:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/f7/90f77fbb7d45ab622971a24ea53da577/0111572690.jpeg "Kritische Informationen können über Schwachstellen in der Open Time Series Database abfließen. (Bild: <a href=https://pixabay.com/de/users/moritz320-1260270/>moritz320</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/2b/2b2b99a6d3d8e6ea3cc8f88382fb19fb/0111189707.jpeg "Ransomware-as-a-Service (RaaS) ist eine Form von Cybercrime-as-a-Service bei der Teile von Ransomware-Kampagnen als Dienstleistung eingekauft werden können. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/42/f8/42f892d7d2c6dd755e4c5b0cfdb7fa7c/0111847725.jpeg "Die Methoden und die Ausführung haben sich bei Ransomware in den letzten Jahren deutlich weiterentwickelt. Früher ging es um Profit, heute geht es um viel mehr als das. (Bild: Andrey Popov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/a4/57a4e6276b930350b50582363804c855/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/f9/f4f9e3c1460bf363f97d92be0d5a4b7a/0111847742.jpeg "Kriminelle suchen generell nach den schwächsten Zielen. Es nützt also wenig, wenn das TK-Unternehmen bestens aufgestellt ist, Cyberkriminelle aber über junge Zielgruppen, Endgeräte hacken. (Bild: sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/0f/e50f3478e3e1d50e6785b5989363af5a/0111527874.jpeg "Nach erfolgreichen Cyber-Angriffen drängt die Zeit. Die Backup-Strategie muss sich deshalb an der Wiederherstellung orientieren – und nicht an der Sicherung. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/be/4a/be4a3ff7421db282ea323adc388b40b8/0111572655.jpeg "Mit der optimierten Integration von Ivanti zielt Check Point darauf ab, Schwachstellen automatisch zu erkennen, zu priorisieren und zu patchen, um Angriffsflächen zu minimieren und die betriebliche Effizienz zu verbessern. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b3/c6/b3c641a4d3910d7e2aecfe566eacc8ef/0111572419.jpeg "Durch Cyberversicherungen versuchen viele Unternehmen das Geschäftsrisiko digitaler Bedrohungen abzufedern – doch Konditionen und Anforderungen steigen. (Bild: VideoFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Informationssicherheit-as-a-Service Remote Work als Risiko für die Informationssicherheit
Schon ein falscher Klick reicht manchmal aus, um eine gut geplante IT-Security-Strategie und mehrere Layer an Sicherheitstechnologie auszuhebeln. Verstärkt wird das Problem noch durch die seit zwei Jahren verstärkt genutzte Remote Work. Um dem entgegenzuwirken, müssen Unternehmen dazu übergehen, Informationssicherheit als zentralen Aspekt der Unternehmensstrategie zu verankern.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Die Pandemie-Monate haben gezeigt, dass besonders bei der Informationssicherheit große Lücken klaffen. Hier gilt es dringend nachzubessern. Dabei führt kein Weg daran vorbei, die Informationssicherheit auf ein neues Level zu heben. Die Lösung heißt: Informationssicherheit-as-a-Service. Um das zu erläutern, mag folgendes Beispiel dienen. Bei Operationen gelten strengste Hygieneregel und Prozesse, die sicherstellen sollen, dass die Umgebung steril und der Patient bestmöglichst geschützt ist. Desinfektion, Masken und Handschuhe und jede Person in dem Raum weiß, was zu tun ist. Die Best Practices sind etabliert. Was aber würde passieren, wenn auch nur eine Person den Raum betritt, die noch ihre Straßenschuhe trägt? Der Raum ist nicht mehr für eine sichere Operation geeignet.
Vor ähnlichen Herausforderungen stehen Unternehmen, wenn es um die Informationssicherheit geht. Selbst wenn diese ihre Firmennetze maximal absichern und sehr viel investieren, um die Sicherheit der eigenen Daten und die der Kunden zu gewährleisten: Eine Lücke reicht aus, um im schlimmsten Fall das ganze System zu kompromittieren. Zum Beispiel, wenn ein Mitarbeiter in einem Moment der Unaufmerksamkeit einen Malware-Link klickt.
Verstärkt wird das alles noch durch Remote Work. Analysen des Bundesministeriums für Informationssicherheit (BSI) zeigen, dass zu wenige Maßnahmen, wie VPN-Verbindungen, Verschlüsselungen, Mobile Device Management und Multi-Faktor Authentifizierung getroffen werden, um das Unternehmen auch im Home Office gegen Angriffe zu sichern. Denn hier treffen mehrere Faktoren zusammen: die Isolation des Mitarbeiters, die höhere Chance von Ablenkung je nach Arbeitsort - etwa wenn daheim während der Pandemie alle Mitglieder des Haushalts zusammen trafen - und natürlich private Netzwerke, die nicht die Sicherheitsstandards der Firmennetzwerke haben. Im schlimmsten Fall kommt noch hinzu, das über private Geräte gearbeitet wird. Diese entsprechen häufig nicht den aktuellen Sicherheitsanforderungen, zum Beispiel durch aufgeschobene Updates.
