
Flexibles Arbeiten und Remote Work werden immer wichtiger. Daher setzen viele Unternehmen schon heute auf flexible Lösungen statt auf Einzelbüros und feste Arbeitsplätze. Organisationen müssen handeln, um auch die neuen Risiken zu minimieren, die durch eine pandemiebedingte Verlagerung auf mobiles Arbeiten entstehen.
Infolge der Corona-Pandemie standen Firmen und Organisationen im Frühjahr 2020 vor der Herausforderung einerseits neue Hygieneanforderungen und Social Distancing umzusetzen und gleichzeitig ihr Kerngeschäft sicherzustellen. Dabei gewann die Arbeit aus dem Homeoffice zunehmend an Bedeutung. In der Praxis wurden pragmatische Maßnahmen umgesetzt, um den Geschäftsbetrieb aufrechtzuerhalten und den Beschäftigten auch relevante Informationen im Homeoffice zugänglich zu machen.
Bei all den Maßnahmen zur Sicherstellung des Geschäftsbetriebs dürfen Organisationen die Informationssicherheit allerdings nicht aus den Augen verlieren. Cyber-Attacken bilden weiterhin eine ernste Bedrohung für Unternehmen. Umfang und Qualität der Cyber-Angriffe auf Unternehmen haben dramatisch zugenommen. Mit durchschnittlich 322.000 neuen Schadprogramm-Varianten pro Tag für das Jahr 2020 untermauert der Lagebericht des BSI zur IT-Sicherheit in Deutschland unmissverständlich den Status quo (1). Angriffspotentiale haben sich durch mobiles Arbeiten meist auch vereinfacht, da private IT und Infrastrukturkomponenten mit zum Einsatz kommen.
Im Zuge des pandemiebedingten Fokus auf Tele-Arbeit bzw. Homeoffice spielten Sicherheitsthemen oft nur eine untergeordnete Rolle. Die Sicherheit ist bekanntermaßen nur so gut, wie ihr schwächstes Glied. Unternehmen sollten ihre größten Herausforderungen in der Cyberabsicherung kennen und adäquat damit umgehen.
Im Zuge der Pandemie erfolgte vielerorts eine fast unvorbereitete Migration ins Homeoffice. Organisationen, die schon vor der Pandemie digitale Arbeitsmodelle umgesetzt und eine flächendeckende Nutzung von Tools verfolgt haben, konnten größtenteils unterbrechungsfrei weiterarbeiten. Nach einer repräsentativen Umfrage der Bitkom (2020) war das Homeoffice vor der Pandemie allerdings eher die Ausnahme in Deutschland. Für die meisten Unternehmen kamen daher viele neue Themen von heute auf morgen auf die Agenda, um den Geschäftsbetrieb um jeden Preis sicherstellen zu können. Dabei war die Cyberabsicherung nicht immer im engeren Fokus. Gerade Unternehmen, die Beschäftigte an Verwaltungs- und Produktionsstätten mit festen Desktop-Arbeitsplätzen ausgestattet haben, stellte die andauernde Pandemie vor Herausforderungen. Es musste u. a. ein Angebot geschaffen werden, damit die Beschäftigten aus dem Homeoffice weiterarbeiten können und ggfs. auch externe Dienstleister weiterhin notwendige Unterstützungsleistungen erledigen können, ohne vor Ort anwesend zu sein.
Ein prominenter Leitsatz für die unternehmerische Zukunft inmitten der Pandemie wurde der „Digital by Default“ Ansatz. Im Wesentlichen beschreibt der Ansatz ein Selbstverständnis, dass das Geschäft standardmäßig vollständig digital erfolgt und die interne und externe Zusammenarbeit maßgeblich über Kollaborationstools ermöglicht wird. Auch sind nach diesem Ansatz Geschäftsprozesse zweckmäßig digital ausgerichtet und Informationen werden digital verarbeitet. Das umfasst vielerorts auch die Nutzung von Cloud Services als sichere und kosteneffiziente Möglichkeit für den ortsunabhängigen Zugriff auf die IT-Architektur durch die Beschäftigten und Partner. Die außergewöhnliche Situation in der Pandemie hat die Prioritäten verschoben. Die Bereitschaft „neue“ Arbeitsmodelle zu nutzen, ist deutlich gestiegen, ohne die Sicherheit zu vernachlässigen.
