Neun von zehn Unternehmen (89 Prozent) der Digitalwirtschaft empfehlen ihren Mitarbeitern, im Home Office zu arbeiten. Zwei Drittel (64 Prozent) haben das sogar angeordnet. Unter dem Eindruck der Corona-Krise wird flexibles Arbeiten zum Standard, erklärt der Digitalverband Bitkom.
Doch was bedeutet diese Entwicklung für die Security? Hierüber haben sich zahlreiche IT-Sicherheitsexperten Gedanken gemacht, sind auf Einladung der COMPUTERWOCHE zusammengekommen und haben sich ausgetauscht. Dabei zeigte sich ein deutlicher Handlungsbedarf in der Cybersecurity, sowohl während der Corona-Pandemie als auch nach der Bewältigung der Krise.
"Die Corona-Krise hat zu einem Digitalisierungsschub in Deutschland geführt. Dabei wurde die Bedeutung von Datenschutz und Datensicherheit besonders sichtbar", sagt Stratos Komotoglou, Business Lead Microsoft 365 Security bei Microsoft.
Eine große Herausforderung in der Krise waren und sind die Home Offices.
"Bei vielen Unternehmen fehlten Maßnahmen zur Absicherung des Home Offices im Notfallplan", moniert Rüdiger Trost, Manager Pre-Sales bei F-Secure. "Es ging häufig zuerst um Business Continuity, dann erst um Security. Entscheidend ist es, eine Balance zu finden zwischen den notwendigen Zugriffen auf Unternehmensressourcen aus dem Home Office und der erforderlichen Security."
Informationen zu den Partner-Paketen der Studie Cybersecurity
Home Office ist eine Bewährungsprobe
Auch wenn Home Office an sich kein neues Thema ist, waren viele Unternehmen nicht vorbereitet.
"Vieles wurde pragmatisch gelöst, um Home Offices zu etablieren, doch die Security blieb dabei zurück", berichtet Tim Berghoff, Security Evangelist bei G Data CyberDefense. "Die Verantwortung für die IT-Sicherheit liegt nun plötzlich bei den Mitarbeitern selbst, aber die notwendige Awareness ist nicht überall vorhanden."
Wie stark improvisiert werden musste, macht Tim Berghoff sehr deutlich: "In einigen Fällen wurden einfach die Desktop-PCs aus den Büros mit ins Home Office genommen, da es keine anderen Geräte gab. Im Home Office wurden die Geräte aber möglicherweise anders verwendet als im Büro, vielleicht auch zu privaten Zwecken. Man kann nicht davon ausgehen, dass die erneute Integration der Geräte ins Firmennetzwerk risikolos ist."
"Bei der Nutzung der Endgeräte kann es zu einer Vermischung von Privatem und Beruflichem kommen", warnt Dr. Michael von der Horst, Managing Director CyberSecurity bei Cisco. "Ohne die richtige Endpoint Security entstehen dadurch Security-Probleme. Ebenso fehlt in vielen Unternehmen eine Zwei-Faktor-Authentifizierung. Identity-Diebstahl ist eines der kommenden großen Probleme."
Um die IT-Sicherheit im Home Office steht es nicht gut, wie auch eine Umfrage des Bundesverbands IT-Sicherheit e.V. (TeleTrusT) zeigt.
Studie "Cybersecurity": Sie können sich noch beteiligen! |
Zum Thema Cybersecurity führt die COMPUTERWOCHE derzeit eine Multi-Client-Studie unter IT-Entscheidern durch. Haben Sie Fragen zu dieser Studie oder wollen Sie Partner werden, helfen Ihnen Frau Regina Hermann (rhermann@idgbusiness.de, Telefon: 089 36086 384) und Frau Nicole Bruder (nbruder@idg.de, Telefon: 089 360 86 137) gerne weiter. Informationen zur Cybersecurity-Studie finden Sie auch hier zum Download (PDF). |
Auf die Frage, welche der empfohlenen Sicherheitsvorkehrungen die Home Office-Nutzer vorhalten, sagten nur 65 Prozent, ihr Rechner sei passwortgeschützt, 61 Prozent haben ein Virenschutzprogramm installiert, 49 Prozent nutzen den privaten Computer und den Dienstrechner getrennt, 37 Prozent haben eine VPN-Verbindung, 27 Prozent verwenden Mehr-Faktor-Authentifizierung, und ganze zwölf Prozent geben zu, dass sie keine besonderen Sicherheitsmaßnahmen im Home Office ergriffen haben.
