Als die aktuelle Pandemie Anfang letzten Jahres aufkam, fühlte sich nicht jeder Arbeitnehmer wohl bei der Umstellung auf eine digitalisierte Arbeitswelt – besonders da dieser Wechsel praktisch von heute auf Morgen passierte.
Was für einige ein intuitiver Übergang war – vor allem für solche, die bereits vorher stark technikaffin waren und ohnehin oft remote arbeiteten – war dies für andere eine schwere Umstellung. Lehrer, Richter und Mitarbeiter des öffentlichen Dienstes beispielsweise mussten ihre Arbeitsweise neu erfinden.
Doch trotz aller Umwälzungen im Rahmen des globalen Gesundheitsnotstands, der die Welt seit über einem Jahr in Atem hält, hat die Gesellschaft durchgehalten. Menschen haben gelernt, zusammenzuarbeiten, obwohl sie räumlich getrennt sind, und haben ihre Produktivität und Motivation aufrechterhalten. Gesamtgesellschaftlich wurde ein riesiger Sprung in Richtung digitaler Innovation gemacht, der die Menschen für ein flexibleres und inklusiveres Leben rüstet, sobald die Pandemie überwunden ist. Es wurde allerdings auch deutlich, dass digitale Tools und Remote Work Unternehmen potenziell weniger cyber-sicher gemacht haben.
Dies wirft die Frage auf: Was haben die Unternehmen, die ihren Mitarbeitern das Arbeiten im Home Office ermöglichen, aus einem Jahr in der Cyber-Isolation gelernt?
1. Die Digitalisierung birgt großes Potential und erfordert große Verantwortung
Unsere Computer sind ein Fenster in die Welt – im positiven, wie auch im negativen Sinne. Wenn Mitarbeiter ihre Cyber-Hygiene nicht priorisieren, setzen sie sich und ihren Arbeitgeber Risiken aus – es sei denn, Unternehmen und Arbeitgeber setzen von Vornherein das Zero-Trust-Modell um. Denn es gilt weiterhin: Menschen sind das schwächste Glied der Cybersicherheit, einfach weil sie Menschen sind. Wir wissen beispielsweise, dass einer von vier Befragten laut einer internationalen Studie zu Beginn der Pandemie berufliche Passwörter an Dritte weitergegeben hat, etwa den Partner, Mitbewohner oder Freund, und somit die IT-Sicherheit bei der Arbeit von Zuhause aus kompromittiert hat. Dies fiel in die Zeit, in der Mitarbeiter im Home Office unter besonderen Druck standen, trotz Remote Work produktiv zu bleiben.
Aus genau diesem Grund ist die jüngste Katzenfilter-Panne im Rahmen eines Video Calls in den USA ebenso unterhaltsam wie besorgniserregend. Hier nutzte ein Anwalt den Computer seiner Assistentin für eine Live-Anhörung und der voreingestellte Filter führte dazu, dass seine visuelle Identität nicht ohne weiteres verifiziert werden konnte. In diesem Zusammenhang ist es interessant zu wissen, dass ein Drittel der Cyberangriffe im Jahr 2020 Phishing- oder Social-Engineering-Taktiken beinhaltete. Man stelle sich folgende Situation vor: Jemand gibt sich als das eigene, digitale Alter Ego aus, während die Person scheinbar sichere Unternehmenskanäle nutzt – was durchaus passieren kann, wenn Nutzer ihr Gerät anderen ausleihen oder es gestohlen wird. Schlimmer noch: mit Zugang zu den Passwörtern einer Person kann ein Hacker deren Unternehmensidentität sogar aus der Ferne kompromittieren und sich als diese ausgeben, ohne dass das eigene Smartphone oder der eigene Laptop benötigt wird. In solchen Fällen kann es Monate dauern, bis Unregelmäßigkeiten entdeckt werden.