Gleichzeitig zeigen die Zahlen des BSI, dass sich durch die Pandemie Remote Work etabliert hat. Unternehmen, die vollständig auf Remote Work setzen, dürften dabei die Ausnahme sein. Doch viele US-amerikanische Tech-Unternehmen zeigen aktuell bereits, wohin die Zukunft geht: Der Trend geht klar zu hybriden Arbeiten, eine Mischung aus Präsenz im Büro und Remote Work. Was bedeutet das für Unternehmen?
Die Antwort ist zweigliedrig und erfordert, Informationssicherheit als zentralen Aspekt der Unternehmensstrategie zu verankern. Zum einen müssen die nötigen technischen Voraussetzungen geschaffen und kontinuierlich überprüft und angepasst werden. Zum anderen darf das Management den menschlichen Aspekt nicht vernachlässigen. Es ist eine zentrale Managment-Aufgabe, dass Unternehmen ihre Mitarbeiter für die zahlreichen Angriffswege sensibilisieren. Denn die beste technische Absicherung genügt nicht, wenn der richtige Mitarbeiter an der richtigen Position zum falschen Zeitpunkt eine unbedachte Entscheidung trifft.
Informationssicherheit muss bei allen Prozessen und Systemen eine zentrale Rolle einnehmen. Oft ist das für einzelne Unternehmen schwer zu leisten. In der neuesten Umfrage von Civey im Auftrag der Bertelsmann Stiftung gaben 66 Prozent der befragten Unternehmensentscheider an, dass ihnen Fachkräfte fehlen, deutlich mehr als noch im Vorjahr angenommen. Diese nötigen, sehr begehrten Fachkräfte zu finden ist schwierig und es ist daher oft nicht möglich, intern die benötigten Ressourcen aufzubauen. Daher wenden sich viele Unternehmen zum Beispiel an IT-Dienstleister. Doch auch hier ist es wichtig, dass Informationssicherheit stets mitgedacht wird. Das Stichwort lautet Informationssicherheit-as-a-Service. Kein IT-Service oder Prozess sollte ohne den Sicherheitsaspekt konzipiert werden.
Die nötigen Prozesse sind komplex und reichen von der Bereitstellung von Firmengeräten mit den entsprechenden Sicherheitsstandards über kontinuierliche Updates unabhängig von Arbeitsort bis hin zu durchdachten Backup & Restore Konzepten. Für die Verwaltung und Aktualisierung von Unternehmensgeräten bietet sich zum Beispiel auch Mobile Device Management an. So kann das Unternehmen nicht nur Updates aufspielen, sondern bei Verlust des Gerätes auch entsprechend schnell reagieren und das Gerät sperren. Diese Prozesse müssen kontinuierlich überprüft und aktualisiert werden, um schnell auf neue Bedrohungen reagieren zu können.
Der andere entscheidende Aspekt ist die Sensibilisierung der Mitarbeiter. Denn oft sind es diese, über die Angreifer in Unternehmenssysteme gelangen. Es geht also darum, Mitarbeitern bewusst zu machen, was häufige Einfallstore sind und sie regelmäßig zu aktuellen Gefahren zu informieren. Erkennen die meisten den „nigerianischen Prinzen“ leicht als Spam, so ist das bei raffiniert gestalteten E-Mails, die aussehen wie seriöse Paketnachverfolgungen bereits anders. Hier gilt es auch die Kommunikationswege mit den Mitarbeitern offen zu halten. Während im Büro schnell nach einem kurzen Gespräch klar ist, dass niemand ein Paket bestellt hat, sieht das durch die Isolation bei der Remote Arbeit anders aus. So kann es passieren, dass der Mitarbeiter davon ausgeht, dass es sich um eine seriöse Mail handelt und jemand anderes aus dem Team eine Bestellung getätigt hat. Sind die Mitarbeiter jedoch dafür sensibilisiert und werden über aktuelle Bedrohungsszenarien informiert, sinkt das Risiko, dass Mitarbeiter in diese Fallen tappen.
Je mehr Unternehmen Informationssicherheit als Grundlage in all ihren Prozessen und Systemen etablieren und offen mit den Mitarbeitern darüber kommunizieren, desto besser sind sie vor der zunehmen Zahl an Angriffen geschützt. Informationssicherheit-as-a-Service sollte daher bei allen im Unternehmen und auch bei der Wahl der Dienstleister eine zentrale Rolle spielen.
Über den Autor: Andreas Baresel ist seit März 2022 Vorstandsvorsitzender der Datagroup SE und war davor seit 2018 Mitglied des Vorstands. Er ist für das Ressort Produktion verantwortlich. Seine Aufgabe ist die übergreifende Leitung und Koordination der einzelnen Service-Fabriken innerhalb des Konzerns.
(ID:48127387)
:quality(80)/images.vogel.de/vogelonline/bdb/1915600/1915607/original.jpg "Cyberangriffe: Laut einer Umfrage von IDC sind deutsche Unternehmen zu wenig geschützt. (TheDigitalArtist )")