Die ungewisse Zukunft im Zusammenhang mit der Pandemie bleibt bestehen. Vielerorts steht die Sicherstellung des Geschäftsbetriebs ganz oben auf der Liste strategischer Maßnahmen. Unternehmen fokussieren sich auf die Optimierung von Arbeitsmodellen, Geschäftsprozessen und technischer Ausstattung. Dies bestätigte eine Umfrage des Branchenverbands Bitkom (2), wonach die große Mehrheit befragter Organisationen sich für eine dauerhaft stärkere Nutzung des Homeoffice aussprechen. Vielerorts wurden Arbeitskonzepte für die neue Realität überarbeitet, um Arbeitnehmer zu befähigen, dauerhaft von jedem Ort aus arbeiten können. So beschreitet das Biotechnologie- und Pharmaunternehmen Novartis (3) digitale Wege und erlaubt allen 110.000 Beschäftigen das Homeoffice für immer. Der CEO des kanadischen E-Commerce-Unternehmens Shopify Inc. rief sogar das Ende der „Bürozentrierung“ aus (4). Die neuen Rahmenbedingungen führen einerseits zu einer umfangreichen Digitalisierung von Arbeitsabläufen (denn ohne vollständig digital vorliegende Informationen und entsprechende technische Unterstützung können Tätigkeiten aus der Ferne nicht erfolgen), andererseits geht eine entsprechende Flexibilisierung der Arbeit damit einher. Die veränderten Rahmenbedingungen sind auch für die Zusammenarbeit und die Kultur von Organisationen von besonderer Bedeutung. Teams sind gezwungen, sich virtuell zu mobilisieren und zu koordinieren, da der spontane Austausch in der Mittagspause oder in der Kaffeeecke derzeit nicht möglich sind.
Mobiles Arbeiten steht derzeit im Mittelpunkt. Die Schattenseiten werden leider nur wenig bzw. spät betrachtet. Die wenigsten Organisationen konnten sich bei der Geschwindigkeit der pandemiebedingten „Spontan-Digitalisierung“ um alle gebotenen Aspekte der Sicherheit kümmern. Digitale Werkzeuge und notwendige Infrastrukturen, welche die Erbringung von Geschäftsprozessen im „new normal“ ermöglichen bzw. deren Ablauf sogar optimieren, stellen jedoch auch zusätzliche Angriffsvektoren und somit Risiken dar.
Nach mehr als einem Jahr Pandemie zeichnet sich ab, dass die durch COVID-19 geänderten Arbeitsmodelle im Kern bestehen bleiben werden. Somit ist die Pandemie-Situation als Begründung, um von Sicherheitsstandards „übergangsweise“ abzuweichen, nicht mehr tragfähig. Video Conferencing oder die Nutzung von Cloud Services erst einmal einzuführen und ggfs. auch unsichere Angebote zu nutzen, da diese schnell nutzbar sind, ohne Sicherheits- und Datenschutzaspekte zu berücksichtigen, kann nun eigentlich nicht mehr belastbar begründet werden. Ganzheitliche Konzepte zur Absicherung sind notwendig, nicht nur Maßnahmen zur Sicherstellung des Geschäftsbetriebs.
Bei der Umstellung auf mobiles Arbeiten und der verstärkten Nutzung von digitalen Lösungen, gilt es die betriebliche Sicherheit entsprechend der neuen Rahmenbedingungen und Einsatzzwecke zu definieren. Um die neuen Herausforderungen der virtuellen Arbeitsumgebung zu bewältigen, müssen Unternehmen ihr verändertes Risikoprofil verstehen und ergänzende Sicherheitsmaßnahmen formulieren. Sicherheitsstrategien sowie Sicherheits- und Schulungskonzepte müssen an das neue Risikoprofil ausgerichtet werden, so dass auch durch mobiles Arbeiten bzw. beim Arbeiten im Homeoffice notwendige Sicherheitsstandards eingehalten werden.
