Corona hat dem Home-Office allerorts enormen Auftrieb verschafft. Welche Sicherheitsaspekte dabei aber oft vernachlässigt wurden, erläutert Sascha Martens, CTO und Cybersecurity Evangelist der MATESO GmbH.
Die Corona-bedingten Kontakteinschränkungen haben Unternehmen aller Branchen und Größen gezwungen, ihre gewohnte Arbeitskultur radikal umzustellen und eine Vielzahl von Büro-Arbeitsplätzen innerhalb kürzester Zeit ins Home-Office auszulagern. Der Security-Fokus lag dabei häufig nur auf den Endgeräten und der Anbindung, obgleich der “Faktor Mensch” auch – und gerade – in der Abgeschiedenheit des Home-Office die größte Gefahr für die IT-Sicherheit des Unternehmens darstellen kann.
Die enormen technischen und organisatorischen Herausforderungen der letzten Monate brachten selbst personell und finanziell hervorragend ausgestattete IT-Abteilungen dicht an ihre Belastungsgrenze. Alleine die Beschaffung geeigneter Endgeräte erforderte viel Einsatz und Kreativität, da nicht nur in Deutschland oder der EU, sondern auf der ganzen Welt der Bedarf förmlich explodierte. Standen diese nicht in ausreichender Anzahl zu Verfügung, galt es, die vorhandenen Privatgeräte à la BYOD zu prüfen und ggf. anzupassen. Gleichzeitig mussten externe Zugänge zu den unternehmensinternen Infrastrukturen und Servern eingerichtet und abgesichert werden. Sobald die “Telearbeiter” dann weitestgehend arbeitsfähig waren, schienen die drängendsten Probleme erledigt und ein akzeptables Sicherheitsniveau erreicht. Diese Einschätzung erwies sich aber nicht selten als fataler Trugschluss, der bis heute ein erhebliches Risiko für zahlreiche Betriebe, Organisationen und Behörden birgt.
Schwachstelle Passwort-Sicherheit
Der Mensch ist von seiner Natur aus darauf programmiert, mit dem geringstmöglichen Einsatz das gewünschte Ergebnis anzustreben. Dieses Prinzip hat auch im Berufsumfeld Gültigkeit, greift aber leider im Bereich der IT-Sicherheit viel zu kurz. Bei der Wahl eines wirklich sicheren Passworts sind Bequemlichkeit und Gewohnheit die denkbar schlechtesten Berater. Überlässt man es den Mitarbeitern, ihre Passwörter selbst zu erstellen, zu verwalten und regelmäßig zu ändern, stößt man Cyber-Kriminellen das Scheunentor zu den sensiblen Unternehmens- und Kundendaten weit auf. Ein paar Zahlen aus unserer täglichen IT-Security-Praxis die immer wieder für erschreckendes Erstaunen sorgen (Sailpoint Umfrage):
- 56 Prozent der Berufstätigen nutzen für private und geschäftliche Logins komplett identische Passwörter.
- Einer von sieben Mitarbeitern würde sein Passwort an Dritte verkaufen.
- Jeder fünfte Angestellte teilt sein Passwort mit Team- oder Abteilungsmitgliedern.
Falsches Sicherheitsempfinden im Home-Office
Unabhängig davon, ob die Mitarbeiter einen vorkonfigurierten Firmen-Laptop oder einen von der IT-Abteilung entsprechend eingerichteten privaten Rechner benutzen, gehen viele davon aus, dass die Anbindung ans Unternehmen schon sicher genug sei. Demzufolge sinkt das Risiko-Bewusstsein – und infolgedessen die Qualität der gewählten Passwörter. Aber auch die Angewohnheit, beim Verlassen des Arbeitsplatzes regelmäßig den Rechner zu sperren, leidet durch die Vertrautheit der heimischen Umgebung.
Risikofaktoren Kurzarbeit und Job-Unsicherheit
Der weltweite wirtschaftliche Einbruch führte in Deutschland zu einer massiven Ausweitung der Kurzarbeit. Dieses bewährte Krisen-Werkzeug wirkt sich zwar stabilisierend auf die finanzielle Situation betroffener Unternehmen aus, wird aber von vielen Arbeitnehmern nichtsdestotrotz als sehr belastend wahrgenommen. Gerät das bis vor kurzem noch als stabil und wertschätzend wahrgenommene Arbeitsverhältnis vermeintlich ins Wanken, bekommt bei einigen Menschen auch die Loyalität deutliche Risse. Diese Personen stellen dann keine passiven Sicherheitsrisiken mehr dar, sondern verwandeln sich zu besonders gefährlichen Insidern, die ungeheuren Schaden anrichten können.
Gegenmaßnahme: rollenbezogene Remote-Verwaltung von Passwörtern
Um sowohl die passive Unbekümmertheit und Bequemlichkeit vieler Mitarbeiter als auch die immer wieder auftretende aktive Korrumpierbarkeit weniger schwarzer Schafe wirklich in den Griff zu bekommen, führt meiner Einschätzung nach auf lange Sicht kein Weg an einer zentralen Passwort-Management-Lösung vorbei. Diese sollte die Organisations- und Verantwortungsstruktur des Unternehmens 1:1 abbilden, eine flexible Rollen- und Rechteverwaltung mitbringen und über eine hochsichere, End-to-End-verschlüsselte Verbindung auch das ortsunabhängige Arbeiten ermöglichen.
Wichtig dabei: Die Mitarbeiter sollten nicht mit komplexen Einwahl-Prozeduren belastet werden. Damit auch der Faktor Mensch – mit und ohne böse Absichten – das IT-Security-Konzept nicht kompromittieren kann, sollten besonders wichtige Rollen und Accounts mit einer Mehrfaktor-Authentifizierung geschützt und ggf. auch nach dem Mehr-Augen-Prinzip verfahren werden. Die Passwort-Generierung selbst wird natürlich vollständig automatisiert und der Verantwortung der Nutzer entzogen. Nicht zuletzt sorgt dann auch die Wahl eines in Deutschland ansässigen Anbieters für die strikte Einhaltung der hiesigen Datenschutzbestimmungen.