2. Passwörter sind nur effektiv, wenn sie häufig geändert werden
Es ist inzwischen hinlänglich bekannt, dass Phishing-Angriffe und andere Arten von Betrug angesichts des zunehmenden Austauschs von persönlichen Informationen im Internet zunehmen, was dazu führen kann, dass auch digitale Identitäten bei der Arbeit gefährdet sind. Laut der oben erwähnten Studie, die Anfang letzten Jahres erschien, gaben 39 Prozent der deutschen Befragten an, ihr Passwort innerhalb der vorherigen sechs Monate nicht geändert zu haben. Nur 24 Prozent gaben an, ihr Passwort innerhalb des letzten Monats erneuert zu haben. Dies ist das Äquivalent dazu, die Haustür unverschlossen zu lassen, wenn man das Haus verlässt und darauf zu vertrauen, dass Wertgegenstände an ihrem Platz bleiben, wenn man zurückkommt. Arbeitgeber werden gut daran tun, regelmäßige Passwortänderungen zur Pflicht zu machen.
3. KI und Automatisierung mit Musteranalyse sind die einzige Möglichkeit, Insider-Bedrohungen im Auge zu behalten
Die Mehrheit der Unternehmen (69 Prozent) glaubt nicht, dass die von ihnen beobachteten Bedrohungen von ihrer Antiviren-Software blockiert werden können. Erschwerend kommt hinzu, dass die Explosion der Schatten-IT und die Anzahl der unkontrollierten SaaS-Apps, die von Mitarbeitern heruntergeladen werden, ständig zunimmt, da die Arbeitsbelastung der IT-Teams und der digitalen Mitarbeiter durch längere Arbeitszeiten und neue Aufgaben gestiegen ist. Außerdem ließ sich beobachten, dass zuletzt immer häufiger Angriffe von mehreren Hackern orchestriert wurden, die kooperativ in Teams zusammenarbeiteten. Dies bedeutet, dass Identity Security nicht nur für einzelne Mitarbeiter entscheidend ist. Daher müssen spezialisierte und immer ausgefeiltere Technologien eingesetzt werden, um Muster über den gesamten Unternehmensbereich hinweg zu analysieren – nur so lassen sich früh genug Anzeichen für einen groß angelegten Angriff erkennen.
Angesichts der Tatsache, dass Arbeits- und Privatleben immer mehr miteinander verschmelzen, muss Cyber-Sicherheit zur Priorität der Chefetage werden, damit Unternehmen einen Schritt voraus sind: Immerhin lassen sich vier von fünf Angriffen mit den richtigen Tools und Prozessen verhindern. Im Zuge der Digitalisierung und der schnellen Skalierung von Unternehmen in der Cloud ist die Entwicklung und Durchsetzung von Identity Security für Mitarbeiter auf allen Ebenen ein Muss.
Auch wenn es scheint, als ob die Zahl der Datenpannen und IT-Sicherheitsverstöße im Jahr 2020 abgenommen hat, ist es nach den uns bisher vorliegenden Daten keinesfalls an der Zeit, weniger wachsam zu sein. Denn: Der durchschnittliche Lebenszyklus einer Datenpanne dauert von der Initiierung bis zur Eindämmung fast elf Monate. Auch wenn man also erst zur Mitte oder zum Ende dieses Jahres final über den Stand der IT-Sicherheit im Jahre 2020 Bescheid wissen wird, können Unternehmen schon heute etwas tun, um sich vor Cyber-Bedrohungen zu schützen. Investitionen in Identity Security und Mitarbeiterschulungen sind ein Muss für alle Betriebe – besonders aber für solche, die planen, auf ein hybrides oder komplett auf Home Office basierendes Mitarbeitermodell zu setzen, solange die Pandemie noch nicht unter Kontrolle ist, oder auch darüber hinaus.
Auch wenn die Möglichkeit, von überall aus zu arbeiten, derzeit zu den beliebtesten und begehrtesten Mitarbeiter-Benefits gehört, hat das letzte Jahr deutlich gemacht, dass die sichere Nutzung dieses Privilegs sowohl für Unternehmen als auch für Einzelpersonen zweifelsohne einige Zeit und ein Mehr an Schulung und Aufklärung erfordern wird.