Wenn man sich informieren will wie Cybersicherheit mit einer neuen Bedrohung, Technologie oder Situation umgeht, ist es manchmal der einfachste Weg, direkt nachzufragen. Covid-19, Lockdown, Quarantänebestimmungen und tiefgreifende wirtschaftlichen Veränderungen sind sicherlich ausreichend relevant.
Es wäre zwar hilfreich, wenn das Thema Cybersicherheit vorübergehend in den Hintergrund treten würde, während Einzelne und Unternehmen herausfinden (müssen), wie sie sich am besten an die neuen Arbeitsbedingungen anpassen. Die Realität sieht anders aus. Die schnelle Verlagerung auf die Arbeit von zu Hause aus, die dramatischen Steigerungen beim E-Commerce verglichen mit den Einbußen beim stationären Handel und die massive Ausweitung der Lieferlogistik lassen sich ohne die notwendigen Sicherheitsmaßnahmen nicht umsetzen. Cybersicherheit ist schlicht und einfach Teil der Reaktion auf die Pandemie.
Wie Sicherheitsexperten mit dieser Krise umgehen, dazu hat Tripwire kürzlich eine Umfrage gestartet. Nicht alle Ergebnisse sind überraschend – wie zum Beispiel, dass 94 % der Befragten derzeit größere Sicherheitsbedenken haben als vor Covid-19. Fairerweise muss man zugeben, dass die Ergebnisse vermutlich ähnlich ausfallen würden, wenn sie Cybersicherheitsexperten fragen, ob sie jetzt besorgter sind als noch heute Morgen. Sie hätten vermutlich gute Chancen, dass eine Mehrheit zustimmt. Sich zu sorgen ist quasi Teil der Tätigkeitsbeschreibung eines Sicherheitsexperten. Interessanter als die Sorge an sich, ist denn auch eher das „Warum“.
Worüber Cybersicherheitsexperten sich Sorgen machen
Es leuchtet unmittelbar ein, dass eine der größten Sorgen die Sicherheit heimischer Netzwerke betrifft. Wir gehen allerdings davon aus, dass diese Sorge mit der Zeit in den Hintergrund tritt und andere Bedenken in den Vordergrund rücken werden. Gerade, wenn Unternehmen sich nur mit der Bereitstellung, Verwaltung und Sicherung von Assets in einer nicht vertrauenswürdigen Netzwerkumgebung befassen. Wenn Sie zukunftsorientiert denken, sollten Sie sich weniger Gedanken um die persönlichen Netze Ihrer Mitarbeiter machen, als darüber, wie Sie die notwendige Transparenz und Kontrolle über sämtliche Geräte erlangen, die außerhalb einer Büroumgebung eingesetzt werden.
Sicherheit beginnt mit Transparenz („Man kann nicht das schützen, von dem man nichts weiß“), und wir wollten wissen, wie sich die Covid-19-Pandemie auf die Transparenz hinsichtlich der Sicherheit auswirkt. 64 % der Befragten gaben an, dass es aufgrund von Remote Working schwieriger geworden sei, Transparenz in Sachen Sicherheit herzustellen (50 % gaben an, es sei „etwas schwieriger“ und 14 % es sei „viel schwieriger“ geworden). Auch hier gibt die Aufschlüsselung nach Bereichen weiteren Aufschluss.
In welchen Bereichen haben IT-Sicherheitsteams am wenigsten Transparenz?
Überraschend an diesen Ergebnissen ist, dass sie auf Unzulänglichkeiten bestehender Lösungen hinweisen, die eigentlich zum Schutz von Systemen in Unternehmensnetzwerken eingesetzt werden. Es gibt an sich keine technische Begründung, warum dasselbe Tool, das den System-Update-Status oder den Backup-Status liefert, nicht in der Lage sein sollte, die gleiche Aufgabe in einer stärker verteilten Netzwerkumgebung zu bewältigen. Für diesen Befund mag es triftige Gründe geben. Aber was wir sehen, ist eine Lücke bei den genau für diese Zwecke eingesetzten Produkten.
