Informationssicherheit in Zeiten von Corona

Im Zuge der Pandemie erfolgte vielerorts eine fast unvorbereitete Migration ins Homeoffice. Organisationen, die schon vor der Pandemie digitale Arbeitsmodelle umgesetzt und eine flächendeckende Nutzung von Tools verfolgt haben, konnten größtenteils unterbrechungsfrei weiterarbeiten. Nach einer repräsentativen Umfrage der Bitkom (2020) war das Homeoffice vor der Pandemie allerdings eher die Ausnahme in Deutschland. Für die meisten Unternehmen kamen daher viele neue Themen von heute auf morgen auf die Agenda, um den Geschäftsbetrieb um jeden Preis sicherstellen zu können. Dabei war die Cyberabsicherung nicht immer im engeren Fokus. Gerade Unternehmen, die Beschäftigte an Verwaltungs- und Produktionsstätten mit festen Desktop-Arbeitsplätzen ausgestattet haben, stellte die andauernde Pandemie vor Herausforderungen. Es musste u. a. ein Angebot geschaffen werden, damit die Beschäftigten aus dem Homeoffice weiterarbeiten können und ggfs. auch externe Dienstleister weiterhin notwendige Unterstützungsleistungen erledigen können, ohne vor Ort anwesend zu sein.

Ein prominenter Leitsatz für die unternehmerische Zukunft inmitten der Pandemie wurde der „Digital by Default“ Ansatz. Im Wesentlichen beschreibt der Ansatz ein Selbstverständnis, dass das Geschäft standardmäßig vollständig digital erfolgt und die interne und externe Zusammenarbeit maßgeblich über Kollaborationstools ermöglicht wird. Auch sind nach diesem Ansatz Geschäftsprozesse zweckmäßig digital ausgerichtet und Informationen werden digital verarbeitet. Das umfasst vielerorts auch die Nutzung von Cloud Services als sichere und kosteneffiziente Möglichkeit für den ortsunabhängigen Zugriff auf die IT-Architektur durch die Beschäftigten und Partner. Die außergewöhnliche Situation in der Pandemie hat die Prioritäten verschoben. Die Bereitschaft „neue“ Arbeitsmodelle zu nutzen, ist deutlich gestiegen, ohne die Sicherheit zu vernachlässigen.

Die ungewisse Zukunft im Zusammenhang mit der Pandemie bleibt bestehen. Vielerorts steht die Sicherstellung des Geschäftsbetriebs ganz oben auf der Liste strategischer Maßnahmen. Unternehmen fokussieren sich auf die Optimierung von Arbeitsmodellen, Geschäftsprozessen und technischer Ausstattung. Dies bestätigte eine Umfrage des Branchenverbands Bitkom (2), wonach die große Mehrheit befragter Organisationen sich für eine dauerhaft stärkere Nutzung des Homeoffice aussprechen. Vielerorts wurden Arbeitskonzepte für die neue Realität überarbeitet, um Arbeitnehmer zu befähigen, dauerhaft von jedem Ort aus arbeiten können. So beschreitet das Biotechnologie- und Pharmaunternehmen Novartis (3) digitale Wege und erlaubt allen 110.000 Beschäftigen das Homeoffice für immer. Der CEO des kanadischen E-Commerce-Unternehmens Shopify Inc. rief sogar das Ende der „Bürozentrierung“ aus (4). Die neuen Rahmenbedingungen führen einerseits zu einer umfangreichen Digitalisierung von Arbeitsabläufen (denn ohne vollständig digital vorliegende Informationen und entsprechende technische Unterstützung können Tätigkeiten aus der Ferne nicht erfolgen), andererseits geht eine entsprechende Flexibilisierung der Arbeit damit einher. Die veränderten Rahmenbedingungen sind auch für die Zusammenarbeit und die Kultur von Organisationen von besonderer Bedeutung. Teams sind gezwungen, sich virtuell zu mobilisieren und zu koordinieren, da der spontane Austausch in der Mittagspause oder in der Kaffeeecke derzeit nicht möglich sind.

Mobiles Arbeiten steht derzeit im Mittelpunkt. Die Schattenseiten werden leider nur wenig bzw. spät betrachtet. Die wenigsten Organisationen konnten sich bei der Geschwindigkeit der pandemiebedingten „Spontan-Digitalisierung“ um alle gebotenen Aspekte der Sicherheit kümmern. Digitale Werkzeuge und notwendige Infrastrukturen, welche die Erbringung von Geschäftsprozessen im „new normal“ ermöglichen bzw. deren Ablauf sogar optimieren, stellen jedoch auch zusätzliche Angriffsvektoren und somit Risiken dar.