Gleichzeitig steigt aber die Zahl der Cyber-Attacken. Internetkriminelle versuchen, die Gunst der Stunde zu nutzen und mit Spam, Phishing, Malware, Identitätsdiebstahl und Datenklau schnelle Beute zu machen.
"Die steigende Nutzung von Remote-Diensten für Video-Konferenzen und virtuelle Zusammenarbeit bringt ebenso neue Risiken mit sich wie die Verwendung neuer Geräte und BYOD", sagt Frank Kölmel, VP Central Europe, Cybereason. "Die Business-Units verändern die IT zu schnell für die Security. Die Security muss aufholen, denn die Remote-Dienste sind gekommen, um zu bleiben."
- Stefan Buchta, AXIANS IT Security
In vielen Fällen sind die Home-Offices nicht ausreichend abgesichert worden. Zusätzlich wurde nicht genug für die Awareness getan. Zahlreiche Phishing-Mails rund um Corona stellen eine Gefährdung dar. - Dr. Michael von der Horst, Cisco
Die Auswirkungen der Corona-Krise auf die Security ist stark abhängig von der Branche. Sinkende Umsätze im Handel / Luftfahrt & Transport, sowie Produktion/ Automotive haben Security-Projekte verlangsamt oder gestoppt. In den Bereichen Verwaltung, kritische Infrastrukturen (vor allem Gesundheitswesen) sind viele, neue Security-Projekte angelaufen. - Frank Kölmel, Cybereason
Endpoint Detection and Response (EDR), Identity and Access Management (IAM) und Virtual Private Networks (VPN) sind nun wichtiger als zuvor. Aber ich denke auch an den Fachkräftemangel. Wer soll die ganzen Lösungen bedienen? Deshalb sehe ich Automatisierung, KI und Managed Security Services (MSS) als Trends. - Rüdiger Trost, F-Secure
Durch die Entwicklung hin zu den Home-Offices gibt es keine physische Sicherheit mehr, die ein Unternehmen leisten kann. Es kommt nun verstärkt auf Verschlüsselung an, wenn man zum Beispiel an Diebstahl und Verlust von Endgeräten denkt. Die Unternehmen müssen stärker auf EDR und Threat Hunting setzen. - Tim Berghoff, G DATA
Ich sehe die Gefahr, dass Unternehmen das während der Corona-Krise schnell entworfene Business Continuity-Konzept dauerhaft nutzen wollen, da es sich ja in der Praxis bewährt hätte. Aber ein Provisorium bleibt ein solches. Es kann zwar sicher gut als Ausgangspunkt für eine dauerhafte Lösung dienen, sollte aber nicht selbst zur Dauereinrichtung werden - vor allem, wenn Sicherheit nicht von Anfang an Bestandteil des Konzeptes war. - Sven-Torsten Scherz, Matrix42
Für eine Reihe von Unternehmen war die Nutzung von Home-Offices komplett neu. Für einige Unternehmen lag dabei die erste Priorität nicht auf Security, aber ein stärkeres Interesse an IT-Sicherheit ist deutlich spürbar. Die Nachfrage nach Services ist gestiegen. - Stratos Komotoglou, Microsoft
Wir sprechen seit mehreren Jahren über Zero Trust. Jetzt muss die Umsetzung auf breiter Basis kommen. Wichtig ist auch die Zwei-Faktor-Authentifizierung als Schutz gegen die Phishing-Attacken. - Christian Koch, NTT
Business Continuity Management wurde in manchen Unternehmen bisher nicht ernst genug genommen. Durch die Corona-Krise ist es zu einem Erwachen gekommen, wie wichtig Business Continuity Management ist, um den Geschäftsbetrieb aufrechtzuerhalten. - Sergej Epp, Palo Alto Networks
Der Wechsel ins Home-Office musste sehr schnell gehen. Diese Geschwindigkeit ist ein Problem, das Business prescht vor, die Security muss folgen. Viele Unternehmen waren auf den Digitalisierung-Schub durch Corona nicht vorbereitet. - Ibrahim Koese, Spike Reply
Durch die erhöhte Nutzung des Home-Offices mussten die Netzwerk-Kapazitäten deutlich erhöht werden. Das muss auch in der Netzwerk- und Endpoint-Sicherheit berücksichtigt werden, und insbesondere müssen die Mitarbeiter sensibilisiert werden. Siehe Zunahme der Phishing Angriffe.
