Obwohl die Pandemie mittlerweile eine weniger große Rolle spielt, ist klar, dass Homeoffice nicht verschwinden wird. An die Stelle tritt zukünftig vermutlich ein Hybridmodell, bei dem die meisten Mitarbeiter sowohl einige Zeit von zu Hause arbeiten, als auch einen Teil der Woche ins Büro kommen. Diese Lösung soll Mitarbeitern wie Arbeitgebern das Beste von beiden Welten bieten. Allerdings können wir seit über einem Jahr auch beobachten, dass massenhaftes Homeoffice auch ideale Bedingungen für Cyberkriminelle schafft. Wie steht es bei diesem Arbeitsmodell also künftig um die Cybersicherheit?
Wir können nur hoffen, dass IT-Sicherheitsverantwortliche und ihre Teams aufgrund der Erfahrungen des letzten Jahres und der zusätzlichen Vorbereitungszeit heute besser dastehen als 2020. Trotzdem ist anzunehmen, dass die konkrete Ausgestaltung des hybriden Arbeitens für viele Unternehmenslenker immer noch unklar ist. Neue Sicherheitsstrategien für diese Szenarien müssen menschliche, technologische und Cloud-basierte Risiken miteinschließen.
Weitere Artikel mit dem Themenschwerpunkt: Sicherheit am hybriden Arbeitsplatz
Zero Trust Security für den hybriden Arbeitsplatz
Warum hybrides Arbeiten auf Cloud‑Sicherheit aufbaut
Insider-Bedrohungen am hybriden Arbeitsplatz
Was ist hybrides Arbeiten und warum kommt es jetzt?
Die Umstellung auf hybrides Arbeiten scheint unvermeidlich. Als die Welt im Jahr 2020 zu Hause blieb, fanden die Mitarbeiter die neue Work-Life-Balance eher gut, ganz zu schweigen von der Zeit- und Kostenersparnis beim Pendeln. Die Manager waren überrascht, als sie feststellten, dass die Produktivität nicht ins Bodenlose sackte, so wie viele es prophezeit hatten. Dafür sorgten bereitgestellte Laptops, Technologien und Cloud-Infrastruktur, die eine neue Arbeitsweise ermöglichen und unterstützen.
Jetzt, da wir etwas Licht am Ende des „COVID-Tunnels“ sehen, erscheint es unwahrscheinlich (PDF), dass alles wieder so wird wie vor der Pandemie. Laut Microsoft erwägen zwei Drittel (66 %) der Unternehmenslenker eine Neugestaltung von Büroräumen, während 73 % der Mitarbeiter bei den Arbeitsoptionen flexibel bleiben möchten und 67 % sich mehr persönliche Zusammenarbeit wünschen. Ein neues hybrides Arbeitsmodell wird ein wichtiger Faktor sein, um das Wohlbefinden, die Bindung und Rekrutierung der Mitarbeiter zu verbessern, die Produktivität zu steigern und der Belegschaft neue Energien zu verleihen.
Dennoch herrscht Unklarheit über die Details. Laut McKinsey werden 90 % der globalen Unternehmen nach einer Pandemie dauerhaft Remote- und Vor-Ort-Arbeit kombinieren. Davon haben jedoch 68 % noch keinen Plan kommuniziert oder umgesetzt. Genau dort, wo strategische Entscheidungen und Vorbereitungen fehlen, gedeihen oft Cybergefahren.
Die Sicherheitsherausforderungen des hybriden Arbeitsplatzes
Wie groß ist also das Cyberrisiko für Unternehmen, die neue Arbeitsmodelle etablieren? Eine ESET-Studie Anfang dieses Jahres ergab, dass 80 % der globalen Unternehmen darauf vertrauen, dass Homeoffice-Mitarbeiter über genug Wissen und die Technologien verfügen, um mit Cyberbedrohungen fertig zu werden. In derselben Studie gaben allerdings auch drei Viertel (73 %) der Befragten zu, wahrscheinlich von einem Cybersicherheitsvorfall betroffen zu sein, und die Hälfte gestand dies für die Vergangenheit ein. Das passt nicht zu einer kohärenten Cybersicherheitsplanung.
Tatsächlich stehen Unternehmen vor mehreren Herausforderungen, die sie im Jahr 2020 und in der ersten Hälfte des Jahres 2021 aus erster Hand miterlebt haben. Dazu gehören:
Der menschliche Faktor
Jeder Cybersicherheitsexperte, den Sie fragen, wird Ihnen wahrscheinlich bestätigen, dass die Mitarbeiter das schwächste Glied in der Sicherheitskette eines Unternehmens sind. Aus diesem Grund wurden Phishing-Kampagnen in den frühen Tagen der Pandemie massenhaft dazu genutzt, um Benutzer anzulocken, die auf der Suche nach den neuesten Corona-Nachrichten waren. Im April 2020 behauptete Google, täglich über 240 Millionen Spam-Nachrichten mit COVID-Thema sowie 18 Millionen Malware- und Phishing-E-Mails zu blockieren.
