Interview

Remote Working – IT-Sicherheit in Zeiten von COVID-19

Angesichts der verschärften Bedingungen durch die COVID-19-Krise reichen die bestehenden Sicherheitsmaßnahmen für Remote-Mitarbeiter nicht mehr aus. Igor Baikalov, Chief Scientist von Securonix, verrät im Interview wie Unternehmen Homeoffice und remote Team Work sicher gestalten können.

Welches sind die wichtigsten Sicherheitsprobleme, auf die Unternehmen achten sollten, wenn immer noch ein großer Teil der Belegschaft von zu Hause arbeitet?

Anzeige

Igor Baikalov: Die wichtigsten Sicherheitsprobleme sind im Großen und Ganzen die gleichen, die sonst auch auftreten. Allerdings haben sich die Bedingungen verschärft. Der traditionelle Perimeter hat ausgedient, es herrscht weniger Transparenz, Sicherheitsvorfälle haben schwerwiegendere Auswirkungen, und es entstehen potenziell unkalkulierbare Kosten. Einige der wichtigsten Herausforderungen betreffen:

  • die sichere Geschäftskommunikation: E-Mail, Chat, alle Arten von Kollaborations- und Videokonferenz-Tools
  • das Absichern des Datentransfers zu den Remote-Endpunkten
  • den Zugriff auf kritische Anwendungen außerhalb des Unternehmensnetzwerks
  • die Sicherheit für Remote-Endpunkte, denn diese werden häufig für private Zwecke genutzt und man verzichtet auf physische Sicherheitsmaßnahmen

Unternehmen sollten sich mit diesen Anforderungen allerdings schon vor Eintreten der aktuellen Situation auseinandergesetzt haben. Das ist aber vielfach nicht der Fall. Entweder, weil die Prioritäten anders gesetzt wurden, weil man zusätzliche Investitionen gescheut oder sich zu sehr auf zentralisierte Sicherheitskontrollen für das Unternehmensnetz verlassen hat.

Wie wird die COVID-19-Krise die Herangehensweise von Unternehmen an die Sicherheit von Remote-Teams und Mitarbeitern verändern?

Anzeige

Igor Baikalov: Auch hier wieder. Die Problematik als solche ist ja nicht neu. Die meisten Unternehmen haben sich bereits mit Sicherheitsmaßnahmen für Remote-Mitarbeiter befasst: reisende Führungskräfte, Vertriebsmitarbeiter, Berater, Außendiensttechniker usw. Die Sicherheitsmaßnahmen reichen vom gesicherten, abgeschirmten Laptop und der obligatorischen VPN-Verbindung zum Unternehmensnetzwerk für den Zugriff auf kritische Systeme und Anwendungen bis hin zu einem eingeschränkten Zugriff oder ausschließlicher Offline-Nutzung. Diese Maßnahmen sind zwar effizient, lassen sich aber nur schwer skalieren. Gerade wenn die meisten oder nahezu alle Mitarbeiter, remote arbeiten und das quasi ad hoc. Einige von ihnen brauchen zudem regelmäßig physischen Zugang zum Unternehmensnetzwerk – etwa für Updates und Synchronisierungen. Unternehmen, die sich für die Cloud entschieden haben, sind jetzt besser dran. Sie profitieren von Cloud-Diensten, gerade im Sicherheitsumfeld, und wenn es darum geht, Skalierbarkeitsprobleme zu lösen. Alle anderen arbeiten mehr oder weniger hektisch an zusammengebastelten Lösungen, die allzu oft weder sicher noch skalierbar sind.

Wenn sich der potenzielle Bedrohungsperimeter verlagert, brauchen wir dann einen grundlegend neuen Ansatz für die Netzwerksicherheit?

Igor Baikalov: Unabhängig davon, ob wir vom Home Office, einem Kundenstandort, einer Niederlassung oder der Unternehmenszentrale sprechen, die sich entwickelnde Bedrohungslandschaft und die Aushöhlung des Netzwerkperimeters erfordern zwingend einen modernen Sicherheitsansatz. Das Zero Trust-Modell schließt implizites Vertrauen in Benutzer oder Geräte innerhalb oder außerhalb eines Unternehmensnetzwerks aus. Es erstreckt sich auf die Kommunikation und sogar die Datenintegrität. Zero Trust erfordert eine zuverlässige Authentifizierung und eine kontinuierliche Überprüfung des Zugriffs auf alle geschützten Ressourcen. Diese Architektur ist nicht billig und kein einmaliges Projekt – das Modell verlangt kontinuierliche Anstrengungen. Aber je früher sich ein Unternehmen auf die Reise begibt, desto weniger wird es selbst zum Ziel von Angriffen werden. Das gilt in Zeiten der Krise ganz genauso wie im normalen Unternehmensalltag.