Nach mehr als einem Jahr Pandemie zeichnet sich ab, dass die durch COVID-19 geänderten Arbeitsmodelle im Kern bestehen bleiben werden. Somit ist die Pandemie-Situation als Begründung, um von Sicherheitsstandards „übergangsweise“ abzuweichen, nicht mehr tragfähig. Video Conferencing oder die Nutzung von Cloud Services erst einmal einzuführen und ggfs. auch unsichere Angebote zu nutzen, da diese schnell nutzbar sind, ohne Sicherheits- und Datenschutzaspekte zu berücksichtigen, kann nun eigentlich nicht mehr belastbar begründet werden. Ganzheitliche Konzepte zur Absicherung sind notwendig, nicht nur Maßnahmen zur Sicherstellung des Geschäftsbetriebs.

Bei der Umstellung auf mobiles Arbeiten und der verstärkten Nutzung von digitalen Lösungen, gilt es die betriebliche Sicherheit entsprechend der neuen Rahmenbedingungen und Einsatzzwecke zu definieren. Um die neuen Herausforderungen der virtuellen Arbeitsumgebung zu bewältigen, müssen Unternehmen ihr verändertes Risikoprofil verstehen und ergänzende Sicherheitsmaßnahmen formulieren. Sicherheitsstrategien sowie Sicherheits- und Schulungskonzepte müssen an das neue Risikoprofil ausgerichtet werden, so dass auch durch mobiles Arbeiten bzw. beim Arbeiten im Homeoffice notwendige Sicherheitsstandards eingehalten werden.

Um ein effektives Sicherheitsniveau zu gewährleisten, ist eine ganzheitliche IT- und Datensicherheitsstrategie notwendig, inklusive privater bzw. im privaten Umfeld genutzte Hardware. Nachfolgend werden wesentliche Handlungsfelder aufgezeigt, die berücksichtigt werden sollten, um ein Mindestmaß an Sicherheit für die Organisation zu gewährleisten.

1) Neue Realität erkennen und verstehen: Erhöhte Bedrohungslage.
Sicherheitsbehörden (5) warnen vor der erhöhten Bedrohungslage und davor, dass die Cyberrisiken über Geschäftspartner und Dritte zunehmen. Um resilient zu bleiben, ist es wichtig, die Position des Unternehmens im Cyber-Ökosystem sowie die potenziellen Angriffsvektoren zu identifizieren und zu bewerten. Ein häufiges Ziel sind dabei Kommunikationsdaten mit externen Empfängern.

Organisationen müssen ihre Sicherheitsmaßnahmen der gegebenen Situation anpassen und u. a. auf die neue Arbeitssituation im Homeoffice ausweiten. Hacker zielen weiterhin auf Kritische Infrastrukturen mit wichtiger Bedeutung für das staatliche Gemeinwesen, wie die Bereiche Gesundheit, das Finanz- und Versicherungswesen und staatliche Verwaltungseinrichtungen. Infrastrukturen sollen nicht nur sabotiert, sondern auch vertrauliche Daten gestohlen und ggfs. Lösegelder erpresst werden.
Von Februar bis April 2020 nahmen beispielsweise die Cyberangriffe auf den Finanzsektor inmitten der SARS-CoV-2 Verbreitung um 238 Prozent zu. Neben der enormen Zunahme von Cyberangriffen, gaben die meisten befragten Finanzinstituten an, dass Cyberkriminelle ausgefeilter geworden sind und gezielte Social-Engineering-Angriffe und fortschrittliche Taktiken, Techniken und Verfahren einsetzen, um böswillige/schädliche Aktivitäten zu verbergen. Diese Kriminellen nutzen das Vertrauen von Endverbraucherinnen und Endverbrauchern sowie Fehler und Schwächen der Prozesse und Technologie aus, um sich Informationen für den unberechtigten Zugriff zu vertraulichen Informationen zu verschaffen.  
Auch wenn die Anzahl der Angriffe stetig steigt sind die Angriffsmuster gleichgeblieben.
Trojaner wie Kryptik und Schadprogramme wie Emotet gehören weiterhin zu den Top-Angriffen in verschiedenen Sektoren, einschließlich der Finanzbranche (6). Ausgeklügelte, hybride Angriffe, wie die toxische Mischung aus Social Engineering, Emotet, Trickbot und Ryuk-Ransomware, bilden nur die Spitze des Eisbergs der Bedrohungslage im Cyberraum. Im Fokus der Angriffe stehen nicht nur die Infrastrukturen und Technik, sondern insbesondere auch die Beschäftigten. Ziel sind Datendiebstahl, Industriespionage oder Sabotage.
Die geänderte Arbeitsweise hat die Angriffsvektoren erhöht, da nun u. a. auch Teile der privaten Infrastruktur verstärkt genutzt werden. Die Nutzung privater Endgeräte für Unternehmenszwecke erfolgt meist unkontrolliert. Vertrauliche und unternehmenskritische Daten werden auf privaten Endgeräten geteilt und abgelegt. Das heimische WLAN ist dabei nicht immer mit einem starken Passwort gesichert. Dabei werden die Risiken nicht angemessen gesteuert und überwacht.