Um ein effektives Sicherheitsniveau zu gewährleisten, ist eine ganzheitliche IT- und Datensicherheitsstrategie notwendig, inklusive privater bzw. im privaten Umfeld genutzte Hardware. Nachfolgend werden wesentliche Handlungsfelder aufgezeigt, die berücksichtigt werden sollten, um ein Mindestmaß an Sicherheit für die Organisation zu gewährleisten.
1) Neue Realität erkennen und verstehen: Erhöhte Bedrohungslage.
Sicherheitsbehörden (5) warnen vor der erhöhten Bedrohungslage und davor, dass die Cyberrisiken über Geschäftspartner und Dritte zunehmen. Um resilient zu bleiben, ist es wichtig, die Position des Unternehmens im Cyber-Ökosystem sowie die potenziellen Angriffsvektoren zu identifizieren und zu bewerten. Ein häufiges Ziel sind dabei Kommunikationsdaten mit externen Empfängern.
Organisationen müssen ihre Sicherheitsmaßnahmen der gegebenen Situation anpassen und u. a. auf die neue Arbeitssituation im Homeoffice ausweiten. Hacker zielen weiterhin auf Kritische Infrastrukturen mit wichtiger Bedeutung für das staatliche Gemeinwesen, wie die Bereiche Gesundheit, das Finanz- und Versicherungswesen und staatliche Verwaltungseinrichtungen. Infrastrukturen sollen nicht nur sabotiert, sondern auch vertrauliche Daten gestohlen und ggfs. Lösegelder erpresst werden.
Von Februar bis April 2020 nahmen beispielsweise die Cyberangriffe auf den Finanzsektor inmitten der SARS-CoV-2 Verbreitung um 238 Prozent zu. Neben der enormen Zunahme von Cyberangriffen, gaben die meisten befragten Finanzinstituten an, dass Cyberkriminelle ausgefeilter geworden sind und gezielte Social-Engineering-Angriffe und fortschrittliche Taktiken, Techniken und Verfahren einsetzen, um böswillige/schädliche Aktivitäten zu verbergen. Diese Kriminellen nutzen das Vertrauen von Endverbraucherinnen und Endverbrauchern sowie Fehler und Schwächen der Prozesse und Technologie aus, um sich Informationen für den unberechtigten Zugriff zu vertraulichen Informationen zu verschaffen.
Auch wenn die Anzahl der Angriffe stetig steigt sind die Angriffsmuster gleichgeblieben.
Trojaner wie Kryptik und Schadprogramme wie Emotet gehören weiterhin zu den Top-Angriffen in verschiedenen Sektoren, einschließlich der Finanzbranche (6). Ausgeklügelte, hybride Angriffe, wie die toxische Mischung aus Social Engineering, Emotet, Trickbot und Ryuk-Ransomware, bilden nur die Spitze des Eisbergs der Bedrohungslage im Cyberraum. Im Fokus der Angriffe stehen nicht nur die Infrastrukturen und Technik, sondern insbesondere auch die Beschäftigten. Ziel sind Datendiebstahl, Industriespionage oder Sabotage.
Die geänderte Arbeitsweise hat die Angriffsvektoren erhöht, da nun u. a. auch Teile der privaten Infrastruktur verstärkt genutzt werden. Die Nutzung privater Endgeräte für Unternehmenszwecke erfolgt meist unkontrolliert. Vertrauliche und unternehmenskritische Daten werden auf privaten Endgeräten geteilt und abgelegt. Das heimische WLAN ist dabei nicht immer mit einem starken Passwort gesichert. Dabei werden die Risiken nicht angemessen gesteuert und überwacht.
