Der erste Lockdown hat die meisten Unternehmen unvorbereitet getroffen und viele hatten kaum Zeit, eine robuste Cybersicherheitsstrategie für Remote Working-Szenarien zu entwickeln.
Ganze Belegschaften statteten sich aus so gut es ging und richteten sich in behelfsmäßigen Homeoffices ein.
Aber die Vermischung von Beruf und Privatleben hatte schwerwiegende Folgen: 46 % der betroffenen Unternehmen verzeichneten 2020 Datenschutzverletzungen und Cyberangriffe.
Aktuell bringt die Lockerung der Beschränkungen und die Verlagerung auf hybrides Arbeiten eine Reihe neuer Herausforderungen mit sich.
Dazu haben wir mit Patrick Hunter gesprochen, Sales Engineering Directory EMEA bei One Identity:
Die Frage mag trivial klingen – aber werden Mitarbeiter dazu übergehen die berufliche und private Nutzung von Geräten wieder stärker zu trennen?
Patrick Hunter: „Wenn wir zurückdenken, erinnern wir uns an eine Initiative der IT unter dem Namen „Bring your own device“ (BYOD). Mitarbeiter haben leistungsfähigere Geräte benutzt, als sie ihnen vom Arbeitgeber zur Verfügung gestellt wurden. Nutzer bevorzugen die bekannte Benutzeroberfläche
und die Vertrautheit mit den eigenen Tablets, Handys oder Laptops. Diese Entwicklung brachte IT-Abteilungen in eine Zwickmühle. Wenn sie zulassen, dass sich die Geräte mit dem Firmennetzwerk verbinden, verlieren sie gleichzeitig die Kontrolle. BYOD spaltete Unternehmen auf der ganzen Welt, denn einige ließen sich darauf ein, andere nicht. Der Sicherheitsperimeter hat sich vom Gerät zum Benutzer, wenn nicht sogar hin zu den Daten, verschoben. Die Pandemie hat fast jedes Unternehmen gezwungen, seine jeweilige Strategie zu überdenken.
Ich vermute, dass es weniger um die Geräte oder die mangelnde Sicherheit geht, sondern mehr um die Akzeptanz der Benutzer. Sie wollen ihre Arbeit so produktiv wie möglich erledigen, schlimmstenfalls ohne über unvorhergesehene Konsequenzen nachzudenken. Als Benutzer sind wir selbstgefällig geworden. Wir verwenden beispielsweise weiterhin schwache Passwörter oder ungepatchte Laptops. Die meisten Unternehmen hatten ausreichend Zeit, solche Probleme zu beheben jedoch fehlt es vielen kleinen und mittleren an Geld oder Kompetenzen.
Wir haben die BYOD-Philosophie gewollt, uns bitterlich bei der IT beschwert, um sie zu bekommen und jetzt haben wir sie. Wenn private Geräte von Ransomware oder einer anderen Malware befallen werden, wer ist dann zuständig? Es ist an der Zeit, dass alle Unternehmen starke Sicherheitsrichtlinien implementieren. Gemäß dieser Richtlinie werden sämtliche Geräte überprüft, bevor sie sich über VPN verbinden und dann kontinuierlich kontrolliert. Wir müssen uns dieser „neuen“ Welt anpassen.
Welche Art von Schulungen eignet sich, um ein entsprechendes Bewusstsein für die Problematik zu schaffen?
Patrick Hunter: „Die Grundlagen, es sind immer die Grundlagen. Auf jedem Gerät sollten immer die neuesten Patches und Sicherheitsfixes eingespielt sein. Schulen Sie alle Mitarbeiter darin, Phishing-Versuche zu erkennen und darin, was zu tun ist, wenn sie glauben, angegriffen worden zu sein.
Eine Schulung sollte auch die Konsequenzen erläutert. Der Verlust von Unternehmensdaten oder persönlichen Informationen kann katastrophale Folgen haben, dazu kommt der Zeitaufwand für die Wiederherstellung von Systemen nach einem Angriff.
Wenn ein Unternehmen neue Sicherheitsmaßnahmen einführt, beschweren Sie sich nicht, sondern seien Sie froh. Sehr wahrscheinlich müssen Sie jetzt Multi-Faktor-Authentifizierung verwenden oder Administrator-Passwörter aus einem Passwort-Vault abrufen. Aber verglichen mit den Folgen einer
Datenschutzverletzung ist das ein sehr geringer Aufwand. Moderne Unternehmen brauchen einen anpassungsfähigen und ganzheitlichen Sicherheitsansatz – die Mitarbeiter sind ein Teil davon.“
Worin liegen die tatsächlichen Risiken für Unternehmen, die hier Fehler machen?
Patrick Hunter: „Die Risiken sind ziemlich offensichtlich, wir lesen davon täglich in den Schlagzeilen. Dank Ransomware lahmgelegte Pipelines und Krankenhäuser sind Big News, aber sie sind nur die Spitze des Eisbergs.Es ist eine Sache, es Mitarbeitern zu gestatten, eigenen Geräte zu nutzen. Aber eine andere, die Nutzung nicht zu überprüfen oder auf bestimmte Versionen und Patch-Level zu bestehen, bevor sich jemand mit dem Unternehmensnetz verbindet. Krypto-Währungen sind zwar nicht so anonym wie viele glauben, aber sie erlauben es Cyberkriminellen noch mehr Gewinn zu machen. Man sollte es ihnen also nicht zu leicht machen. Sorgen Sie zumindest dafür, dass die Grundlagen der IT-Sicherheit erfüllt sind. Verwenden Sie Multifaktor-Authentifizierung, sperren Sie Admin-Passwörter weg. Entwickeln Sie ein Verständnis dafür, dass nicht das Gerät selbst, sondern Identitäten und Daten die neuen Knackpunkte für die Sicherheit sind. Überprüfen Sie kontinuierlich Personen, Aktionen und Geräte und bleiben Sie anpassungsfähig, wenn es darum geht die wichtigsten Assets des Unternehmens zu schützen.“