Angriff aufs Homeoffice

Wenig Fantasie braucht es auch, um sich vorzustellen, dass das Homeoffice auch 2021 zu den häufigsten Angriffszielen der Cyberkriminellen gehört. In den Worten von Stefan Wehrhahn, Country Manager DACH bei BullGuard: „Auch in diesem Jahr werden viele Menschen im Homeoffice arbeiten. Deshalb bleiben die damit verbundenen zusätzlichen IT-Security-Risiken bestehen. Nicht nur das Unternehmen selbst, sondern jeder einzelne Mitarbeiter ist jetzt ein potenzielles Angriffsziel. Vor allem Phishing-Mails und fingierte Webseiten sind derzeit besonders oft zu beobachten. Diese Bedrohungslage ist jedoch gerade vielen kleineren Unternehmen nach wie vor nicht ausreichend bekannt.“

Pascal Jacober, Regional Sales Director EMEA Central bei Ping Identity, macht darauf aufmerksam, dass „sich auch in großen, international agierenden Banken die Mitarbeiter nun zum ersten Mal überhaupt mit Themen wie Phishing, sicheren Netzwerken und Ähnlichem auseinandersetzen müssen. Denn bis zum Beginn der Pandemie haben sie nie von zu Hause aus gearbeitet.“ Das wirft für ihn die Frage auf, wie man bei Personen, die sich bislang nicht mit derlei Themen zu befassen brauchten, auf die Schnelle ein Bewusstsein dafür schafft.

Der Identity-Management-Spezialist  Ping Identity befürchtet sogar, dass 2021 „das Jahr des Datenlecks“ wird. Hauptgrund: Eine große Menge vertraulicher Unternehmensdaten befinde sich aufgrund des Corona-bedingten Remote-Working-Booms außerhalb der Firmeninfrastrukturen. Das sei „im schlimmsten Fall ein All-you-can-eat-Buffet für Cyberkriminelle“.

Ping Identity berichtet außerdem vom Comeback eines eigentlich schon abgehakten Sicherheitsthemas: Schatten-IT sei in den letzten Monaten wieder stark aufgeflammt. 2020 gab es laut Ping „eine wahre Explosion bei der Nutzung unreglementierter IT-Lösungen im Unternehmensumfeld“. Gerade Führungskräfte, die sich im Arbeitsalltag kaum mit IT und entsprechenden Gefahren auseinandersetzen, seien dabei besonders anfällig, da für sie oft nur zähle, ihre Aufgaben zu erledigen - egal wie. Auch deshalb sagt Ping Indentity für 2021 besonders viele Datenlecks voraus: „Unternehmenskritische Daten wandern in nicht ausreichend abgesicherte, nicht Compliance-konforme Cloud-Speicher. Cyberkriminelle sind sich dessen bewusst und zielen bei ihren Angriffen genau darauf ab.“

Thomas Hefner, Sales Director DACH & CEE bei Avast, zieht aus der Bedrohungslage beim Homeoffice den Schluss: „Die Themen Patch Management und Remote Work werden uns auch im neuen Jahr beschäftigen.“ Er geht davon aus, „dass gezielte Attacken auf die VPN-Infrastrukturen und Remote-Desktop-Anwendungen im Vordergrund stehen werden“, weil diese Systeme meist nicht ausreichend geschützt seien und Kriminellen viele Einfallstore in das Unternehmensnetzwerk böten.

