Von heute auf morgen ins Homeoffice stellt nicht nur die Mitarbeiter vor eine große Herausforderung. Vor allem Banken, die bisher nie jemanden von zu Hause aus arbeiten haben lassen oder der klassische deutsche Mittelstand, der sich jahrelang mit Händen und Füßen gegen jegliche Homeoffice-Funktionen oder die Cloud gewehrt hat, sind zurzeit gezwungen, ihre Prinzipen über Bord zu werfen.
So wie sie holen viele Unternehmen im Public-Sektor gerade 20 Jahre Versäumnisse nach. Der Schnelldurchgang hat jedoch Folgen: Infrastrukturanbieter kommen nicht hinterher, den Bedarf zu bedienen, Firmen-Laptops werden zur Mangelware, und Cybersecurity wird bei vielen zum Abenteuer.
Informationen zu den Partner-Paketen der Studie Cybersecurity
Die Gefahr im Homeoffice
Für Hacker hingegen kommt diese Ruckzuck-Aktion einem Blumenstrauß an Angriffszielen gleich. Im Fokus stehen dabei unter anderem VPN-Server, denn aufgrund der starken Telearbeit werden VPN-Zugänge zu einem Engpass: Kommt es zu einem Ausfall, ist es nun ungleich schwieriger, sofort zu intervenieren - gerade von außen, weil niemand mehr im eigenen Unternehmen vor Ort ist. Ebenfalls eine beliebte Angriffsfläche ist allen voran der Bereich Online-Handel, bei dem die Abhängigkeit aktuell exorbitant steigt.
So wurde zum Beispiel Lieferando bereits durch einen DDoS-Angriff teilweise lahmgelegt. Der Schaden bei den "Gewinnern" der Pandemie ist plötzlich viel größer als zuvor, obwohl die Angriffe immer noch dieselben sind, nur eben anders fokussiert. Und so werden auch die Mitarbeiter im Homeoffice zur Zielscheibe, vorrangig diejenigen, die ihre privaten Geräte beruflich nutzen: Ohne einheitliche Sicherheits-Policy und entkoppelt vom Unternehmen bieten sie eine ideale Lücke für gezielte Attacken.
Phishing-Angriffe häufen sich in letzter Zeit besonders, denn die Chancen, dass jemand auf einen Anhang oder einen Link klickt, sind im Homeoffice sehr hoch. Zum einen, weil bei einem Angriff über das Firmenpostfach die Möglichkeit zur direkten und unkomplizierten Nachfrage beim Kollegen fehlt, ob er die Mail denn auch bekommen hat. Zum anderen rücken immer häufiger Schüler ins Visier der Angreifer, die für das Homeschooling oftmals die Firmen-Laptops der Eltern verwenden - ein Umweg, der kriminelle Hacker ebenso zu den Daten eines Unternehmens führen kann wie eine Phishing-Mail an den privaten Account - schließlich laufen beide über dasselbe Endgerät.
Natürlich rückt der Endpoint im Bereich Security dadurch in den Fokus, und die Unternehmen zeigten in den vergangenen Wochen ein vermehrtes Interesse an Identity Management und Advanced Authentification. Die Experten sind sich aber einig, dass es viel wichtiger ist, neben einer technischen Lösung und einem sauber umgesetzten, benutzerfreundlichen Zugriffsmanagement die Mitarbeiter für diese Gefahren zu sensibilisieren und die Awareness auch zu schulen.
Mitarbeiter gezielt in die Falle locken!
Wenn es einem aber vorher schon nicht gelungen ist, die Augen der Mitarbeiter für solche Gefahren zu schärfen, wie erreicht man diese dann nun im Homeoffice? Eine Möglichkeit stellen simulierte Phishing-Mails dar. Vom Hinweis der IT, das Postfach sei voll, über die Aufforderung zur Eingabe von Domain-Zugangsdaten bis hin zum Kalendereintrag - hier kann genau nachvollzogen werden, ob und wie die Mitarbeiter darauf reagiert haben.
Wer nach dem Klick eine Nachricht mit einer Einladung zu einer Nachschulung erhält, über die auch der Vorgesetzte informiert wird, der wird in Zukunft sicher keiner Mail mehr blind vertrauen, sondern mit einem Mouse-Over kurz die Domain des Absenders checken. Diese Art des Trainings ist wesentlich effektiver, als die Mitarbeiter einen halben Tag lang in einen Schulungsraum zu stecken und mahnend den Finger zu heben.
