Mit dem Ende der Homeoffice-Pflicht kehren mehr und mehr Mitarbeitende wieder zurück in ihre Büros. Zwar werden auch weiterhin zahlreiche Beschäftigte hybrid arbeiten, dabei aber zumindest zeitweise ihre angestammten Plätze innerhalb des Unternehmens einnehmen.
Was bedeutet das für die Cybersicherheit?
„New Work“ bringt neue Risiken
Zweifellos hat sich die Arbeitsweise in den letzten zwei Jahren massiv verändert. Die Nutzung von Cloud-Diensten und -Applikationen hat auch, man ist versucht zu sagen: sogar, in Deutschland deutlich zugenommen. Gerade im Hinblick auf hybride Arbeitsmodelle kann man nicht davon ausgehen, dass wir eine Rückwärtsbewegung in Richtung rein lokal gehostete Anwendungen und on-premises gespeicherte Daten erleben werden. Die Cloud und Collaboration-Tools werden bleiben, auch wenn sich die Mitarbeitenden im selben Bürogebäude befinden. Dies hat auch Auswirkungen auf die Cybersicherheit: Cyberkriminelle passen sich stets an Trends an und setzen ebenso verstärkt auf die Cloud. Unser Incident Response Team beobachtet seit geraumer Zeit, wie zunehmend bösartige Azure-Apps als Angriffsvektor benutzt werden. Auch werden häufig gefälschte Microsoft 365-Anmeldebildschirme eingesetzt, um Mitarbeiter zur Preisgabe ihrer Anmeldedaten zu verleiten. Die Nutzung der Freigabefunktionen von Google Drive für Spear-Phishing ist eine weitere, immer häufiger genutzte Angriffstechnik, um die Konten der Opfer zu kompromittieren.
All dies ist eine Bestandsaufnahme der aktuellen Situation und wir müssen damit rechnen, dass Angreifer auch weiterhin ihre Techniken und Taktiken ständig weiterentwickeln und sich neuen Situationen und Abwehrmaßnahmen anpassen. Aus diesem Grund sollte das Augenmerk auch weniger auf die bloße Abwehr dieser Angriffe liegen, sondern vielmehr darauf, Attacken möglichst schnell zu erkennen und zu stoppen.
Ungemanagte Rechner kommen (wieder) ins Netzwerk
Ähnliches gilt für die Fälle, in denen die Mitarbeitenden auch ihre Rechner wieder ins Büro und damit ins Unternehmensnetzwerk bringen. Diese unterlagen in aller Regel zwei Jahre lang nicht der Kontrolle der IT-Abteilung und man sollte sich nicht auf eine gute Cyberhygiene bei all seinen Beschäftigten verlassen. Die Möglichkeit, dass sich zumindest auf einzelnen Notebooks „schlafende“ Malware befindet, die nur darauf wartet, in der Unternehmensinfrastruktur loszuschlagen, ist durchaus ernst zu nehmen. Gerade Ransomware befindet sich oft wochen- oder monatelang scheinbar inaktiv auf Rechnern und in Netzwerken, bevor sie von Cyberkriminellen aktiviert wird, um einen Angriff zu starten.
Insofern ist der „Assume Breach“-Ansatz gerade in diesen Szenarien hilfreich. Sicherheitsverantwortliche müssen von der Annahme ausgehen, dass Angreifer bereits in ihre Systeme eingedrungen sind. Die Sicherheitsstrategie darf sich also nicht nur auf den Schutz des Perimeters, der durch die Cloud-Nutzung ohnehin immer stärker obsolet wird, fokussieren, sondern sollte auf das ausgerichtet sein, was schützenswert ist: die internen, vertraulichen und sensitiven Daten.
Cyberkriminelle passen sich stets an Trends an und setzen ebenso verstärkt auf die Cloud.