Gerald Beuchelt, Chief Information Security Officer bei LogMeIn/LastPass, hat aus diesem Grund „Identität“ als zentralen Sicherheitsaspekt dieser Tage ausgemacht: „Bei Re­mote Work nimmt der Nutzen traditioneller Sicherheits-Tools wie Firewalls ab. Mitarbeiter greifen über verschiedene Geräte und von unterschiedlichen Standorten auf Geschäftsanwendungen zu, was die Absicherung der Unternehmensressourcen erschwert. Zudem unterliegen viele Applikationen und Konten, die Mitarbeiter zur Erledigung ihrer Arbeit nutzen, nicht vollständig der Kontrolle der IT-Teams. Stattdessen werden Unternehmen nach neuen Wegen suchen, um die Identität der Benutzer, aber auch die der Geräte zu schützen. Die Identität wird zum neuen Sicherheitsparameter.“

Beuchelt erwartet deshalb, dass 2021 IT-Teams daran arbeiten werden, eine robustere Strategie für das Identitäts- und Zugriffsmanagement (IAM) umzusetzen - mit Lösungen im Bereich Single Sign-on (SSO), Passwortverwaltung und Multifaktor-Authentifizierung (MFA).

Und noch etwas sagt Beuchelt voraus: „Im Jahr 2021 werden immer mehr Unternehmen passwortlose Authentifizierung einführen.“ Da viele Mitarbeiter auch im Homeoffice zur Mehrfachnutzung von Passwörtern neigen, werde die Rationalisierung und Vereinfachung bei der Anmeldung für Mitarbeiter wichtiger denn je. Heute verbrächten IT-Teams durchschnittlich sechs Stunden pro Woche allein mit passwortbezogenen Fragen. Das werde sich durch Einführung von IAM-Lösungen wie Passwortmanagern, SSO und biometrischer Authentifizierung ändern.

Volkan Yilmaz, Mitgründer von AnkhLabs, sieht deshalb für 2021 einen steigenden Bedarf bei Unternehmen an Zero-Trust-Lösungen voraus. Auch, weil „komplexe Sicherheitslösungen bei Anwendern häufig dazu führen, dass überhaupt keine Schutzmaßnahmen zum Einsatz kommen“.

Die Gefahr durch mangelndes Sicherheitsbewusstsein der Mitarbeiter untermauert die CyberArk-Untersuchung „Remote Work“, für die 2000 von zu Hause arbeitende Personen aus Unternehmen in Deutschland, Frankreich, Großbritannien und den USA befragt wurden. Ein Ergebnis der Studie ist aus Unternehmenssicht besonders bedenklich: 59 Prozent der Befragten geben an, dass sie Wege gefunden haben, die Sicherheitsrichtlinien des Unternehmens zu umgehen, um produktiver zu arbeiten: etwa durch das Versenden von Arbeitsdokumenten an persönliche E-Mail-Adressen, die Weitergabe von Passwörtern oder durch die Installation von Anwendungen. Dabei hat immerhin die Hälfte der Mitarbeiter schon einmal an einem Sicherheitstraining für Remote-Arbeit teilgenommen.

Weitere sicherheitskritische Untersuchungsergebnisse lauten: 91 Prozent der Mitarbeiter verwenden identische Passwörter anwendungs- und geräteübergreifend, 54 Prozent benutzen Firmengeräte für private Tätigkeiten und 34 Prozent erlauben anderen Mitgliedern des Haushalts, ihre Firmengeräte für schulische Tätigkeiten, Spiele oder Online-Bestellungen einzusetzen.

„Die globale Pandemie war bisher der größte Test für die Zukunft der verteilten Arbeit. Und die überwältigende Mehrheit der Mitarbeiter hat dabei alle Herausforderungen gerade auch im Hinblick auf die Vermischung von Privat- und Arbeitsleben hervorragend gemeistert“, betont Michael Kleist, Regional Director DACH bei CyberArk. „Allerdings hat unsere Studie auch das oft noch mangelnde Wissen der Mitarbeiter um die mit dem eigenen Verhalten verbundenen Risiken zutage gefördert. Und dieser Punkt kann für die Zukunft der Homeoffice-Tätigkeit von entscheidender Bedeutung sein. Unternehmen müssen deshalb mehr als bisher in die Sicherheit der Heimarbeitsplätze investieren. Zwingend erforderliche Maßnahmen sind in unseren Augen die Umsetzung eines Least-Privilege-Prinzips, Multifaktor-Authentifizierung und die Überwachung privilegierter Aktivitäten.“