Wenn Unternehmen aber ihre Mitarbeiter dahingehend sensibilisieren wollen, wie gefährliche Mails aussehen, dann müssen sie zum einen dafür sorgen, dass dies jeder, von der Sekretärin bis zum IT-Fachmann, versteht. Das bedeutet, man muss die Mitarbeiter entsprechend ihres Wissensstands schulen. Zum anderen muss die Möglichkeit geschaffen werden, neu hinzugekommene Angriffe zu erkennen und Phishing-Emails aus allen Postfächern zu entfernen. Denn es hilft nichts, wenn einer die Attacke entlarvt hat, zehn andere aber in die Falle tappen, weil die Mail nicht aus allen Postfächern gelöscht werden konnte.
Studie "Cybersecurity": Sie können sich noch beteiligen! |
Zum Thema Cybersecurity führt die COMPUTERWOCHE derzeit eine Multi-Client-Studie unter IT-Entscheidern durch. Haben Sie Fragen zu dieser Studie oder wollen Sie Partner werden, helfen Ihnen Frau Regina Hermann (rhermann@idgbusiness.de, Telefon: 089 36086 384) und Frau Nicole Bruder (nbruder@idg.de, Telefon: 089 360 86 137) gerne weiter. Informationen zur Cybersecurity-Studie finden Sie auch hier zum Download (PDF). |
Awareness der Mitarbeiter ist jedoch nur ein Aspekt. Der andere: Unternehmen machen nicht alles selbst, sondern haben dafür Dienstleister. So muss bei einem Angriff auch sichergestellt werden, dass die Maßnahmenkette stimmt. Gerade bei DDos-Attacken wird regelmäßig beobachtet, dass die IT-Serviceketten nicht greifen. Noch immer ist man in antiquierten Deployment-Modellen zu Hause und setzt für die Erkennung häufig Hardwaremodule vor Ort ein, die relativ lange Reaktionszeiten haben und menschliche Intervention nötig machen.
Und dieser manuelle Remote-Eingriff schlägt nicht zuletzt deshalb regelmäßig fehl, weil es durch Freigabeprozesse immer zu einem erheblichen Verzug kommt. Neben dem Aufrüsten auf der technologischen Seite ist es daher auch sehr wichtig zu prüfen, ob die Deployment-Modelle, die Systeme und die Freigabewege noch auf dem neuesten Stand sind und in einer zunehmend digitalen Welt in ihrer bisherigen Form so noch bestehen können.
Um das Zusammenspiel der gesamten IT-Kette zu gewährleisten, sollten die typischen Vorfälle getestet und simuliert werden. Über Security Operation Center, Behavioral Analytics oder Mustererkennung lässt sich das IT-Security-Niveau erhöhen und feststellen, wenn es zu Anomalien kommt. Doch wenn ein Unternehmen 5.000 Mitarbeiter hat und es somit am Tag zu 300 Anomalien kommt, wie soll man diese dann einzeln bewerten? Ein System, das den ganzen Tag Warnungen aussendet, sowie die großen Daten- und Log-Mengen führen unweigerlich zu einer Überlastung des Administrators.
Dort kommen Künstliche Intelligenz und Machine Learning ins Spiel: Sie automatisieren diese Prozesse und verschaffen den Security-Spezialisten Entlastung - diese müssen sich nur noch um die Fälle kümmern, in denen keine Anomalie zu sehen ist. Genauer gesagt: Weil sich ein guter Angreifer nicht durch einen Virenscan oder von Deep Learning aufhalten lässt, gilt es, die schwachen Signale auszuwerten, die darauf hindeuten, dass es eine Hacker-Aktivität an den Sicherheitsmechanismen vorbeigeschafft hat. Die Rolle des IT-Security-Beauftragten wird sich dadurch fundamental ändern. Er wird nicht mehr der Arbeitsknecht bimmelnder Systeme sein, sondern der Entscheider, der die von der KI vorgelegten Ereignisse in gut und böse einstuft.
