Der Feind in den eigenen Reihen

Gefahrenherd Homeoffice

von - 27.08.2020
In Zeiten von Corona ziehen viele Mitarbeiter freiwillig oder gezwungenermaßen ins Homeoffice. Das Büro in den eigenen vier Wänden ist aber besonders gefährdet, weil es private und geschäftliche Risiken verbindet. Nun rächt sich, dass viele Firmen Homeoffice bislang ablehnten. Bromium-Manager Koehler führt aus: „Die im Unternehmen getroffenen Sicherheitsmaßnahmen können zu Hause oft nicht uneingeschränkt greifen. Ein Beispiel dafür sind nicht ausreichend gesicherte WLAN-Router.“ Hinzu kommt, dass Hacker die Ängste und Hoffnungen der Menschen ausnutzen und infizierte Corona-E-Mails mit Horrormeldungen oder Wundermitteln verschicken.
NTT-Experte Christopher Schmid betont, dass viele Mitarbeiter bisher keine Erfahrung mit der Arbeit im Homeoffice haben. „Die wenigsten davon dürften ein gezielt auf ein Arbeiten im Homeoffice abgestimmtes Sicherheitstraining bekommen haben. Einige Firmen dürften nicht einmal Policies haben, mit denen Sicherheitsregeln fürs Homeoffice-Arbeiten festlegt sind.“ Das Problem, so Schmid: Im Homeoffice kommen private und firmengestützte IT zusammen. „Was wird auf welchen Geräten erledigt? Berufliche Aktivitäten wie Telefon- und Videokonferenzen werden unter Umständen außerhalb des Firmennetzwerks durchgeführt, also auf Privatgeräten oder auf Firmenrechnern ohne aktivierten VPN-Zugang.“
Bogdan Botezatu ist ebenfalls besorgt: „Homeoffice birgt grundsätzlich aus mehreren Gründen Risiken. Hier einige Beispiele, über die man nachdenken sollte: Das IT-Sicherheitsteam verfügt vielleicht über Sensoren innerhalb des Unternehmensnetzwerks, um bei Traffic-Anomalien oder verdächtigem Verhalten zu warnen. Da wir jetzt zu Hause in unserem eigenen Netzwerk sind, hat die IT-Sicherheit keine Ahnung, was durch unser Netzwerk geht. Wir könnten eine unangemessene Sicherheitskonfiguration haben oder Router mit veralteter Firmware. Wenn unsere Büronetzwerke auf Zero-Trust-Sicherheit basieren, dann sind unsere Netzwerke im Homeoffice genau das Gegenteil. Wir nutzen vielleicht zudem anfällige IoT-Geräte, die sich von Angreifern dazu verwenden lassen, andere Geräte zu kompromittieren. Zu Hause haben mehr unternehmensfremde Personen Zugriff auf die Geschäftsgeräte wie Laptops oder Smartphones.“
BT-Manager Knothe sieht besondere Gefahren vor allem für Unternehmen, die sich in ihren Sicherheitsbemühungen bisher nur innerhalb der Grenzen des eigenen Perimeters bewegt haben. „Wer sich bereits im Vorfeld darum gekümmert hat, Mitarbeiter außerhalb des eigenen Netzwerks zu schützen, ist eindeutig im Vorteil.“

Gegenmaßnahmen

Unternehmen können verschiedene Strategien verfolgen und Produkte nutzen, um dem Sicherheitsrisiko durch die Mitarbeiter zu begegnen. Bromium etwa setzt mit seiner Lösung auf Isolation statt Detektion. Das technische Fundament bildet eine Mikro-Virtualisierung. Sie kapselt jede riskante Anwenderaktivität wie einen Anhang öffnen, ein Dokument herunterladen oder eine Webseite aufrufen in einer eigenen Micro-Virtual-Machine, die nach jeder Aktion automatisch wieder gelöscht wird. „Eine Infizierung des Endgeräts mit Schad-Software - auch mit neuer, bisher unbekannter - ist damit nahezu ausgeschlossen“, erklärt Jochen Koehler.
Teamviewer wiederum, so berichtet Apurba Bhangale, sensibilisiert die Mitarbeiter und ihr Sicherheitsbewusstsein kontinuierlich. Dazu werde in All-hands-Meetings mit der ganzen Belegschaft die Bedeutung von IT-Security besonders betont und es gebe regelmäßige Workshops, in denen auf die geltenden IT-Security-Policies hingewiesen werde. IT-Security-Best-Practices seien außerdem fester Bestandteil des Onboarding-Programms für neue Mitarbeiter und man informiere auch regelmäßig per E-Mail über neue Angriffsmethoden.
In vielen Unternehmen aber befindet sich das Sicherheitsbewusstsein der Mitarbeiter in einem Dornröschenschlaf. „Viele reden drüber, aber wenige Vorstände und Entscheider wollen Security Awareness nachhaltig finanzieren und wenige haben sie ganzheitlich umgesetzt. Teure Tools zu implementieren reicht nicht aus und vermag fehlende Security Awareness nicht zu kompensieren. Vor allem KMUs haben bei dem Thema einen großen Nachholbedarf“, konstatiert Christopher Schmid.
Egon Kando
Egon Kando
Area Vice President of Sales Central, Southern
and Eastern Europe bei Exabeam
www.exabeam.com
Foto: Exabeam
„Cyberkriminelle sind mittlerweile so gut darin, Netzwerke zu infiltrieren, dass es oft
eher darum geht, Angriffe möglichst frühzeitig zu erkennen, bevor sie Schaden anrichten können.“
Egon Kando, Area VP beim SIEM-Unternehmen Exabeam, sieht sehr große Unterschiede, wie Branchen mit dem Thema Security Awareness umgehen. „Generell kann man sagen, dass Unternehmen mehr in Schulungen investieren, je wichtiger die von ihnen verwalteten Daten sind. Verbesserungspotenzial gibt es vor allem dabei, auch Schulungen zur Auffrischung anzubieten. Die Bedrohungslage und die Angriffsvektoren verändern sich sehr schnell und Mitarbeiter sollten regelmäßig geschult werden, um sie auch für die neuesten Angriffsmuster zu sensibilisieren.“
Christian Knothe zufolge hat sich die Lage in den vergangenen Jahren verbessert, sie sei aber noch nicht optimal. „Der Grad der Security Awareness in Unternehmen ist dabei nicht nur eine Frage von Trainings, sondern spiegelt auch die generelle Unternehmenskultur wider. Die Arbeit wird niemals aufhören.“
Verwandte Themen