung oder Marktanalysen, sind in die Hände der Angreifer geraten. Einen nicht unerheblichen Beitrag leistet dabei das Homeoffice: 59 Prozent der Befragten konnten mindestens einen Angriff darauf zurückführen. Für Organisationen kann nur eine Lösung infrage kommen, die auch in Zukunft Flexibilität bei der Wahl des Arbeitsortes gewährt. Doch sie müssen ihre Sicherheitsstrategie dringend und umfassend an die neue Situation anpassen.
Schwachstelle „Mensch“ minimieren
Bei der IT-Sicherheit im Homeoffice spielen zwei Komponenten ineinander: Zum einen die organisatorische Ebene und zum anderen die technologische. Unternehmen, die künftig auf hybride Arbeitsmodelle setzen, sollten dafür klare und transparente Regeln aufstellen. Diese sollten nicht nur berücksichtigen, inwieweit Mitarbeiter von Zuhause aus oder unterwegs arbeiten können, sondern auch, wie sie dabei mit den unternehmenseigenen oder privaten Geräten, die zur Arbeit genutzt werden, umgehen sollen. Eine einfache Vorgabe ist etwa, dass der Laptop immer gesperrt werden muss, wenn der Mitarbeiter seinen Platz verlässt, unabhängig davon, ob er sich in der Bahn oder am heimischen Arbeitsplatz befindet. Denn auch im eigenen Zuhause können Unbefugte versuchen, an kritische Daten zu gelangen oder versehentlich Einblick in sensible Daten erhalten.
Darüber hinaus sollten Arbeitgeber Mitarbeiter dafür sensibilisieren, dass sie weiterhin die Vorgaben der IT-Abteilung beachten und nicht nach eigenem Ermessen neue Anwendungen und Dienste installieren, die ihnen die Arbeit im Homeoffice erleichtern. Dadurch entsteht eine Schatten-IT, die die Sicherheit eines Unternehmens gefährdet, da die Programme nicht geschützt sind und Kriminellen als Einfallstor dienen können.
Grundsätzlich sollte Cyber-Security in regelmäßigen Abständen in Trainings und Schulungen behandelt werden, um die Sensibilität für das Thema hochzuhalten und Bewusstsein für neue Trends und Entwicklungen zu schaffen. Gerade im Homeoffice kann es schnell passieren, dass Mitarbeiter auf eine Phishing-Mail hereinfallen, da diese immer überzeugender aussehen und sie sich nicht mehr schnell bei ihrem Tischnachbarn rückversichern können. Umso wichtiger ist es, dass sie potenzielle Angriffe selbst erkennen und der IT-Abteilung melden.
Sicherer Remote-Zugriff auf das interne Netzwerk
Es reicht allerdings nicht aus, Mitarbeiter zu einem sicheren Umgang mit Geräten und Ressourcen anzuhalten. Organisationen müssen an den richtigen Stellen in Technologie investieren, um die Sicherheit zu erhöhen. Dazu gehört beispielsweise ein sicherer Zugang für Mitarbeiter zu Ressourcen, die sich auf dem internen Unternehmensnetzwerk befinden. Ein Virtual Private Network (VPN) kann dieses über ein öffentliches Netzwerk erweitern, indem es zwischen zwei Endpunkten einen verschlüsselten Tunnel schafft, über den Daten übertragen werden und auf den Außenstehende nicht zugreifen können. Ein speziell gehärtetes VPN-Gateway kann zusätzlich die Sicherheit vor Cyber-Angriffen erhöhen.
Allerdings kommen VPNs zunehmend an ihre Grenzen, je mehr Mitarbeiter remote arbeiten und von extern auf Unternehmensnetzwerke und Cloud-Umgebungen zugreifen. Als Alternative bietet sich eine Zero-Trust-Netzwerkarchitektur (ZTNA) an. Der Zero-Trust-Ansatz folgt dem Grundsatz: „Never trust, always verify“. Nutzer, Geräte, Dienste oder Anfragen gelten zunächst immer als nicht vertrauenswürdig und müssen erst das Gegenteil beweisen, um auf das Unternehmensnetzwerk zuzugreifen.
Dafür werden kontinuierlich verschiedene Aspekte analysiert, wie die IP-Adresse, der Standort, der Gerätestatus oder digitale Zertifikate. Die Ergebnisse werden dann mit vordefinierten Richtlinien abgeglichen. Um potenzielle Schäden so gering wie möglich zu halten, gehört zu dieser Architektur auch ein rigides Access Management: Nutzer sollten immer nur Zugriff auf die Ressourcen haben, die sie für ihre Arbeit tatsächlich benötigen und nicht darüber hinaus. Doch nicht nur das Netzwerk dient Angreifern als Einfallstor: Die Sicherheitsstrategie von Unternehmen sollte immer weitere Faktoren berücksichtigen, wie nicht ausreichend geschützte Anwendungen, etwa durch Fehlkonfigurationen, und Schnittstellen. Eine ZTNA alleine reicht nicht aus, um umfassenden Schutz zu bieten.
Unternehmen müssen Sicherheit ganzheitlich denken
Zusätzlich können Unternehmen mit einer Mobile Device Management (MDM)-Lösung die Sicherheit mobiler Geräte – Laptops, Smartphones oder Tablets – erhöhen und ihre Verwaltung für die IT-Abteilung vereinfachen. So erhält sie dank einer solchen Software eine vollständige Inventurliste aller Geräte, die sich im Einsatz befinden sowie Informationen über den Gerätezustand, das Betriebssystem oder fehlgeschlagene Anmeldeversuche. Gleichzeitig können die IT-Experten mit der Lösung Sicherheitsrichtlinien, wie die Länge und Komplexität des Passworts, durchsetzen. Bei Diebstahl oder anderen Kompromittierungen von Geräten können sie diese per Remote-Zugriff sperren oder sogar löschen, um Datendiebstahl und andere Schäden möglichst zu verhindern.
Alles in allem können und müssen Organisationen bei ihrer Sicherheitsstrategie noch an vielen Stellschrauben drehen und sie an die neue und flexiblere Arbeitswelt anpassen. Unabhängig davon, ob sich Mitarbeiter im Büro oder Zuhause aufhalten, benötigen sie einen sicheren Zugriff auf interne Daten und Dokumente. Gleichermaßen müssen Unternehmen und Mitarbeiter sich stetig den Gefahren von Cyber-Angriffen bewusst sein, gerade wenn sie alleine arbeiten. Nur Unternehmen, die alle Sicherheitsaspekte berücksichtigen, schützen sich nachhaltig.
* Der Autor Ross Chippendale ist Head of Workplace Technology bei Atlassian.
(ID:47767902)
:quality(80)/images.vogel.de/vogelonline/bdb/1904500/1904594/original.jpg "Beim Thema Cloud-Sicherheit zeichnen sich einige Veränderungen ab, die für Unternehmen als Cloud-Anwender wichtig werden können. (gemeinfrei© Meli1670)")
:quality(80)/images.vogel.de/vogelonline/bdb/1934600/1934670/original.jpg "Laut einer von Quantum in Auftrag gegebenen Studie verschieben 78 Prozent der befragten Unternehmen ihre Daten ständig zwischen Cloud-Speichern, Data Center und Edge. (gemeinfrei)")