Die Sicherheitsmaßnahmen sollten insbesondere folgende Dinge im Fokus haben:

• Die kritischen Prozesse und Systeme sowie Informationen müssen identifiziert und besonders geschützt werden vor unberechtigten Zugriffen und ungewollter Veränderung.
• Relevante Services und Daten müssen stets verfügbar sein. Im Rahmen einer Business Continuity Strategie müssen relevante Handlungsfelder im Vorfeld identifiziert und Umsetzungspläne für den Ernstfall vorgehalten werden. Jeder muss im Falle des Falls wissen, was konkret zu tun ist.
• Beschäftigte müssen für Risiken sensibilisiert und trainiert werden. Machen Sie die Mitarbeiter auf eine erwartete Zunahme von Phishing-Versuchen aufmerksam.
• Unmissverständliche und verbindliche Regelungen zum Einsatz und der Nutzung der IT- und Datensicherheit sind notwendig.
• Die mobilen und Heimarbeitsplätze (Endgeräte, Zubehör und Router) sind auch ausreichend zu schützen, mit technischen und organisatorischen Maßnahmen. Der Einsatz von privaten Endgeräten (Laptops, Tablets, oder Smartphones) sollte nur in Sonderfällen und im Sinne eines Business Continuity Managements gestattet sein. Es sollten Sicherheitsrisiken evaluiert, einheitliche Regelungen kommuniziert und die Nutzungsnotwendigkeit privater mobiler Endgeräte eingeschränkt werden.
• Sicherheitsmaßnahmen sollten nicht nur effektiv, sondern auch sinnvoll und für die Beschäftigten verständlich sein.

2) Absicherung der Infrastrukturen: Sicherheit der Systeme kontinuierlich gewährleisten.
Die intensivere Nutzung des Homeoffice führte jüngst bei einer Vielzahl von Unternehmen zur spontanen Erweiterung der genutzten IT-Landschaft. Pandemiebedingte Neuerungen folgen zwar meist dem pragmatischen Ansatz der Sicherstellung der Aufgabenerfüllung, allerdings werden bei spontanen Lösungen für mobiles Arbeiten in der Regel nicht alle Anforderungen der IT-Sicherheit konsequent beleuchtet und vollständig umgesetzt.

Obwohl die Auswahl der richtigen Technologie von entscheidender Bedeutung ist, ist auch eine entsprechende Härtung und die Nutzung von verschiedenen Sicherheitsfunktionalitäten auf der Netzwerk-, Server- und Application-Ebene relevant. Die Übernahme von Hersteller-Default-Einstellungen bietet keinen ausreichenden Schutz.
Organisationen sollten zentral gesteuerte Cloud-Lösungen als Schnittstelle zwischen dem privaten Endgerät und der Unternehmensinfrastruktur implementieren, um eine Direktanbindung zu vermeiden und die Sicherheit aufrechtzuerhalten.
Durch Unachtsamkeit entstehen Fehler: Schnellere und stabile Netzanschlüsse, der Aufbau von VPN-Lösungen sowie die Anschaffung geeigneter Hardware können nur im Idealfall ad-hoc aufgebaut oder integritätssicher bewerkstelligt werden. So kann beispielsweise die Umstellung auf neue Infrastrukturen und begleitende Prozesse dazu führen, dass Schwachstellen in vorhandenen Remote-Work-Technologien unentdeckt ausgenutzt werden.

Trotz der herausfordernden Situation sollte auch bei der Einrichtung von Homeoffice-Arbeitsplätzen die IT-Sicherheit angemessen berücksichtigt werden. Idealerweise greifen Sie aus Ihrem Heimarbeitsplatz über einen kryptografisch abgesicherten Kommunikationskanal (Virtual Private Network, VPN) auf interne Ressourcen Ihres Unternehmens zu. Da VPNs rund um die Uhr verfügbar sein müssen, ist es weniger wahrscheinlich, dass diese regelmäßig mit Sicherheitsupdates und Patches auf dem neuesten Stand gehalten werden.
VPNs, Netzwerkinfrastruktur und Geräte, die zum Remote-Zugriff eingesetzt werden, müssen mit den aktuellen Sicherheitspatches und -konfigurationen versehen sein. Es sollte geprüft werden, inwieweit die VPN-Infrastruktur skalierbar und für die Massenverwendung tauglich ist. Bei verringerter Verfügbarkeit können kritische Geschäftsvorgänge beeinträchtigt werden, einschließlich der Fähigkeit des IT-Sicherheitspersonals, Sicherheitsaufgaben auszuführen.