Die Sicherheitsmaßnahmen sollten insbesondere folgende Dinge im Fokus haben:
2) Absicherung der Infrastrukturen: Sicherheit der Systeme kontinuierlich gewährleisten.
Die intensivere Nutzung des Homeoffice führte jüngst bei einer Vielzahl von Unternehmen zur spontanen Erweiterung der genutzten IT-Landschaft. Pandemiebedingte Neuerungen folgen zwar meist dem pragmatischen Ansatz der Sicherstellung der Aufgabenerfüllung, allerdings werden bei spontanen Lösungen für mobiles Arbeiten in der Regel nicht alle Anforderungen der IT-Sicherheit konsequent beleuchtet und vollständig umgesetzt.
Obwohl die Auswahl der richtigen Technologie von entscheidender Bedeutung ist, ist auch eine entsprechende Härtung und die Nutzung von verschiedenen Sicherheitsfunktionalitäten auf der Netzwerk-, Server- und Application-Ebene relevant. Die Übernahme von Hersteller-Default-Einstellungen bietet keinen ausreichenden Schutz.
Organisationen sollten zentral gesteuerte Cloud-Lösungen als Schnittstelle zwischen dem privaten Endgerät und der Unternehmensinfrastruktur implementieren, um eine Direktanbindung zu vermeiden und die Sicherheit aufrechtzuerhalten.
Durch Unachtsamkeit entstehen Fehler: Schnellere und stabile Netzanschlüsse, der Aufbau von VPN-Lösungen sowie die Anschaffung geeigneter Hardware können nur im Idealfall ad-hoc aufgebaut oder integritätssicher bewerkstelligt werden. So kann beispielsweise die Umstellung auf neue Infrastrukturen und begleitende Prozesse dazu führen, dass Schwachstellen in vorhandenen Remote-Work-Technologien unentdeckt ausgenutzt werden.
Trotz der herausfordernden Situation sollte auch bei der Einrichtung von Homeoffice-Arbeitsplätzen die IT-Sicherheit angemessen berücksichtigt werden. Idealerweise greifen Sie aus Ihrem Heimarbeitsplatz über einen kryptografisch abgesicherten Kommunikationskanal (Virtual Private Network, VPN) auf interne Ressourcen Ihres Unternehmens zu. Da VPNs rund um die Uhr verfügbar sein müssen, ist es weniger wahrscheinlich, dass diese regelmäßig mit Sicherheitsupdates und Patches auf dem neuesten Stand gehalten werden.
VPNs, Netzwerkinfrastruktur und Geräte, die zum Remote-Zugriff eingesetzt werden, müssen mit den aktuellen Sicherheitspatches und -konfigurationen versehen sein. Es sollte geprüft werden, inwieweit die VPN-Infrastruktur skalierbar und für die Massenverwendung tauglich ist. Bei verringerter Verfügbarkeit können kritische Geschäftsvorgänge beeinträchtigt werden, einschließlich der Fähigkeit des IT-Sicherheitspersonals, Sicherheitsaufgaben auszuführen.
Es ist schwierig genug, sich intern auf eine mobile Arbeitsumgebung vorzubereiten, aber noch schwieriger, die Sicherheitsfeatures von Anbietern zu überprüfen, die von IT-Dienstleistern über Outsourcing-Unternehmen für Geschäftsprozesse bis hin zu Partnerunternehmen reichen.
Um diese Risiken zu verringern, sollten folgenden Aspekte berücksichtigt werden:
3) „Das menschliche Element“: Nutzeraktivitäten als Cyberbedrohung
Die Zeiten sind vorbei, in denen die Cybersicherheit ausschließlich in der Verantwortung der IT-Abteilung liegt. Als Querschnittsaufgabe ist Cybersicherheit heute jedermanns Sache. Häufiger Schwachpunkt in der operativen Sicherheit bilden die Nutzer bzw. Endverbraucher. Eine große Anzahl erfolgreicher Cyberangriffe wird durch menschliches Versagen verursacht. Heute sind Phishing-Attacken der gängigste soziale Angriff.