Heimarbeiter sind dabei stärker gefährdet, weil sie von Mitbewohnern oder Familienmitgliedern abgelenkt werden können und daher eher fälschlicherweise auf bösartige Links klicken. Aus der Ferne ist es zudem viel schwieriger den IT-Support zu kontaktieren oder einen Kollegen dazu zu bringen, eine verdächtige E-Mail zu überprüfen. Außerdem hatten diejenigen, die private Laptops und Heimnetzwerke nutzten möglicherweise auch weniger Schutz vor Malware.
Jetzt, da die Mitarbeiter teilweise wieder ins Büro zurückkehren, gibt es verständliche Bedenken, dass sie schlechte Gewohnheiten, die sie in den letzten 18 Monaten gelernt haben, mitbringen könnten.
Technologie- und Cloud-spezifische Herausforderungen
In der Pandemie war auch die Remote-Arbeitsinfrastruktur angreifbar: Es kursierten Exploits, die auf ungepatchte VPNs und falsch konfigurierte RDP-Server abzielten, die mit schwachen oder gestohlenen Anmeldeinformationen geschützt waren. ESET verzeichnete im dritten Quartal 2020 einen Anstieg der RDP-Angriffe um 140 %.
Auch die wachsende Nutzung von Cloud-Diensten zog im vergangenen Jahr die Aufmerksamkeit von Cyberkriminellen auf sich. Es halten sich Bedenken hinsichtlich falscher Benutzerkonfigurationen oder Schwachstellen in SaaS-Angeboten sowie Berichte über gestohlene Accountdaten und Datenschutzbedenken hinsichtlich der Anbieter. Das erklärt vielleicht auch, dass 41 % der vom Cloud Industry Forum befragten Unternehmen immer noch der Meinung sind, dass das Büro eine sicherere Umgebung darstellt als die Cloud ist. Und ein hybrides Arbeitsmodell wird wohl noch mehr Datentransfer zwischen Remote-Mitarbeitern, Cloud-Servern und Büros erfordern. Diese Komplexität muss sorgfältige gemanagt werden.
Wie macht man hybride Arbeitsplätze sicherer?
Die Absicherung von hybriden Arbeitsplätzen stellt zwar eine Herausforderung dar, doch es gibt bewährte Verfahren, die CISOs dafür als Leitfaden heranziehen können. Das immer beliebter werdende Zero-Trust-Modell hilft dabei, die Sicherheit der komplexen lokal und Cloud-basierten Systeme und der Anwender zu gewährleisten.
Angeführt von Entwicklungen bei Google, Microsoft und anderen Technologiepionieren, basiert es auf der Vorstellung, dass IT-Sicherheit in Unternehmen heute nicht mehr auf althergebrachte Weise funktioniert. Geräten und Benutzern innerhalb von Unternehmensnetzwerken kann heute nicht mehr blind vertraut werden. Stattdessen müssen sie dynamisch und kontinuierlich authentifiziert werden, wobei der Zugriff nach dem „Prinzip der geringsten Privilegien“ („least Privilege“) eingeschränkt wird und eine Netzwerksegmentierung eingerichtet wird, um potenziell böswillige Aktivitäten weiter zu begrenzen. Damit dies effektiv funktioniert, werden Technologien eingesetzt, wie Multi-Faktor-Authentifizierung (MFA), Ende-zu-Ende-Verschlüsselung sowie NDR-Tools (network detection and response), Mikrosegmentierung und mehr.
Die Umsetzung solcher Maßnahmen ist heute vielleicht nicht für jedes Unternehmen möglich, zumal wenn ausreichende Ressourcen dafür fehlen. Bevor Unternehmen überhaupt über neue Sicherheitskontrollen und -technologien nachdenken, müssen sie ihre Richtlinien für den neuen hybriden Arbeitsplatz überarbeiten. Dies sollte unter anderem Zugriffsrechte für einzelne Mitarbeiter, Remote-Verbindungsprozesse, externe Datenverarbeitung und die Verantwortung der Benutzer für die IT-Sicherheit umfassen.
Schließlich kommt neben den technischen Maßnahmen, wie dem sofortigen Patchen von Systemen, auch der Thematisierung von IT-Sicherheit eine entscheidende Bedeutung zu. Regelmäßige Cybersicherheits-Schulungen, die mit allen Mitarbeitern durchgeführt werden, sind ein entscheidender Bestandteil zur Verbesserung der IT-Sicherheit jedes Unternehmens. Mitarbeiter können diesbezüglich das schwächste Glied sein, aber sie sind auch Ihre erste Verteidigungslinie.