Es ist schwierig genug, sich intern auf eine mobile Arbeitsumgebung vorzubereiten, aber noch schwieriger, die Sicherheitsfeatures von Anbietern zu überprüfen, die von IT-Dienstleistern über Outsourcing-Unternehmen für Geschäftsprozesse bis hin zu Partnerunternehmen reichen.

Um diese Risiken zu verringern, sollten folgenden Aspekte berücksichtigt werden:

• Der Zugriff auf die Systeme und Daten sollte ausschließlich über eine entsprechende Infrastruktur bzw. ein skalierbares VPN unter Nutzung einer Multi-Faktor-Authentisierung erfolgen.
• Die eingesetzte Technik und eingekaufte Services müssen abgesichert und stets beobachtet werden. Das regelmäßige Einspielen sicherheitsrelevanter Patches und Updates, die Durchführung von Tests und die Prüfung der Sicherheitsstandards sind wichtig, um bspw. Konfigurationsabweichungen zu identifizieren und dokumentieren.
• Unzureichend getestete neue Technologien und digitale Produkte, die schnell eingesetzt werden, um die Kundenanforderungen während der Pandemie zu erfüllen, wie z. B. Chatbots für den Kundendienst und Anwendungen zur Durchführung von Videokonferenzen.
• Die Infrastruktur sollte ständig beobachtet werden, um ungewöhnliches Verhalten und Datenflüsse frühzeitig zu erkennen und zu melden. Der Zugriff auf Informationen sollte restriktiv und ausschließlich nach dem Need-to-Know-Prinzip erfolgen. Auch sollte geprüft werden, inwieweit zentrale Schutzmaßnahmen, wie z. B. eine Data Leakage Prevention (DLP) Lösung, implementiert werden sollte, um zu klassifizieren und ein Abfließen vertraulicher Daten zu erkennen.
• Datensicherungs- und Backup-Konzepte sind wichtig, um im Falle eines Datenverlusts oder -verfälschung stets auf belastbare Kopien zurückgreifen zu können. Die Trennung von der Produktivumgebung ist dabei wichtig und der Adminstratorenzugriff auf den Wirkbetrieb sollte auf das absolute Mindestmaß beschränkt sein.

3) „Das menschliche Element“: Nutzeraktivitäten als Cyberbedrohung
Die Zeiten sind vorbei, in denen die Cybersicherheit ausschließlich in der Verantwortung der IT-Abteilung liegt. Als Querschnittsaufgabe ist Cybersicherheit heute jedermanns Sache. Häufiger Schwachpunkt in der operativen Sicherheit bilden die Nutzer bzw. Endverbraucher. Eine große Anzahl erfolgreicher Cyberangriffe wird durch menschliches Versagen verursacht. Heute sind Phishing-Attacken der gängigste soziale Angriff.
Mit Blick auf bestehende präventive Mechanismen kann Sicherheitssoftware allein keine Lösung sein. Beschäftigte sollten durch Schulungen auch insbesondere für die Gefahren von nicht-technischen Angriffen sensibilisiert werden.

Die Nutzer sind zu Hause wahrscheinlich sogar anfälliger für Cyber-Angriffe aus dem Bereich „Social Engineering“. Beim Social Engineering kommen nicht immer Methoden über das Internet zum Einsatz. Denkbar sind etwa Telefonate, die ein eiliges Vorgehen bei einem fiktiven Netzwerkproblem verlangen, so dass die angerufene Person Login-Daten preisgibt.