- Roman Hugelshofer, Airlock
"Die Hacker werden immer einen Schritt voraus sein, deshalb braucht es neben technischer Security auch Investitionen in die Awareness der Mitarbeiter und eine proaktive Überwachung. Aber eine sogenannte Detection, die lediglich erkennt, dass das Unternehmen gehacked wurde, ist zu wenig gut – weil zu spät. Wir sehen, dass sich immer mehr Unternehmen Hilfe bei Managed-Security-Service-Anbietern suchen." - Kevin Switala, Auth0
"Anomalien erkennen ist ein guter Punkt. Das allein reicht aber nicht aus, um die Datensicherheit mit der Benutzerfreundlichkeit in Einklang zu bringen. Was heißt das genau? Wenn ich versuche, das Sicherheitslevel möglichst hoch zu halten, indem Mitarbeiter immer einen zweiten Faktor eingeben müssen, wird sich dieser langfristig einen alternativen Weg suchen, um auf einen Online-Service zuzugreifen. Und mit diesem „Umweg“ könnte er dann die Sicherheit des gesamten Unternehmens gefährden." Wer allerdings die Authentifizierung immer an das Nutzungsszenario koppelt, wird damit keine Probleme haben. Digitale Identitäten und User Experience müssen zusammengedacht werden und dürfen sich nicht ausschließen. Das müssen Unternehmen von Anfang an berücksichtigen." - Josef Meier, Fortinet
"Wir müssen uns auch Gedanken darüber machen, wie zukünftige Attacken ablaufen werden. Wir haben verschiedene Generationen im Unternehmen und bei der jüngeren ist E-Mail nicht mehr das Kommunikationsmedium Nr. 1. Natürlich werden Phishing-Attacken noch über Mail kommen. Aber wie werden Angriffe über Social Media-Kanäle verbreitet, wenn der jüngere Mitarbeiter im Homeoffice neben dem Mail-Programm noch einen Chat offen hat?" - Himanshu Chaudhary, Fujitsu
"Die Automatisierung der Security ist mit einer Restaurantküche vergleichbar: ein ideales Maß an Wirksamkeit bei der Analyse von Sicherheits-Events und der Behandlung der resultierenden Sicherheitsvorfall erreicht man durch einen geschickten Einsatz von Automatisierung, beispielsweise über SOAR-Technologie (Security Orchestration, Automation and Response). Das Geschick dabei ist der zielgerichtete Einsatz der Technik." - Christian Nern, KPMG
"Für ein Unternehmen ist es wichtig zu verstehen, welche Cyber-Bedrohungen zu jedem Zeitpunkt existieren. Gerade in der aktuellen COVID-19-Situation mit starker „remote“-Arbeit ändern sich viele Verhaltensmuster in IT-Netzwerken, sodass Erkennungsregeln und Netzwerkanalysen unzuverlässig reagieren können. Auch der Datenschutz und die Risikosteuerung der Unternehmen müssen regelmäßig angepasst werden, da sich sensible Daten nun oft in privaten Netzwerkumgebungen befinden." - Marc Wilczek, Link11
"Ein selbstlernendes, adaptierendes System ist essentiell. Wir nutzen eine Art Beweislastumkehrverfahren und nehmen den normalen Datenverkehr, mit dem ein Kunde typischerweise arbeitet, auf die Whitelist. Ändern sich die Parameter, indem etwa Angriffe hereinkommen, fällt das sofort als Abweichung auf. So rennt man nie der Bedrohung hinterher und fängt dann an zu patchen, sondern geht immer vorneweg." - Laurent Strauss, Micro Focus
"Es geht darum, zu sensibilisieren und zu automatisieren – eine gesunde Balance im Unternehmen zu haben. Und Lösungen im Einsatz zu haben, die präventiv greifen können. Grundsätzlich viel zu automatisieren ist auf jeden Fall sinnvoll, doch wo es um Managed Services geht, habe ich bei vielen Resistenz gesehen." - Ingo Schaefer, Proofpoint
"Der Angreifer ist den Unternehmen immer einen Schritt voraus. Man muss sich also immer mehr Gedanken darüber machen, wen man im Unternehmen wie schützen muss. Wer wird am meisten angegriffen? Und wenn diese Person angegriffen wird: welche Rolle und welche Rechte hat sie im Unternehmen? Auf welche Daten hat sie Zugriff? Damit befassen sich die Unternehmen immer viel zu wenig." - Michael Veit, Sophos
"Wenn Industrie 4.0 Bestandteil von allen Geschäftsprozessen ist, dann ist IT-Security nochmal extra wichtig. Die Zukunft mit 5G, wo man keine zentrale Netzwerkinfrastruktur mehr hat, die IoT-Systeme trennt und alle miteinander reden, wird die bisherige Security-Landschaft komplett umwerfen." - Andreas Müller, Vectra
"Wir sehen einen große Bewegung Richtung Microsoft 365 und damit eine sehr starke Auslagerung von Lösungen und Diensten in den Bereich Software as a Service sowie in die Cloud. Dadurch kommen neue Angriffsszenarien hoch, deren Absicherung man im klassischen Netzwerk häufig als Standard angesehen und quasi vergessen hat."