Konsolidierung der Security-Konzepte notwendig
Die Security-Experten sind sich einig, dass die in der Coronakrise sichtbar gewordenen Sicherheitsprobleme zu einer grundlegenden Veränderung in der Cybersecurity führen müssen. Das betrifft sowohl die Sicherheit der Endgeräte und der Clouds als auch die Netzwerksicherheit.
"Die Fragmentierung der IT und die Nutzung vieler, verschiedener Cloud-Dienste macht eine Konsolidierung in der Security notwendig", so G Data-Experte Tim Berghoff.
Endgeräte müssen standortunabhängig geschützt werden, ob im Home Office, unterwegs oder im Büro. Netzwerksicherheit muss ebenso standortübergreifend gesehen werden, Zugänge müssen flexibel, aber auch sicher möglich sein. Die Bedeutung von Cloud-Diensten ist sehr deutlich geworden, deshalb dürfen Schutzmaßnahmen für Clouds nicht mehr fehlen. Dabei müssen die verschiedenen Security-Maßnahmen ineinandergreifen.
"Die IT erfordert eine zentrale Security. Der größte Vorteil einer zentralen Security wird bei Threat Intelligence, dem Wissen um Bedrohungen sichtbar. Die Security-Lösungen müssen miteinander kommunizieren und Signale austauschen, um bestmöglich schützen zu können. Die Coronakrise hat die Einsicht dafür verstärkt", erklärt Stratos Komotoglou von Microsoft.
Der notwendige übergreifende Schutz spricht ebenso für eine Konsolidierung der Security wie der Kostendruck, den die Coronakrise mit sich bringt. Es wird jetzt stärker die Frage gestellt, welche Kosten durch die Security entstehen.
"Die Art, wie Security gesehen wird, wird sich in einer Rezession verändern", meint Sergej Epp, Chief Security Officer Central Europe von Palo Alto Networks. "Unternehmen haben sich bisher viele Security-Lösungen geleistet, doch nun wird man stärker nach den Kosten und dem RoI fragen. Es wird zu einer Konsolidierung in der Security kommen, das sollte auch als Chance begriffen werden."
Dabei sind durchaus weiterhin Budgets für Security verfügbar.
"Anfangs wurden viele Budgets eingefroren, doch das hat sich schnell wieder geändert", so Rüdiger Trost von F-Secure. "Die steigenden Angriffszahlen machen deutlich, dass man an Security nicht sparen sollte."
Informationen zu den Partner-Paketen der Studie Cybersecurity
Auf vertrauenswürdige Service-Provider setzen
Der Fachkräftemangel in der Security bleibt in und nach der Corona-Krise ein spürbares Problem. Die Security-Experten sehen deshalb einen klaren Trend hin zu Managed Security Services (MSS).
"Dabei spielen auch neue Services eine Rolle", erklärt Michael von der Horst. "Der Schutz durch VPNs für Endgeräte im Home Office ist löchrig, da diese oft auch ohne VPN-Verbindung für private Zwecke genutzt werden. Schutzmaßnahmen auf der DNS-Ebene (Rückkanal) und SD-WAN werden hier in Zukunft eine wichtige Rolle spielen können."
