IT-Security
Das Homeoffice und die Sicherheit
Das Homeoffice kann die Herausforderungen in puncto IT-Sicherheit potenzieren. Wie Unternehmen auch mit der Belegschaft im Homeoffice ausreichend Schutz herstellen können, zeigt Anurag Kahol von Bitglass auf.
Im Bereich IT-Security sind die Lasten nicht zu Gunsten der Unternehmen verteilt: Während sie permanent über ihre gesamte IT-Landschaft hinweg sämtliche der Bedrohungslage angemessenen Sicherheitsmaßnahmen ergreifen müssen, kann Angreifern eine kleine Schwachstelle ausreichen, um massiven Schaden anzurichten. Ungesicherte Endgeräte, Cloud- und IaaS-Anwendungen, schlecht gesicherte Netzwerke oder das Surfen im World Wide Web eröffnen Hackern zahlreiche Möglichkeiten, Unternehmen zu infiltrieren und Daten zu erbeuten. Da sich letztere gut zu Geld machen lassen, verfügen Cyberkriminelle über eine entsprechend große Motivation, ihre Angriffstechniken zu verfeinern und möglichst passend auf ihre Zielunternehmen zuzuschneiden. Potenzielle Schwachstellen an all diesen Fronten zu schließen und undurchdringlich zu halten, ist für Unternehmen ein herausforderndes Unterfangen.
Remote Work und die Risiken durch Insideraktivitäten
Dies wird verstärkt durch die in der Wirtschaft fortschreitende Digitalisierung. Diese Entwicklung bringt das Erfordernis mit sich, digitale Geschäftsprozesse unter sämtlichen Umständen stets aufrecht zu erhalten, um Einnahmeausfälle zu vermeiden und die Wettbewerbsfähigkeit zu gewährleisten. Auch in Sachen Arbeitskultur spielt die Digitalisierung längst eine bedeutende Rolle: Die New Work-Bewegung nutzt digitale Errungenschaften, um Mitarbeitern Selbstbestimmung über Arbeitszeit und -ort einzuräumen, in der Hoffnung, ein innovatives, kreatives Arbeitsumfeld zu schaffen. Vor allem für die jüngeren Generationen spielt es für ihre Berufsentscheidungen eine entscheidende Rolle, frei bestimmen zu können, von wo aus und wann sie arbeiten. Mit der aktuellen Pandemiekrise, in der ganze Belegschaften auf Remote Work ausweichen mussten, hat diese Debatte in vielen Unternehmen wieder eine neue Intensität erreicht.
Unter dem Aspekt der IT-Security stellt es sich allerdings so dar, dass jeder einzelne Mitarbeiter außerhalb des Firmenstandorts ein erhöhtes Sicherheitsrisiko mitbringt, das sich entsprechend vervielfältigt, je mehr Mitarbeiter von außerhalb arbeiten. Sicherheitsrisiken durch Insider sind für Unternehmen keineswegs neu, ebenso wie deren Hintergründe: Mitarbeiter mit böswilligen Absichten wie Wirtschaftsspionage oder persönlicher Bereicherung wurden vor allem in regulierten Branchen auch schon vor der Digitalisierung in Unternehmenssicherheitskonzepten berücksichtigt. Im digitalen Zeitalter werden die Möglichkeiten, Unternehmensdaten betriebsintern einzusehen und zu entwenden hingegen noch weitaus vielfältiger. Dementsprechend besteht auch ein erhöhtes Risiko durch berechtigte Nutzer wie Mitarbeiter oder externe Dienstleister, die IT-Systemzugang haben. Dabei ist anzunehmen, dass die meisten Datenverluste weniger durch böse Absicht, sondern vielmehr durch Unachtsamkeit oder Unbekümmertheit entstehen. Zum Beispiel kann es vorkommen, dass sie sich beim Zugriff von unterwegs in unsichere WLAN-Netzwerke einwählen, ihre ungesicherten persönlichen Geräte nutzen, Anmeldeinformationen verlieren oder auf verdächtige Links klicken.
Zero Trust – aber nicht auf Kosten der Arbeitsatmosphäre
Die Gefahr durch Insider liegt also weniger in deren persönlichen Motiven, sondern unabhängig davon in den Schäden, die durch ihre Nutzeraktivitäten entstehen können, begründet. Als strategischer Sicherheits-Ansatz empfiehlt sich dafür die Maxime des „Zero Trust“. Dieser liegt der Gedanke zu Grunde, dass von Insidern dasselbe Schadensrisiko ausgeht, wie von externen Angreifern mit bösen Absichten.
Demgegenüber steht jedoch die Annahme, dass die Wettbewerbsfähigkeit von Unternehmen unter anderem durch eine vertrauensvolle Arbeitskultur, die Innovationen begünstigt, positiv beeinflusst wird. IaaS-, SaaS- oder Webanwendungen beispielsweise tragen durch die flexiblen Zugriffsmöglichkeiten zu einer angenehmen Arbeitsatmosphäre bei, da die Mitarbeiter diese nach ihren Bedürfnissen nutzen können. Das Nutzungsverhalten durch rigide Handlungsrichtlinien erheblich einzuschränken, um Sicherheit zu gewährleisten, wäre hingegen kontraproduktiv. Haben Arbeitnehmer ständig die Befürchtung, sie könnten durch ihr Digitalverhalten Schaden anrichten, beschränken sie sich unter Umständen selbst in ihrer Produktivität. Unternehmen haben daher ein vitales Interesse daran, die geeigneten Rahmenbedingungen zu schaffen, die Produktivität und Sicherheit miteinander in Einklang bringen – auch in Extremsituationen wie Remote Work der gesamten Belegschaft.
Ihre Herausforderung besteht also darin, die Prinzipien des Zero Trust effizient umzusetzen. Dies kann mit standortunabhängigen Sicherheitsmaßnahmen, die dafür sorgen, dass nur entsprechend autorisierten Mitarbeitern zum richtigen Zeitpunkt der Zugriff auf Unternehmensressourcen gewährt wird.
- Das Homeoffice und die Sicherheit
- SASE: Flexibles Konzept für Cloud- und Netzwerksicherheit
Lesen Sie mehr zum Thema
