Völlig neue Sicherheitskonzepte

Das Homeoffice im Fadenkreuz von Cyber-Attacken

Homeoffice braucht mehr als einen guten Internetanschluss und einen professionellen Bürostuhl. Unternehmen müssen dafür zum Beispiel ihren Schutz vor Cyber-Angriffen völlig neu und anders organisieren.

Eines steht jetzt schon fest: Die (regelmäßige) Arbeit vom Homeoffice aus wird auch nach dem Ende der Coronakrise wesentlich stärker zur neuen Normalität gehören als bisher. So diskutiert zum Beispiel die Bundesregierung derzeit, ob das Recht auf Homeoffice rechtlich verankert werden soll – und mit welchen Regeln. Die praktische Einrichtung des heimischen Arbeitsplatzes scheint zumindest für Büroangestellte einfach: ein Rechner, ein (guter) Internetanschluss, eine ruhige Ecke für einen Tisch und ein möglichst rückenfreundlicher Stuhl. Dazu die passende Software für die Kommunikation und Zusammenarbeit mit den Kollegen – fertig! So einfach ist es natürlich nicht. Für einfache Videokonferenzen mit den Kollegen mag dieses Szenario noch halbwegs zutreffen. Aber spätestens, wenn es um den Austausch und die Bearbeitung von Firmendokumenten oder gar von vertraulichen Kundendaten geht, stellen sich schnell ganz viele Fragen. Allen voran die Frage, wie sicher die Kommunikation vom Homeoffice aus gegenüber unerwünschten Dritten wie etwa Hackern ist. Paradies für Cyber-Kriminelle Für viele ist die Erfahrung, von zu Hause aus zu arbeiten, eine neue Situation, die erst einmal mit Unsicherheiten verbunden ist. Auch ist der eigene Rechner in der Regel nicht so gut ausgestattet und aktualisiert wie die Computer im Büro. Und vor allem befinden sich die Mitarbeiter nun außerhalb des – mehr oder weniger – geschützten Firmennetzwerks. Die Folge: Während die Zahl der Wohnungseinbrüche während des Corona-Lockdowns schlagartig abgesackt ist, fühlen sich Cyber-Kriminelle nun zum Teil wie im Paradies. So geht der Internetwirtschaftsverband Eco davon aus, dass Mitarbeiter von zu Hause aus bis zu dreimal häufiger auf sogenannte Phishing-Mails klicken als im Büro. Denn während in der Firma vieles im Vorbeigehen oder in der Kaffeeküche persönlich besprochen wird, verlagert sich dieser „Flurfunk“ nun ins Digitale. Dies bietet Angreifern viele zusätzliche Angriffspunkte, um sich unbemerkt Zugang zu Rechnern mit all ihren Daten und Kontoinformationen zu verschaffen – und damit oft auch zum Firmennetzwerk, mit dem diese Heimrechner jeweils verbunden sind. Da helfen dann auch die besten Firewalls und Antivirenprogramme nichts mehr. Schließlich haben die Angreifer die digitale Identität des jeweiligen Mitarbeiters bereits gekapert und erhalten dank dessen Login-Daten Zugang zu vielen Systemen und Daten des Unternehmens.

Die Angreifer sind unter uns Das Perfide an solchen Angriffen: Sind sie erfolgreich, merken der jeweilige Anwender und sein Unternehmen manchmal wochenlang nichts davon. Ein Beispiel dafür ist die Schadsoftware Emotet. Über sie schreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI): „Emotet (…) funktioniert so: Empfänger erhalten E-Mails mit authentisch aussehenden, jedoch erfundenen Inhalten von Absendern, mit denen sie erst kürzlich in Kontakt standen. Aufgrund der korrekten Angabe der Namen und Mailadressen von Absender und Empfänger in Betreff, Anrede und Signatur wirken diese Nachrichten auf viele authentisch. Deswegen verleiten sie zum unbedachten Öffnen des schädlichen Dateianhangs oder des in der Nachricht enthaltenen Weblinks.“ Bevor sie sich Gedanken über technische Maßnahmen und Abwehrsysteme machen, sollten Unternehmen deshalb zunächst eines tun: die eigenen Mitarbeiter sensibilisieren. Und zwar nicht nur durch klassische Schulungen, deren Wirkung verpufft relativ schnell. Sondern durch selbst inszenierte Angriffe von „Auftrags-Hackern“. Wenn ein Mitarbeiter auf diese Weise die fatalen Folgen einer erfolgreichen Cyber-Attacke einmal selbst erlebt hat, ist er danach bei weitem vorsichtiger als nach jedem Seminar.

Traue niemandem Da der digitalen Identität von Mitarbeitern also nicht mehr unbedingt vertraut werden kann, setzt sich in Unternehmen derzeit ein neues Paradigma der Cyber-Sicherheit durch. Während die kritischen Unternehmenssysteme bislang vor allem durch Filter, Tore und Mauern wie Firewalls, Virenscanner und Security-Gateways gegen unerwünschte Besucher abgesichert waren, verlagert sich der Fokus nun auf das Prüfen der Nutzeridentitäten – zumal sich die Nutzer eben immer häufiger außerhalb der Unternehmensmauern befinden. Für dieses neue Vorgehen hat sich die Bezeichnung „Zero Trust“ durchgesetzt. Das Grundprinzip von Zero Trust besteht darin, grundsätzlich niemandem zu vertrauen, der sich innerhalb des eigenen Netzwerks oder seiner Umgebung bewegt. Zugang erhält nur, wer mehrschichtige Identitätskontrollen durchlaufen hat. Benutzername und Passwort alleine reichen nicht mehr. Stattdessen erfolgt zum Beispiel eine Mehrfaktoren-Authentifizierung. Auch überprüft das Netzwerk, ob sich Nutzer von nicht plausiblen Orten aus oder über unbekannte Rechner anmelden wollen. Hinzu kommt ein systematisches Identitäts- und Zugriffsmanagement, das klar regelt, welcher Anwender welche Systeme in welcher Weise nutzen darf: Ist er zum Beispiel berechtigt, bestimmte Dokumente nur zu lesen oder auch zu bearbeiten und weiterzuleiten?

Sicherheit auf Knopfdruck Die gute Nachricht dabei ist: Solche Sicherheitsfunktionen sind bei den heute gängigen Lösungen für den digitalen Arbeitsplatz in der Regel schon inklusive – zumindest, wenn diese Software-Suiten cloudbasiert laufen. In ihnen lassen sich Funktionen wie Virenschutz oder Multifaktoren-Authentifizierung mit wenigen Klicks aktivieren. Auch bislang sehr teure Features wie zum Beispiel Security Information & Event Management (SIEM) oder Rights Management Services (RMS) sind bei Google, Microsoft, Salesforce & Co. in der Regel schon inbegriffen. Zwar bieten diese Cloudlösungen nicht den vollen Umfang spezialisierter Einzelwerkzeuge. Doch die Sicherheitsanforderungen der meisten Unternehmen decken sie ab. Ein schöner Nebeneffekt: Die IT-Security-Spezialisten werden entlastet und können sich mehr dem Sicherheitsmanagement widmen, statt eine Vielzahl von Einzellösungen betreiben und warten zu müssen. Dafür müssen die Unternehmen natürlich bereit sein, sich von den herkömmlichen Lösungen zu trennen, die sie bislang im eigenen Haus oder Rechenzentrum betrieben haben. So bedeutet der Weg ins Homeoffice meistens auch das Überwechseln in die Cloud.

image