Foto: Zoomik - shutterstock.com
Es ist längst kein Geheimnis mehr, dass der Mensch die größte Schwachstelle in jedem Unternehmensnetzwerk ist. Sei es die Unfähigkeit, ausreichend komplexe Passwörter für mehrere Systeme richtig zu verwalten, schlechte Gewohnheiten in sozialen Kanälen oder mangelndes Gefahrenbewusstsein bei E-Mail-Links, Online-Shopping oder die Nutzung von Software. In einer von Remote Work geprägten Post-COVID-Welt stellt das für Unternehmen zunehmend ein Problem dar. Schließlich können sich laxe Sicherheitsgewohnheiten auch auf persönliche Geräte mit Firmendaten ausdehnen, die für die Unternehmens-IT weder sicht- noch kontrollierbar sind.
Es gilt einen Weg zu finden, den Mitarbeitern dabei zu helfen, sich selbst und die Unternehmensressourcen besser zu schützen und gleichzeitig das Budget einzuhalten. Eine Möglichkeit, das zu tun: Sie ermutigen Ihre Mitarbeiter dazu, den nachfolgend aufgeführten Sicherheitspflichten nachzukommen.
Remote Work: Top Security-To-Dos
Cybersecurity-Schulung
Viele Unternehmen haben bereits irgendeine Form von Cybersicherheitsschulung etabliert, aber den Mitarbeitern Awareness zu vermitteln, ist eine schwierige Aufgabe. Bedenken Sie den Nutzen einer solchen Schulungsinitative: Wenn die Mitarbeiter in den Schutz ihres eigenen digitalen Lebens investieren, ist der Schutz der Unternehmensinteressen ein wichtiger Nebeneffekt. Cybersecurity-Schulungen gibt es in vielen verschiedenen Preisklassen und mit unterschiedlichen Schwerpunkten. Einer sollte darauf liegen, sich die richtigen, digitalen Gewohnheiten anzueignen.
Digitale Wallets
Auch digitale Wallets werden traditionell nicht unbedingt als Sicherheitstool betrachtet, können aber aus mehreren Gründen nützlich sein. Je seltener eine Person ihre physische Brieftasche herausnimmt, desto geringer ist die Gefahr, eine Karte zu vergessen oder zu verlieren. Das könnte die Grundlage für eine Identitätskompromittierung darstellen. Wallets können zudem online anstelle einer Kreditkarte verwendet werden oder als Möglichkeit, ein Profil zu erstellen, ohne ein Konto anzulegen. Das trägt dazu bei, den digitalen Fußabdruck einer Person zu minimieren und auf Dienste zu beschränken, die ein hohes Maß an Sicherheit gewährleisten. In vielen Fällen verfügen die Mitarbeiter wahrscheinlich bereits über digitale Geldbörsen (Apple Pay oder Google Wallet). Sie müssen lediglich über den Wert und möglicherweise die Einrichtung aufgeklärt werden.
Passwort-Manager
Obwohl viele Unternehmen Maßnahmen ergreifen, um die passwortbasierte Authentifizierung und die mit ihr verbundenen Risiken zu beseitigen: Es ist noch ein weiter Weg bis "Passwordless". Auf der Verbraucherseite sieht es noch schlechter aus, nur die wenigsten B2C-Services bieten eine passwortlose Authentifizierung. Im Allgemeinen beschränkt sich das auf Dienste von Branchenriesen wie Microsoft und Google.
Dennoch können Sie Ihr Bestes tun, um eine angemessene Passwortverwaltung zu fördern. Dazu gehört vor allem die Verwendung eindeutiger, komplexer Passwörter (nicht nur gespickt mit Sonderzeichen, sondern auch ausgestattet mit ausreichender Länge) für jede Online-Plattform. Von Ihren Mitarbeitern direkt zu erwarten, diese Aufgabe selbständig und ohne Hilfe bewältigen zu können, ist kein guter Ausgangspunkt - erwägen Sie deshalb die Anschaffung eines Passwort-Managers.
Ein guter Passwort-Manager fördert gute Gewohnheiten, indem er warnt, wenn dasselbe Passwort für mehrere Konten verwendet wird. Im Regelfall gibt er auch Auskunft darüber, wie stark das gewählte Passwort ist und hat in vielen Fällen auch einen Passwort-Generator an Bord. Passwortmanager sind auch für das Identity Monitoring hilfreich, wenn sie im Darknet nach kompromittierten Zugangsdaten Ausschau halten oder warnen, wenn ein bestimmter Service Opfer von Cyberkriminellen wurde (was eine Passwortänderung erforderlich macht).
