Insights
IT-Sicherheit im Home Office
Wie sicher sind Deutschlands Home Offices? Die im April vom BSI vorgestellte repräsentative Studie zur "IT-Sicherheit im Home-Office unter besonderer Berücksichtigung der Covid-19-Situation“ belegt den deutschlandweiten Trend zum Ausbau der Home-Office Arbeitsplätze. Das Problem ist: Die Risiken für Security-Vorfälle steigen ebenfalls massiv, da adäquate Schutzstrategien häufig vernachlässigt werden.
Als die ersten COVID-19 Präventionsmaßnahmen in Form von Kontaktbeschränkungen und Ausgangssperren verhängt wurden, mussten viele Unternehmen schnell reagieren, um die Handlungsfähigkeit des eigenen Unternehmens nicht zu gefährden und gleichzeitig ihre Mitarbeiter bestmöglich zu schützen. Da lag die Überlegung nahe, die Büroarbeitsplätze - zumindest temporär - ins Home Office zu verlagern. Diese für viele Unternehmen recht spontane Maßnahme, zog weitere notwendige Handlungsschritte nach sich. Irgendwie musste die Zusammenarbeit schließlich digital weitergehen.
Das Ergebnis: schnell hochgezogene Remote-Arbeitsplätze, Video-Konferenz-Lösung, Messengerdienste und Kollaborationstools für die dezentrale Zusammenarbeit erlebten einen Boom, auf den noch ein Jahr zuvor wohl wenige gewettet hätten.
Home Office wird zur Hochrisikozone
Es geht in Deutschland voran mit der Digitalisierung:
- in Unternehmen, die Home Office anbieten, arbeiten aktuell 64 Prozent der Beschäftigten voll oder teilweise von zu Hause; die Zahl der Home-Office-Arbeitsplätze hat sich damit mehr als verdoppelt;
- 58 Prozent der Unternehmen wollen dieses Angebot auch nach der Pandemie aufrechterhalten oder ausweiten.
Die Studie offenbart allerdings auch die Schattenseiten,
- mit Blick auf die Cyber-Sicherheit: technische und organisatorische Maßnahmen wurden nicht ausreichend nachgezogen;
- die Ausgaben für die IT-Sicherheit sind mit unter 10% des IT-Budgets auf Vorkrisenniveau geblieben - und liegen damit erheblich unter den Empfehlungen des BSI,
- und: 77 Prozent planen auch für die Zukunft keine weiteren Sicherheitsmaßnahmen für das Home Office.
Die Bedrohungslage entwickelt sich weiter – rasant, in großem Ausmaß und immer weniger vorhersehbar
John Shier, Senior Security Advisor bei Sophos
Die wichtigsten Security-Strategien für sicheres Remote Work
Das BSI empfiehlt in seiner Studie für mehr IT-Sicherheit im Home-Office:
- ad hoc getroffene Maßnahmen langfristig durch sichere IT-Maßnahmen zu ersetzen,
- Virtual Private Networks, Mehr-Faktor-Authentifizierung, Mobile Device Management, regelmäßige Updates sowie qualifizierte Dienstleister zu fragen als Top 5 Empfehlungen,
- mindestens 20 Prozent der IT-Ausgaben in Cyber-Sicherheit zu investieren.
Die vielleicht größte Herausforderung bei Remote Work besteht darin, mehrere Risikozonen jederzeit im Blick zu behalten. Während im Büro umfassende Schutzmaßnahmen der IT-Sicherheit die digitale Kommunikation der Mitarbeiter bestmöglich vor externen Angriffen abschirmen, entstehen außerhalb dieser Netzwerkinfrastruktur zusätzliche Angriffsflächen für Cyber-Kriminelle. Mit Blick auf die Studienergebnisse und aus Sicht von genuas IT-Security Experten sollten Unternehmen daher die folgenden Überlegungen in ihre Remote-Work-Strategie einfließen lassen.