Mit Automatisierung und Outsourcing in die Zukunft
In Zukunft wird kein Weg an KI und Automatisierung vorbeiführen, zumal auch IoT immer mehr an Bedeutung gewinnt. Wer versucht, dies mit menschlicher Kapazität oder hausgemachten Lösungen zu stemmen, der wird kläglich scheitern. Herr der Situation kann nur werden, wer mit diesen Technologien das Grundrauschen der breit angelegten Attacken filtert und auf das Outsourcing bestimmter Bereiche setzt. Das ist nicht unbedingt die Paradedisziplin deutscher Unternehmen, über kurz oder lang werden sie aber keine andere Wahl haben, als zu Managed Services zu wechseln.
Zum einen wird sie der Fachkräftemangel zum Umdenken zwingen, zum anderen kann man es sich nicht leisten, die Spezialisten für die Analyse in dem Maße vorzuhalten, wie es vielleicht notwendig ist. Vor dem gleichen Problem stehen übrigens auch die Managed-Services-Provider, die durch starke Vereinfachung und konsequente Automatisierung ebenfalls immer weniger auf den Faktor Mensch setzen werden.
Nicht nur, dass viele Unternehmen generell damit Schwierigkeiten haben, Security auszulagern. Vor allem bei großen Unternehmen, die gesetzlichen Bestimmungen entsprechen müssen, kommt es darauf an, dass sowohl die Vorgaben- als auch die Umsetzungsseite dokumentiert werden. Nicht selten wird diese Aufgabe den Fachbereichen auferlegt, die dann bei der Umsetzung regelmäßig versuchen, das Rad neu zu erfinden. Weil aber Security in Zukunft nicht mehr ein Overlay im Netzwerkbereich sein wird, sondern elementarer Bestandteil jeglicher Fachanwendung, sollte auch versucht werden, Security nicht als Checkliste anzusehen, sondern als Enabler, Dinge in den Fachbereichen umzusetzen. Also wenn nicht jetzt, wann wird die Security Treiber für die Digitalisierung der Banken sein?
Aufgrund der aktuellen Situation sind die Unternehmen mehr darauf bedacht, den Betrieb aufrechtzuerhalten, als sich Gedanken um die Organisation von Managed Security zu machen. Soll ein SoC die Lösung sein, so sollte man sich zuerst auf die wesentlichen Dinge konzentrieren: die großen, kritischen Fälle ansehen und diese mit dem klassischen Notfallmanagementprozess einbauen. Standardanbieter haben hier bereits SoC-Lösungen, die einem quasi als erste Waschmaschine dienen. Dennoch sollte die technische Lösung immer nur ein Teil des Security-Gesamtkonzepts sein, zu dem neben der Awareness der Mitarbeiter auch immer eine Notlösung gehört, um der Bedrohung einen Schritt voraus zu sein.
Informationen zu den Partner-Paketen der Studie Cybersecurity
- Individuelle Lern-Sessions
Bieten Sie spezifische Inhalte für bestimmte User-Gruppen und Fachbereiche an, anstatt auf „one size fits all“ zu setzen. - Überlänge vermeiden
Die Aufmerksamkeitsspanne Ihrer Mitarbeiter ist begrenzt. Einzelne Sessions sollten im Idealfall nicht länger als 30 Minuten in Anspruch nehmen. - Nicht alles auf einmal
IT Security ist ein weites Feld – konzentrieren Sie sich auf die Dinge, mit denen die betreffenden Mitarbeiter in ihrem Arbeitsalltag konfrontiert werden. - Der stete Tropfen
Security Awareness einmal pro Jahr ist keine Lösung. Sorgen Sie für Trainings in regelmäßigen Abständen - nur so klappt es mit dem Awareness-Durchbruch. - Keine alten Kamellen
Hätten Sie große Lust, mehrmals dieselben Lehrinhalte serviert zu bekommen? Eben. Ihre Mitarbeiter auch nicht. - Aktivität einfordern
Eine rein passive Berieselung mit Best Practices aus dem Security-Bereich ist nicht zielführend. Vielmehr sollten Sie Ihre Mitarbeiter aktiv ins Awareness-Training einbeziehen. - C-Level an Bord?
Auch das Management braucht regelmäßige Weiterbildung in Sachen IT-Sicherheit.