- Tipp 1: Varianz ist wichtig
Inzwischen ist eigentlich mehr die Frage, wann, und nicht ob der Passwort-Leak kommt. Dabei können Sie den Schaden minimieren, wenn Sie für JEDEN Online-Account ein eigenes Passwort verwenden. Natürlich ist es schwer, sich all diese Passwörter zu merken - insbesondere wenn es keine vorhersehbaren sein sollen. Da kommen die Passwort-Manager ins Spiel. Wenn Sie das Problem mit vielen Passwörtern kennen, sollten Sie sich einen besorgen. Die Software gibt's inzwischen für die meisten Browser und Betriebssysteme - auch für Mobile Devices. - Tipp 2: Komplexität wahren
Die meisten Passwort-Manager können komplexe Passwörter generieren. Dieses Feature ist wichtig, weil die meisten Websites Passswörter in Form sogenannter 'Hashes' abspeichern. Je nach Algorithmus können diese Hashes geknackt werden. Für diesen Fall sorgt ein sehr komplexes Passwort dafür, dass ein Angreifer sich schwer tut, es auszulesen. Daher empfehlen sich Passwörter mit mindestens zwölf Zeichen - unter Verwendung von Groß- und Kleinschreibung, Zahlen und Sonderzeichen. <br />Normalerweise müssen Sie sich mit einem Passwort-Manager nur noch ein Master-Passwort merken. Außerdem sollten Sie sicherheitshalber die Kennungen für wichtige Accounts (zum Beispiel E-Mail) im Fall der Fälle parat haben, falls der Passwort-Manager aus irgendeinem Grund nicht verfügbar ist. Kleiner Trick: Wort-Sequenzen mit Zahlen und Großbuchstaben sind ebenso schwer zu knacken wie generische. Zum Beispiel: "KatzenHundeHasenMeine3Lieblingstiere". - Tipp 3: On- oder offline?
Passwort-Managern liegen verschiedenen Sicherheits-Konzepten zu Grunde. Ein Offline-Manager synchronisiert die Daten nicht über verschiedene Devices hinweg. Sie müssen also die verschlüsselte Datenbank nach jeder Kennwort-Änderung anfassen. Oder Sie benutzen einen Cloud-Service wie Dropbox, um zu synchronisieren. Online-Passwort-Manager synchronisieren Ihre Passwörter über all Ihre Geräte - einige bieten sogar webbasierten Zugriff auf die Datenbank. <br /> Wenn Sie sich für eine der servicebasierten Implementationen entscheiden, achten Sie dabei auf die Architektur und darauf, dass die Datenbank lokal innerhalb der Applikation oder dem Browser entschlüsselt wird - so dass das Master-Passwort niemals in den Zugriffsbereich des Service-Providers gelangt. - Tipp 4: Nicht nur einen Master
Streng genommen dürfte es eigentlich keine gute Idee sein, all seine Kennungen mit nur einem Master-Passwort zu schützen - schließlich entsteht daraus eine große Angriffsfläche. Aus diesem Grund bieten einige Passwort-Manager eine Zwei-Faktor-Authentifizierung. In diesem Fall kann für den Zugriff auf die Datenbank ein zusätzlicher Eingabecode eingerichtet werden. Sie sollten auf dieses Feature achten und es bei Verfügbarkeit aktivieren. <br><\br> Auch wenn Sie einen Passwort-Manager nutzen: Wenn einer Ihrer Online-Accounts ebenfalls eine Zwei-Faktor-Authentifizierung bietet, nutzen Sie diese. Eine zusätzliche Schutzschicht kann nicht schaden. - Tipp 5: Möglichkeiten nutzen
Nutzen Sie weitere Security-Optionen, die Ihr Passwort-Manager bietet. Einige bieten beispielsweise die Option eines automatischen Log-Offs - was insbesondere bei Nutzung von öffentlichen Rechnern wichtig ist. Auch solche Features können dabei helfen, eine Infektion des Computers mit Malware oder Viren zu verhindern.
