Bei vielen Unternehmen und Organisationen stieß die Pandemie Digitalisierungsprozesse an, die zuvor in dieser Geschwindigkeit undenkbar schienen. Neben raschen Lerneffekten und Fortschritten brachte diese Transformation große Herausforderungen für die IT-Teams mit sich.
Eine Cloud-Migration zu stemmen und dabei die Leistungsfähigkeit der IT-Infrastruktur für eine ortsunabhängig arbeitende Belegschaft aufrechtzuerhalten, ist für sich genommen ein Kraftakt. Dabei die IT-Sicherheit nicht zu vernachlässigen, ist gleichzeitig eine Notwendigkeit. Technische Abwehrsysteme sind aber nur so gut, wie die Aufmerksamkeit der Mitarbeiter. Viel zu oft wurden vermeintliche Selbstverständlichkeiten angesichts akuter Erfordernisse missachtet, beispielsweise mit Ausnahmen beim Netzwerkzugang per VPN.
Während zahlreiche Arbeitnehmerinnen und Arbeitnehmer immer noch im Home Office arbeiten, zwingt die zweite Welle der Pandemie viele andere wieder dorthin zurück. Genauso wie die Hygiene-Regeln im Alltag, sind auch für die IT-Sicherheit wichtige Routinen zwingend einzuhalten. Unabhängig davon, ob Remote-Arbeit langjährige Praxis ist oder eine neue Erfahrung, sollten diese fünf Schritte zum Schutz von Mitarbeiter- und Kundendaten immer beachtet werden:
1. Multi-Faktor-Authentifizierung (MFA)
Schwache oder wiederverwendete Passwörter sind oft das schwächste Glied der Verteidigungslinie, das Angreifer gerne ausnutzen. Im Zuge der Weiterentwicklung der Sicherheitslandschaft hat sich die Multi-Faktor-Authentifizierung (MFA) als eine der besten Möglichkeiten zum Schutz von Geschäfts- und Kundendaten erwiesen. Indem Nutzer während des Anmeldevorgangs zwei oder mehr “Faktoren” eingeben müssen, um ihre Identität nachzuweisen, reduziert MFA die Wahrscheinlichkeit eines unberechtigten Zugriffs drastisch, selbst wenn das Passwort eines Nutzers gestohlen wird.
Der Zugriff auf Salesforce-Produkte mit aktivierter MFA erfordert beispielsweise mindestens zwei Varianten von Faktoren – eine Kombination aus Benutzername und Kennwort und einer Verifizierungsmethode, die der Nutzer in seinem Besitz hat. Dabei werden mehrere Arten von Verifizierungsmethoden für MFA unterstützt, von der mobilen Salesforce Authenticator-Anwendung bis hin zu Yubico’s YubiKey und Google’s Titan Security Key. Wenn die Cloud-Migration an Fahrt gewinnt, ist MFA als Teil einer Defense-in-depth-Strategy ein entscheidender Erfolgsfaktor. Dabei handelt es sich um einen Sicherheitsansatz, bei dem mehrere Ebenen von Kontrollmechanismen über ein IT-Netzwerk “geschichtet” werden. So werden Daten entsprechend ihrer Sensibilität geschützt und die Sicherheit bei Ausfällen einzelner Kontrollinstanzen weiter aufrechterhalten.
2. Firmengeräte laufend patchen
Das Patchen von Firmengeräten ist ein einfacher, effektiver und unmittelbarer Weg, um gegen bekannte Schwachstellen immun zu werden. Es führt zu einer deutlich verbesserten Widerstandsfähigkeit gegen gängige Cyber-Angriffsszenarien wie Ransomware (Lösegeldforderungen). Durch das Patchen erhalten Unternehmensgeräte zudem automatisch notwendige neue Funktionen und veraltete werden entfernt. Nicht zuletzt werden Leistungsprobleme behoben und damit die Performance verbessert. Mitarbeiter sollten dazu angehalten werden, auch ihre persönlichen Geräte zu patchen – besonders in Bring your own Device (BYOD) Umgebungen.
3. Mitarbeiter für Phishing-Angriffe sensibilisieren
Während Phishing-Attacken nichts Neues sind, hat die Covid-19-Krise Cyberkriminellen neue Angriffsflächen geboten. Die anfängliche Verwirrung um die Beantragung von Finanzhilfen und andere Regierungsprogramme wurde vielfach ausgenutzt, um persönliche Daten zu stehlen. Auch Unternehmen waren davon betroffen – entweder durch den Verlust von Produktivität oder, noch schlimmer, durch gestohlene Geschäftsdaten.
Pishing ist ein Beispiel dafür, in welchem Maße die IT-Sicherheit von aufmerksamen Mitarbeiterinnen und Mitarbeitern abhängt. Sicherheitsbewusste Nutzer sind die wichtigste Verteidigung gegen Phishing-E-Mails und Vishing-Anrufe. CISOs und IT-Führungskräfte sollten in ihren Organisationen beispielsweise in Leitfäden darüber aufklären, wie mögliche Angriffe erkannt werden können:
- Ist die Betreffzeile leer oder ungewöhnlich?
- Ist der Absender bekannt?
- Wirkt der Anhang verdächtig?
- Ist die E-Mail sprachlich schlecht geschrieben?
- Ersucht die Nachricht um sofortige, dringende Aufmerksamkeit oder um Geld?
- Erfolgt der Anruf von einer bekannten Telefonnummer aus?
4. Remote Netzwerkzugang nur per VPN gestatten
Laptops und Smartphones verbinden sich mit unterschiedlichen (und manchmal zufälligen) Stufen von Sicherheitskontrollen mit dem Internet. Indem Mitarbeiter im Home Office verpflichtet werden, ein Virtual Private Network (VPN) für den Zugriff auf Geschäftsdaten zu verwenden, können IT-Teams die Bedingungen für das Senden oder Empfangen sensibler Informationen über ansonsten öffentliche Verbindungen vorgeben.
5. Virtuelle-Meetings richtig absichern
Mit Videokonferenzen auf einem Allzeithoch ist es wichtiger denn je, die Sicherheitseinstellungen innerhalb der Webkonferenz-Plattform im Blick zu haben. So sind die integrierten Sicherheitsfunktionen einer Plattform – wie virtuelle Meeting-Räume, Passwörter und Screen-Sharing-Berechtigungen – ein grundlegender und kritischer Schritt, um unbefugten Zugriff auf Meetings zu verhindern. Eindeutige Passwörter und Zugriffslinks für Meetings erhöhen das Sicherheitsniveau genauso wie die Deaktivierung nicht benötigter “Beta”-Funktionen wie File-Sharing oder Livestreaming.
Der Faktor Mensch ist für die Eindämmung der Pandemie genauso zentral, wie für die Gewährleistung der IT-Sicherheit. Um menschliche Fehler zu minimieren, kommt es entscheidend auf eine gute Kommunikation und umfassende Sensibilisierung der Mitarbeiter an.
Jim Alkove, Chief Trust Officer bei Salesforce, www.salesforce.com