1. Top-Risiko private IT
Laut der BSI-Studie nutzen nur 42% der Unternehmen ausschließlich unternehmenseigene IT
Bei Endgeräten sollten Unternehmen jedoch generell darauf achten, auch außer halb der Firmen- beziehungsweise Behördennetzwerke streng abgeschirmte IT-Infrastrukturen aufzubauen und permanent zu schützen. Das setzt zwingend voraus, dass nur solche Devices verwendet werden, die von der IT-Abteilung des Arbeitgebers administriert werden. Private Systeme und Netzwerke zählen zu den Top-IT-Sicherheitsrisiken im Home Office. Allgemein ist die Trennung von Unternehmens- und Privatdaten als kritisch für eine stabile und sichere mobile Infrastruktur einzuordnen
2. Segmentierung und Absicherung von Netzen
Nur 51% haben Segmentierung und die Absicherung von Netzen umgesetzt
30 Prozent planen auch weiterhin nicht, dies zu tun
Der erste Schritt ist, auf allen Remote-Geräten Firewalls zu installieren, um das Netzwerk gegen Gefahren aus dem Internet abzusichern. Darüber hinaus sollten Schutzzonen für besonders sensible Systeme innerhalb großer Netze eingerichtet werden. Hier sind Sicherheitslösungen empfehlenswert, die stark verschlüsselte VPN für die Datenkommunikation über öffentliche Netze erzeugen können. Ein gutes Prinzip ist es, das Netzwerk nach dem Prinzip "Zwiebelschalen" in kritische und weniger kritische Bereiche zu unterteilen. Dabei sollten auch die Netzübergänge zwischen den Schichten durch Firewalls abgesichert werden.
3. Virtual Private Networks
66% haben vor oder während der Pandemie VPN umgesetzt
Unter den richtigen Voraussetzungen bieten diese handfeste Vorteile. VPNs ermöglichen eine konsequente Datentrennung. Das Endgerät erfüllt die Sicherheitsstandards des Unternehmens und kann von der IT-Abteilung per Fernzugriff verwaltet werden. Daten lassen sich lokal bearbeiten, wodurch sich die Performance erhöht und die Anforderungen an die Qualität und Performance der Internetleitung sinken. VPN sollten jedoch grundsätzlich auf einem Firmenrechner und nicht auf einem privaten Endgerät genutzt werden. Ist ein Firmen-VPN im Home Office eingerichtet, sind alle privaten, mit dem Web verbundenen Geräte davon strikt abzugrenzen.
4. Zentrales Mobile Device Management
Nur 38% managen die Sicherheit von mobilen Endgeräten wie Handys oder Laptops zentral
Grundsätzlich muss die Endpunktschutz- und Sicherheitssoftware (EPS) auf allen Endgeräten jederzeit auf dem neuesten Stand gehalten werden. Hierbei ist eine zentrale Administration hilfreich, denn sie verringert den Administrationsaufwand bei gleichzeitiger Gewährleistung höchster Sicherheitsstandards. Der Status der IT-Sicherheit bleibt jederzeit im Blick, eigene Policies lassen sich im gesamten Netzwerk konsequent durchsetzen. Dieser Überblick ist wesentlich, schließlich kann die Kompromittierung eines einzigen Endpunkts die Infrastrukturen des gesamten Unternehmens bedrohen. Patch-Zyklen für Systeme rund um das VPN, Endpunktschutz und Cloud-Schnittstellen sollten übrigens möglichst verkürzt werden.
6. Mehr-Faktor-Authentifizierung
Gut die Hälfte setzt Mehr-Faktor-Authentifizierung ein
Mitarbeiter im Home Office sollten eine MultiFaktor-Authentifizierung (MFA) für die Anmeldung am Arbeitsgerät sowie den Zugriff auf VPN, Unternehmensnetzwerke und kritische Anwendungen verwenden können.
7. Menschen und Prozesse nicht vergessen
81% haben ihre Mitarbeiter zu Cyber-Sicherheit sensibilisiert
60% besitzen ein Notfallmanagement
Neben den technischen Sicherheits-Maßnahmen ist mit der Arbeit im Home Office auch ein prozessualer sowie kultureller Wandel (Stichwort Social Engineering) verbunden. Dies haben bereits 81 Prozent der Unternehmen erkannt und ihre Mitarbeiter für das Thema Cybersicherheit sensibilisiert. Ein Notfallmanagement haben 60 Prozent etabliert, sowie 59 Prozent eine IT-Sicherheitsstrategie. Allerdings üben nur 24 Prozent regelmäßig den Cyberangriff-Notfall. IT-Security-Experten empfehlen, dass Reaktionsprozesse auf Cyber-Vorfälle robust sein müssen. Sicherheits- und IT-Teams sollten alle Prozesse und Verfahren regelmäßig aktualisieren und testen, um sicherzustellen, dass die Reaktions- und Eskalationsketten bei Cyber-Vorfällen nahtlos mit den Remote-Mitarbeitern und dem Backup-Personal funktionieren.