Zwei-Faktor-Token
Idealerweise sollte die Zwei-Faktor-Authentifizierung (2FA) standardmäßig für kritische Workloads zum Einsatz kommen. Zumindest sollten die Mitarbeiter jedoch für E-Mail- und Finanzkonten den zusätzlichen Authentifizierungsfaktor verwenden. Es gibt verschiedene 2FA-Systeme wie zeitbasierte Einmalpasswörter (TOTP) oder auch Hardware-Token wie den Yubikey von Yubico, der mit einer Vielzahl von Anwendungen und Diensten (sowohl webbasiert als auch lokal) funktioniert.
Laut einer Google-Studie bieten Hardware-Tokens einen stärkeren Schutz gegen gezielte Angriffe als App-basierte Authentifizierung.
Anti-Malware-Lösungen
Anti-Malware-Software schützt die Geräte der Mitarbeiter vor den meisten Malware-Kategorien und -Varianten. Dazu setzt die Software verschiedene Techniken ein - vom Signaturabgleich bis zur KI-basierten Erkennung.
Gerätebasierte Angriffe sind immer noch ein beliebter Weg, um Anmeldeinformationen oder andere sensible Benutzerdaten zu stehlen, unabhängig von Gerätetyp oder Betriebssystem. Angesichts der illustren Geschichte gerätebasierter Angriffe, sollten Sie keine Probleme haben, anschauliche Beispiele dafür zu finden, warum Ihre Mitarbeiter diese Software installieren sollten.
VPN-Dienste
VPNs sind heutzutage in Unternehmensnetzwerken allgegenwärtig, vor allem, weil sie relativ einfach zu implementieren sind. Zudem bieten sie ein gewisses Maß an Datenschutz in nicht vertrauenswürdigen Netzwerken und ermögliche den Benutzern den Zugriff auf Unternehmensressourcen - so, als wären sie vor Ort.
Wenn es darum geht, mitarbeitereigenen Geräten Zugang zum Unternehmensnetzwerk zu gewähren, haben viele Unternehmen berechtigte Bedenken. Dabei ist es ein guter Kompromiss ein Virtual Private Network zu nutzen - insbesondere, wenn öffentliche WLAN-Hotspots Verwendung finden.
Backup-Lösungen
Angesichts der Bedrohung durch Ransomware ist es essenziell, kritische Daten wiederherstellen zu können. Den Mitarbeitern eine Backup-Lösung für ihre persönlichen Geräte zur Verfügung zu stellen, macht durchaus Sinn, wenn auf diesen Geräten mit Unternehmensdaten gearbeitet wird.
Eine mögliche, kostengünstige Alternative ist eine Cloud-Speicherlösung, die resistent gegen Cryptolocker ist. Das heißt, sie kann einen Ransomware-Angriff erkennen und die abgelegten Daten vor Verschlüsselung schützen. Wenn Sie diesen Weg in Erwägung ziehen, sollten Sie bedenken, was Sie verlieren: Die automatische Sicherung bestimmter Dateien oder Ordner nach einem bestimmten Zeitplan und die Überwachungs- oder Berichtstools, die in einer "richtigen" Backup-Lösung verfügbar sind.
Laptops, Telefone, Netzwerkhardware
Entweder Sie investieren vorab in die Sicherheit oder Sie riskieren Kosten, die durch einen Datenschutzverstoß entstehen können. In der Regel räumen große Unternehmen Investitionen in die Sicherheitsinfrastruktur eine höhere Priorität ein. Doch auch kleine und mittlere Unternehmen sollten abwägen, ob die Sicherheitsrisiken der Remote-Arbeit nicht zusätzliche Ausgaben rechtfertigen - wenn auch möglicherweise nur für eine begrenzte Anzahl von Benutzern, etwa Führungskräfte.
Die Anschaffung von Geräten oder Netzwerkhardware, die Ihre Mitarbeiter von zu Hause aus nutzen können, erhöht das Sicherheitsniveau, da die Reichweite (und Kontrolle) der IT-Verwaltung des Unternehmens ausgeweitet wird. So können Sie potenzielle Bedrohungen im Auge behalten und bei Bedarf im Keim ersticken. Laptops und mobile Geräte sind dabei eher übliche Investitionen, aber Sie sollten auch Netzwerkhardware wie WLAN-Zugangspunkte oder Router und Firewalls in Betracht ziehen, da diese Geräte zunehmend ins Visier von Cyberkriminellen geraten. Wird die Netzwerkhardware im Homeoffice kompromittiert, sind alle Geräte im Unternehmensnetz gefährdet. (fm)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.