Von wenigen Ausnahmen abgesehen, insbesondere in sensiblen Branchen, ist es oftmals üblich, Arbeitsgeräte auch für einige (wenn nicht sogar für alle) privaten Zwecke zu nutzen. Umso mehr bei Laptops, die aber auch die „effizientesten“ Vektoren für Angriffe auf die IT-Infrastruktur der Organisation sind.
Kann man sich eine Welt vorstellen, in der berufliche und private Gerätenutzung strikt voneinander getrennt sind?
Arbeitsgeräte: Eine offene Tür zur gesamten IT-Infrastruktur
Grundsätzlich verfolgen böswillige Angriffe auf Unternehmen oder Behörden meist zwei Ziele, die häufig miteinander verbunden sind: Geld und Informationen. Die Attacken werden mittlerweile sogar industrialisiert, damit die Angreifer deren Effizienz und Vervielfältigung gewährleisten können.
Zu den häufig eingesetzten Methoden gehört zum Beispiel das Hacking von ungeschützten Wi-Fi-Netzwerken, das zwar effektiv ist, aber eines physischen Zugangs zum Netz bedarf. Angriffe auf schlecht geschützte Server können ebenfalls zu Schäden führen, die jedoch oft genug auf die Anwendungsumgebung oder auf den einen Server beschränkt bleiben. Es ist auch möglich, VPN-SSL-Mechanismen einer Organisation anzugreifen, wenn sie Schwachstellen aufweisen. Doch nichts ist mit dem Erfolg von Online-Angriffen auf Nutzer vergleichbar, sei es per E-Mail (Phishing) oder beim Surfen (Installation von Schadsoftware auf Rechner über korrupte Websites).
Selbst bei gutem Schutz sind Arbeitsgeräte bei Weitem die gefährdetsten, da der Anwender per Definition mit dem Active Directory des Unternehmens verbunden ist (das auf dem Markt am häufigsten vertretene Verzeichnis-Tool) – eine Lösung, die trotz aller Entwicklerbemühungen immer noch anfällig für zahlreiche Schwachstellen ist, die den Fernzugriff und die Erhöhung der Nutzungsprivilegien vom Konto eines Anwenders heraus gestatten. Dem ersehnten „Admin-Zugang“ samt Zugriff auf alle Unternehmensdaten ist damit Tür und Tor geöffnet.
Proaktive und transparente Cybersicherheit für den Nutzer
Sich ausreichend gegen diese Bedrohungen zu schützen, könnte laut Meinung einiger nicht einfacher sein: Zusätzlich zu einer dedizierten Cybersicherheitssoftware würde es ausreichen, die eigenen Arbeitsgeräte auf dem neuesten Stand zu halten, um die Ausnutzung bekannter Schwachstellen zu vermeiden. Richtig! Aber was ist mit Zero-Day-Schwachstellen, dank denen Cyberangreifer immer produktiver werden?
Um diesen Risiken zu begegnen, ist die Implementierung von Lösungen, die in der Lage sind, nicht routinemäßige Aktionen von Anwendungen oder des Systems zu blockieren, immer noch eine effektive, proaktive Praxis, denn Malware hat im Wesentlichen ein sehr spezifisches Verhalten bei der Suche nach möglichen Angriffspunkten, um in Systeme einzudringen und sie zu manipulieren. Doch müssen diese Werkzeuge für den Nutzer so transparent wie möglich sein, damit die täglichen Aufgaben in Ruhe erledigt werden können und die Produktivität nicht durch ständige Blockaden beeinträchtigt wird. Zudem darf die Nutzung solcher Tools den Anwender nicht davon abhalten, selbst wachsam zu bleiben.
Jenseits von Nutzungsbestimmungen: Auf dem Weg zu einem rein beruflichen Einsatz von Firmengeräten?
Unter Ausnahme von einigen Bereichen, wo der Nutzungsspielraum auf Arbeitsgeräten aufgrund des Umgangs mit sensiblen Daten auf ein absolutes Minimum eingeschränkt ist, nutzen viele Anwender die Firmengeräte auch für private Zwecke. Oft gehen sie sogar so weit, dass sie ihren Kindern erlauben, sie zu benutzen oder damit online zu spielen. Diese Situation wird durch das Home-Office noch verschärft, besonders in den – zum Glück wenigen – Fällen, wo Unternehmen die Mitarbeiter dazu auffordern, persönliche Geräte für Geschäftliches nutzen, um nicht für einen Firmenrechner aufkommen zu müssen.
Obwohl zahlreiche Unternehmen den Mitarbeitern entsprechendes IT-Equipment zur Verfügung gestellt und Nutzungsbedingungen eingeführt haben, setzt in der Praxis nur ein Bruchteil davon Sanktionen im Fall eines unvorsichtigen Verhaltens um, selbst wenn es zu besonders ernsten Situationen für das gesamte Informationssystem führt (Verlust, Diebstahl von Daten, Ransomware usw.).
Angesichts der Entwicklung des Home-Computings (Smartphones, Tablets, PCs, Internetzugang), das mit immer größeren digitalen Risiken für Unternehmen verbunden ist, ist es vielleicht an der Zeit, dass Unternehmen die ihren Mitarbeitern zur Verfügung gestellten Geräte und Werkzeuge strikt auf die berufliche Nutzung beschränken.
In diesem Fall würde man von Dienstgeräten (nur für die berufliche Nutzung bestimmt) und nicht mehr von funktionsgebundenen Werkzeugen (für die „globale“ Nutzung durch die Mitarbeiter) sprechen. Damit würden zwar nicht alle Cybersicherheitsprobleme gelöst, aber dies würde zumindest dazu beitragen, dass die Mitarbeiter mehr Verantwortung im Umgang mit Firmenressourcen übernehmen und so deren Nutzung verbessern.
www.stormshield.com/de