"MSS-Provider bringen entscheidende Vorteile für viele Firmen, die selbst kein Cybersecurity-Know-How aufbauen wollen. Damit werden die MSSPs selbst ein zunehmend lukratives Ziel für die Angreifer", sagt Sergej Epp. "Einige MSSP haben es mit APT10/CloudHopper bereits auf die harte Tour gelernt."
In der jüngeren Vergangenheit haben diese gezielten Angriffe auf MSS-Dienste zugenommen. Dabei erhoffen sich die Angreifer, über mögliche Schwachstellen bei den MSS-Anbietern (MSSP) gleich mehrere der Kunden erfolgreich attackieren zu können. Deshalb kommt es darauf an, einen zuverlässigen, vertrauenswürdigen MSS-Anbieter auszuwählen.
"Die Sicherheit bei einem MSS-Anbieter ist in aller Regel höher als die interne Sicherheit eines Unternehmens", meint Tim Berghoff von G Data CyberDefense. "Das Vertrauen in den MSS-Anbieter und eine regelmäßige Kommunikation zwischen Kunde und MSS-Provider sind wichtig."
"Als Unternehmen sollte man sich fragen, welcher MSS-Anbieter passt zu mir", erklärt Christian Koch, Director GRC & IoT/OT bei NTTs Security Division. "Dabei sollte man auf die Erfahrung und etablierten Vorgehensweisen und Betriebsmodelle des MSS-Providers vertrauen und nicht nur erwarten, dass der eigene Anforderungskatalog vollständig umgesetzt wird."
CISO und CIO müssen stärker kooperieren
Der Bedarf an einer konsolidierten und zentralen Security ist offensichtlich geworden, auch durch die Corona-Krise. Doch wer soll die notwendigen Veränderungen einleiten? Ist es eine Aufgabe für den CISO alleine, oder ist eher der CIO gefragt?
"Wir sehen den Wandel, dass CISOs sich zunehmend als Geschäftsgestalter in ihren Unternehmen etablieren und auf Augenhöhe mit dem CIO stehen. In der Finanzindustrie ist es sogar nicht nur ein Trend, sondern eine Forderung der Regulatoren", berichtet Sergej Epp.
Neben der Branche spielt auch die Größe der Unternehmen eine Rolle.
"Es kommt darauf an, dass CISO und CIO eng zusammenarbeiten. Security ist durchaus ein Thema für den CISO, in kleineren Unternehmen, ohne CISO, muss sich der CIO darum kümmern", meint Stratos Komotoglou von Microsoft.
"Ein CISO sollte nicht an den IT-Leiter berichten", lautet die klare Empfehlung von Christian Koch, Director GRC & IoT/OT in der NTT Security Division. "Es kann sonst zu Interessenkonflikten kommen. Der CISO sollte an die Geschäftsprozesse denken, die es abzusichern gilt, nicht nur an die einzelnen IT-Systeme, die der CIO im Blick hat."
Gibt es sowohl einen CIO als auch einen CISO im Unternehmen, muss ihre Beziehung genau geklärt sein.
"Aufgrund des Aufgabenspektrums, welches über IT-Sicherheit hinausgeht und wegen möglicher Interessenkonflikte ist es nicht empfehlenswert, dass der CISO an den CIO berichtet", meint auch Ibrahim Koese, Director Solutions und Consulting bei Spike Reply. "Für die effektive Umsetzung der Security ist der CISO auf den CIO angewiesen, und daher muss die Verantwortung für operative IT-Security beim CIO liegen."
Diese Beziehung zwischen CIO und CISO gilt es nun umgehend zu prüfen und anzupassen, damit die notwendigen Änderungen in der Security zeitnah angegangen werden können.
Die Security-Konsolidierung hilft nicht nur in Krisenzeiten und als Krisenvorsorge, sie ist eine notwendige Folge der fortschreitenden Digitalisierung. Die Krise hat den Bedarf nur sichtbarer gemacht.
Informationen zu den Partner-Paketen der Studie Cybersecurity