Es ist nicht ganz uninteressant, dass Schwachstellenbewertung
Und dann ist da noch die Richtlinien-Compliance. Tendenziell begeistern sich nur sehr wenige Menschen für Richtlinien-Compliance, und die meisten von ihnen sind Auditoren. In der Realität kommt man aber um Compliance nicht herum. Es gibt zwar einen kurzfristigen Spielraum bei der Umstellung auf Telearbeitsplätze, aber Auditoren machen auch unter veränderten Bedingungen weiterhin ihren Job. Ein deutlich höherer Prozentsatz der Befragten gab an, dass Compliance-Anforderungen zu erfüllen aufgrund von Covid-19 schwieriger geworden sei.
Welche Compliance-Anforderungen sind jetzt schwieriger zu erfüllen als vor Covid-19?
Auch bei Compliance steht die Transparenz von Remote-Endpunkten an erster Stelle. Beim zweiten Punkt geht es allerdings mehr um die Anwendung der Richtlinien in einer neuen Umgebung unter Remote-Bedingungen als um die tatsächliche Bewertung. Hier ist Fachwissen wichtiger als jedes Tool.
Es stimmt bedenklich, dass auch die unterstützende Infrastruktur in dieser Aufzählung auftaucht. Die Zunahme von Remote-Working-Szenarien hat sich stark auf die Endpunkte konzentriert, aber der zunehmende Remotezugriff hat parallel zu einem Anstieg bei der unterstützenden Infrastruktur wie VPNs, Authentifizierung und anderer Remotezugriffstechnologien geführt. Diese müssen sicher und konform sein.
Schließlich erhält man bei Umfragen wie dieser oft widersprüchliche Ergebnisse, die aber letztlich zu Erkenntnissen führen. Kehren wir zunächst zu den bereits diskutierten Bereichen zurück, um die Cybersicherheitsexperten sich Sorgen machen. „Vermehrte Ransomware-, Phishing- und Social-Engineering-Angriffe“ stehen hier mit 45 % bereits an zweiter Stelle. Daraus leitet sich die Frage ab, ob Mitarbeiter bei der Arbeit von zu Hause anfälliger für diese Art von Angriffen sind.
Sind Mitarbeiter jetzt anfälliger für Sicherheitsangriffe?
Angesichts der vorherigen Antwort würde man vermutlich erwarten, dass eine Mehrheit sagt „Ja, Mitarbeiter sind anfälliger, wenn sie von zu Hause arbeiten“, aber mehr als die Hälfte der Befragten (53 %) gibt tatsächlich das Gegenteil an.
Warum also sind Sicherheitsexperten besorgter und gehen aber gleichzeitig davon aus, dass Mitarbeiter aktuell nicht anfälliger gegen Angriffe sind als sonst auch? Die Antwort liegt im Bereich Bedrohungsumgebung. Die Angriffsfläche, in diesem Fall die Mitarbeiter, hat sich wahrscheinlich nicht wesentlich verändert, die Bedrohungsumgebung aber sehr wohl. Covid-19 ist ein globales Phänomen, und es geht sowohl mit Ängsten als auch mit einem großen Hunger nach Informationen und Erklärungsmodellen einher. Das sind beste Bedingungen für Angreifer, um dank Phishing oder Social Engineering an ihr Ziel zu gelangen. Das spiegelt sich bereits in der Realität wider: 63 % der Befragten gibt an, bereits einen Angriff im Zusammenhang mit Covid-19 erlebt zu haben.
Letztendlich müssen wir alle selbst herausfinden, wie wir uns an die sich weiter verändernden Arbeitsbedingungen anpassen. Für Sicherheitsexperten ist die gute Nachricht zugleich die schlechte Nachricht: Sicherheit wird man nicht los. Wir haben mit Remote Working nicht unbedingt neue Probleme zu lösen, aber es existieren neue Umgebungen, in denen wir die gleichen Probleme weiterhin werden adressieren müssen: Wie setzen wir sichere Systeme ein und wie halten wir sie verfügbar? Wie stellen wir sicher, dass Systeme konform sind? Und wie schaffen wir das mit weniger zur Verfügung stehenden Ressourcen? Das sind die Kernfragen mit denen wir uns beschäftigen sollten.
Tim Erlin, VP, Product Management and Strategy, Tripwire, www.tripwire.com