Mit Blick auf bestehende präventive Mechanismen kann Sicherheitssoftware allein keine Lösung sein. Beschäftigte sollten durch Schulungen auch insbesondere für die Gefahren von nicht-technischen Angriffen sensibilisiert werden.
Die Nutzer sind zu Hause wahrscheinlich sogar anfälliger für Cyber-Angriffe aus dem Bereich „Social Engineering“. Beim Social Engineering kommen nicht immer Methoden über das Internet zum Einsatz. Denkbar sind etwa Telefonate, die ein eiliges Vorgehen bei einem fiktiven Netzwerkproblem verlangen, so dass die angerufene Person Login-Daten preisgibt.
Die gängigsten Bedrohungsszenarien für Beschäftigte sind:
Um gängige Angriffsszenarien im Rahmen neuer Arbeitsmodelle erfolgreich abzuwehren, muss eine Organisation auch Resilienz gegen nicht-technische Angriffe entwickeln. Maßgeblich ist dabei die Sensibilisierung der Beschäftigten und die Unterstützung durch einfache Regelungen. Nachfolgende Maßnahmen sollten umgesetzt werden:
Unternehmen und Organisationen mussten kurzfristig auf die durch SARS-CoV-2 geänderten Rahmenbedingungen reagieren. Im Fokus stand die Sicherstellung der geschäftlichen Tätigkeiten. Inmitten der Pandemie nimmt die Cyberkriminalität zu - Kriminelle versuchen auch im Cyberraum Profit zu machen. Mit den veränderten Arbeitsmodellen und der vermehrten Arbeit aus dem Homeoffice änderte sich auch das Risikoprofil der Organisationen. Die reine Umstellung auf digitale Abläufe und die Nutzung neuer Tools stellen einerseits neue Möglichkeiten der Zusammenarbeit dar, gleichzeitig ist es jedoch nicht ausreichend ohne gezielte Sicherheitsmaßnahmen auf die geänderte Betreuungslage zu reagieren. Ein neues Bewusstsein und neue Ansätze sind notwendig.
Wir alle müssen Cyber- und Informationssicherheit als das begreifen, was es ist: eine Querschnittsaufgabe par excellence. Von branchenspezifischen Sicherheitsanforderungen, über neue Technologielösungen, bis hin zur Schulung und Sensibilisierung aller Beschäftigten, nichts darf unadressiert bleiben, wenn wir den heutigen Herausforderungen auf Augenhöhe begegnen und den künftigen Risiken mindestens einen Schritt voraus sein wollen.
(1) Bundesamt für Sicherheit in der Informationstechnik (BSI) (2020). Die Lage der IT-Sicherheit in Deutschland 2020.
(2)Krösmann, C. & Dr. Klöß, S. (2020). Seit Corona-Ausbruch: Online-Dienste gefragt wie nie. Bitkom
(3) Reidel, M. (2020). Novartis bietet Home-Office für immer an. Horizont.
(4) Tobi Lutke [@tobi]. (2020, 21. Mai) „Shopify ist ab heute standardmäßig ein digitales Unternehmen… [Tweet]. Twitter. https://twitter.com/tobi/status/1263483496087064579?ref_src=twsrc%5Etfw
(5) Vgl. Bundeskriminalamt (BKA) (2020). Sonderauswertung Cybercrime in Zeiten der Corona-Pandemie.
(6) Schmidt, J. (2020). Cybercrime: Erpressung auf neuem Niveau. Heise
(7) Kaspersky Labs GmbH (2020). Die 10 gängigsten Phishing Attacken. Kaspersky
(8) Barth, M. et. al. (2020). Spionage, Sabotage und Datendiebstahl – Wirtschaftsschutz in der vernetzten Welt. Studienbericht 2020. Bitkom.
(9) Bundesamt für Sicherheit in der Informationstechnik (BSI) (2020). Die Lage der IT-Sicherheit in Deutschland 2020.