Passwörter sind ganz offensichtlich auch weiterhin ein Eckpfeiler der Sicherheit. Müssen wir uns von diesem System verabschieden, um die Netzwerke zu sichern, die wir nach COVID-19 benutzen werden?

Igor Baikalov: Passwortbasierte Authentifizierung ist gar nicht so schlecht. Man sollte sie nur nicht zur alleinigen Authentifizierungskontrolle benutzen. Eine richtig implementierte Passwortrichtlinie, die lange, leicht zu merkende Passphrasen anstelle von lächerlichem Kauderwelsch ermöglicht und unnötige, häufig erforderliche Passwortänderungen, sichere Hashes und deren Speicherung eliminiert, trägt wesentlich dazu bei, den ersten der drei Eckpfeiler der Multi-Faktor-Authentifizierung zu etablieren: etwas, das man weiß, etwas, das man hat, und etwas, das man ist. Im Umfeld der mobilen Sicherheit, sind die beiden übrigen kein Hexenwerk. Hier greifen biometrische Authentifizierungsmethoden für den Zugriff auf das Gerät und eine sichere Gerätesignatur zur Bestätigung des rechtmäßigen Besitzes. Out-of-Band-Authentifizierung über ein Einmalpasswort (OTP), das entweder per Text- oder Sprachnachricht gesendet wird, verstärkt diesen Sicherheitsansatz. Darüber hinaus stehen Lösungen zur Verfügung, mit denen man Kontextinformationen wie den Standort des Geräts, die Konfiguration und Verhaltensmerkmale in die Analyse einbeziehen kann, um unberechtigte Zugriffsversuche zu erkennen. Es gibt eine Reihe von tauglichen Optionen, um den Authentifizierungsprozess abzusichern, und keine Entschuldigung für ein sicherheitsbewusstes Unternehmen, sie nicht zu anzuwenden.

Was dem Ruf von Passwörtern wirklich schadet, ist hingegen ihr Missbrauch im Verbrauchersegment. Im Kampf um Marktanteile verwenden viel zu viele Unternehmen wissentlich ein zweitklassiges Authentifizierungssystem. Argumentiert wird dem ach so hoch geschätzten Verbraucher, dem man keine Unannehmlichkeiten zumuten will. Ähnlich der anhaltenden Chip-und-Pin-Kontroverse im Kreditkartenbereich. Für Unternehmen ist das eine kalkulierte Entscheidung zwischen Sicherheitsrisiko und Gewinn. Hauptleidtragende sind die Verbraucher, also diejenigen, auf die man sich so gerne beruft. Und zwar gleich in zweierlei Hinsicht. Zum einen kämpfen Konsumenten mit dem Verlust persönlicher Informationen als Resultat einer nicht enden wollen Kette von Verstößen, zum anderen tragen sie höhere Gebühren, die „dank“ dieser Geschäftspraktiken ebenfalls auf die Verbraucher abgewälzt werden.

Noch eine abschließende Frage. Wer ist für die Sicherheit eines Netzwerks verantwortlich, dass sich bis ins Home Office eines Arbeitnehmers erstreckt?

Igor Baikalov: Verantwortlich sind beide. Das Unternehmen und der einzelne Mitarbeiter in einem Remote-Working-Umfeld. Der Standort ist dabei irrelevant. Das Unternehmen ist für die Bereitstellung von Tools und Mitteln für die sichere Kommunikation und den Schutz der Rechner verantwortlich, während der Mitarbeiter für die Einhaltung der Sicherheitsrichtlinien und die Sicherung der lokalen Arbeitsumgebung verantwortlich ist, sei es für das Home Office oder sei es an einem öffentlichen Ort. Zu den Aufgaben des Mitarbeiters gehören unter anderem:

  • die physische Sicherung eines Laptops oder eines anderen für geschäftliche Zwecke verwendeten Geräts vor Diebstahl und unbefugter Verwendung
  • die sichere Kommunikation mit Geschäftssystemen, wie etwa VPN für interne und HTTPS für den Zugriff auf externe Anwendungen
  • Sicherheitskontrollen für die Endpunkte wie Antivirus und lokale Firewall aktiv und auf dem neuesten Stand zu halten
  • bei allen Online-Aktivitäten auf empfohlene Cybersicherheitsmethoden zu achten

Gerade weil einige der Anforderungen für nicht-technisches Personal nicht unbedingt einfach umzusetzen sind, muss jede Firma für entsprechende Schulungen und Unterstützung sorgen. Nicht nur in Krisenzeiten.

Herr Baikalov, vielen Dank für das Gespräch!

Igor

Baikalov

Chief Scientist

Securonix

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.