Berechtigungen sicher steuern
Diese Daten sind aber nicht nur durch externe Bedrohungen in Gefahr: Die Cloud-basierte Zusammenarbeit führt in aller Regel zu exzessiven Berechtigungen. Um den entfernten Mitarbeitenden ihre Arbeit zu ermöglichen, wird ihnen häufig unnötiger und zu weit gefasster Zugriff gewährt. Zudem ermuntern die Features beispielsweise in Microsoft 365 Mitarbeitende geradezu, Dateien zu teilen, eigene Gruppen zu bilden und Partner einzubinden. Unternehmen laufen hier Gefahr, den Überblick über ihre Datensicherheit zu verlieren. Und mit dieser Komplexität steigt die Verwundbarkeit.
Wenn der Perimeter und damit auch sein Schutz an Bedeutung verlieren, muss man andere Wege gehen. Nicht umsonst erfreut sich Zero Trust steigender Beliebtheit. Demnach müssen bei jedem Benutzer und jedem Gerät die Zugangsdaten bei jedem Zugriff auf eine Ressource innerhalb oder außerhalb des Netzwerks verifiziert werden. Vor allem aber kommt es darauf an, die Datensicherheit zum Kernstück der Cybersicherheitsstrategie zu machen. Hier spielen die Berechtigungen eine entscheidende Rolle. Und gerade bei diesem Punkt sind Defizite festzustellen: Viele Unternehmen haben kein klares Bild davon, wie viele und welche ihrer Daten für wen zugänglich sind. So hat der Datenrisiko-Report für den Finanzsektor ergeben, dass jeder Mitarbeitende in dieser sicherheitsaffinen Branche Zugriff auf durchschnittlich knapp 11 Millionen Dateien hat. In knapp zwei Dritteln (64 %) der Unternehmen können zudem alle Mitarbeitenden auf mehr als 1.000 sensible Dateien zugreifen.
Zunächst müssen Unternehmen erkennen, wer warum Zugriff auf jede einzelne Datei hat. Die manuelle Lokalisierung und Entfernung der zu weit gefassten Zugriffsrechte dauern rund sechs bis acht Stunden pro Ordner. Deshalb kann dies nur durch eine intelligente Automation gelingen. Einheitliche Audit-Trails liefern Analysen, wer wichtige Dateien und E-Mails geöffnet, erstellt, gelöscht oder verändert hat, und ermöglichen so einen Überblick über die Unternehmensdaten. Auf dieser Grundlage können dann zu weit gefasste Zugriffsrechte reduziert und damit die Angriffsfläche verkleinert werden.
Dateinutzung ins Visier nehmen
Durch die intelligente Analyse des Nutzerverhaltens (UBA) lässt sich zusätzlich auffälliges Verhalten erkennen und automatisch stoppen. Greift beispielsweise ein Mitarbeiter von einem bislang noch nicht verwendeten Gerät auf das Unternehmensnetzwerk zu, kann dies ein Warnsignal sein. Reichert man diese Information noch mit weiteren, etwa Geolokationsdaten an, ergibt sich ein wesentlich klareres Bild. Befindet sich der Rechner etwa in einem anderen Land, so sollte dies umgehend genauer untersucht werden. Gleiches gilt im Falle von für den Nutzer unüblichen Arbeitszeiten oder beim Zugriff auf sensible Dateien, die er bislang noch nicht genutzt hat und die nichts mit seinem Aufgabengebiet zu tun haben. Mit den richtigen Lösungen und Playbooks lassen sich auch für Ransomware-Angriffe typische Aktivitäten wie das reihenweise Verschlüsseln von Dateien früh identifizieren und stoppen.
Das Ende der Homeoffice-Pflicht dreht sicherlich die Zeit nicht einfach um zweieinhalb Jahre zurück. Kurz- und mittelfristig werden vor allem hybride Modelle die Arbeitsweise zahlreicher Unternehmen bestimmen. Insofern ist es von größter Bedeutung, dass die Sicherheit der wertvollen Unternehmensdaten überall und jederzeit gewährleistet werden kann – ganz unabhängig davon, wo die Beschäftigten gerade arbeiten.