Die gängigsten Bedrohungsszenarien für Beschäftigte sind:

• Phishing-Angriffe: Eine Form des Social-Engineering-Angriffs, bei dem sich ein Angreifer als vertrauenswürdigen Absender ausgibt und den Empfänger auffordert, Malware-Anhänge zu öffnen oder kompromittierte URLs zu besuchen. In der Vergangenheit erfolgten viele Phishing-Angriffe in Form von Massennachrichten. Heutige Attacken sind personalisiert.
• Spoofing: Die häufigsten Arten des Spoofings sind Displaynamen-Spoofing und Cousin-Domains. Beim Displaynamen-Spoofing, auch Namensverschleierung genannt, verwendet der Phisher einen legitimen Unternehmensnamen als E-Mail-Absender. Eine Cousin-Domain gleicht äußerlich einer legitimen E-Mail-Adresse, wurde jedoch leicht verändert. (7)
• Man-in-the-Middle (MITM)-Angriffe: Ist eine Angriffsform, bei dem ein Angreifer unbemerkt zwischen zwei Kommunikationspartnern steht und Datenverkehr abfängt. Dabei haben Cyberkriminelle meist vollständige Kontrolle über den Netzverkehr der Netzwerkteilnehmer und kann die Informationen nach Belieben einsehen und verfälschen. (8)
• Business-E-Mail Compromise (BEC)-Angriffe: Eine gezielte Form des E-Mail-Betrugs, der Personen im Unternehmen nachahmt, um betrügerische Überweisungen zu erbitten, Unternehmensdaten, Anmeldedaten und andere vertrauliche Daten zu stehlen.
• Malware-Angriffe: Zielen darauf ab, mit Hilfe von Schadprogramme Endgeräte von Betroffenen zu beschädigen, auszuspionieren oder zu bestehlen. Zu den verschiedenen Arten von Malware gehören u.a. Trojaner, Ransomware, Spyware, aber auch Crypto-Miner. Ransomware wird unter anderem via E-Mail-Anhänge, infizierte Programme und kompromittierte Websites verteilt. (9)

Um gängige Angriffsszenarien im Rahmen neuer Arbeitsmodelle erfolgreich abzuwehren, muss eine Organisation auch Resilienz gegen nicht-technische Angriffe entwickeln. Maßgeblich ist dabei die Sensibilisierung der Beschäftigten und die Unterstützung durch einfache Regelungen. Nachfolgende Maßnahmen sollten umgesetzt werden: 

• Einfache Maßnahmen (z. B. Durchführung regelmäßiger Backups), die sofort umgesetzt werden können und direkte Wirkung haben, sollten zuerst bearbeitet werden.
• Alle Angriffsvektoren in der Organisation sollten gesamthaft analysiert werden und die relevanten Bereiche und Themen, wo Vorgaben und Abläufe den Beschäftigten helfen, sollten identifiziert werden.
• Bestehende Regelungen sollten überprüft und ggfs. überarbeitet werden. Die Regelungen müssen in Zielsetzung und Umsetzung verständlich sein.
• Zielgruppenspezifische Angebote sollten ausgearbeitet werden, um die Vorgaben und Abläufe allen auf einfache Art und Weise näher zu bringen, und um für die Zielsetzung der Maßnahmen zu werben.
• Eine offene Feedbackkultur sollte etabliert werden. Führungskräfte und Beschäftigte sollten aktiv in die Etablierung der Sicherheitsmaßnahmen involviert werden, um ein Höchstmaß an Akzeptanz zu erlangen.
• Während strukturierte jährliche oder halbjährliche Schulungen zu empfehlen sind, sollten Beschäftigte auch spontanes Training erhalten, wenn ein Angriff erfolgt ist. Personen müssen über Risiken informiert und an ihre Rolle bei der wirksamen Verhinderung, Erkennung, Reaktion auf und Wiederherstellung von Cyber-Angriffen erinnert werden.

Unternehmen und Organisationen mussten kurzfristig auf die durch SARS-CoV-2 geänderten Rahmenbedingungen reagieren. Im Fokus stand die Sicherstellung der geschäftlichen Tätigkeiten. Inmitten der Pandemie nimmt die Cyberkriminalität zu - Kriminelle versuchen auch im Cyberraum Profit zu machen. Mit den veränderten Arbeitsmodellen und der vermehrten Arbeit aus dem Homeoffice änderte sich auch das Risikoprofil der Organisationen. Die reine Umstellung auf digitale Abläufe und die Nutzung neuer Tools stellen einerseits neue Möglichkeiten der Zusammenarbeit dar, gleichzeitig ist es jedoch nicht ausreichend ohne gezielte Sicherheitsmaßnahmen auf die geänderte Betreuungslage zu reagieren. Ein neues Bewusstsein und neue Ansätze sind notwendig.

Wir alle müssen Cyber- und Informationssicherheit als das begreifen, was es ist: eine Querschnittsaufgabe par excellence. Von branchenspezifischen Sicherheitsanforderungen, über neue Technologielösungen, bis hin zur Schulung und Sensibilisierung aller Beschäftigten, nichts darf unadressiert bleiben, wenn wir den heutigen Herausforderungen auf Augenhöhe begegnen und den künftigen Risiken mindestens einen Schritt voraus sein wollen.