In zahlreichen Unternehmen ist Remote-Arbeit bislang die Ausnahme von der Regel. Durch die Corona-Krise steht diese Welt nun Kopf. Wo plötzlich die Mehrheit im Homeoffice arbeitet, entstehen besondere IT-Sicherheitsrisiken. Vier häufige Probleme – und wie Unternehmen ihnen begegnen können:
1. Private Hardware
Auf die Schnelle ist es kaum möglich, hunderte bis tausende Angestellte mit Firmenlaptops auszustatten. Seit dem Corona-Lockdown behelfen sich viele Mitarbeiter mit eigenen Geräten. Wie gut deren Software und das private WLAN gegen Angreifer geschützt sind, kann das Unternehmen nicht technisch kontrollieren.
Sofortmaßnahme: Im besten Fall schafft die IT reihenweise sichere Zugänge, z.B. durch die Bereitstellung virtueller Desktops oder gesicherte VPN-Zugänge. Auch wenn dieser Vorgang im Unternehmen bereits etabliert sein sollte, erfordert er Zeit und Ressourcen, die man möglicherweise ad hoc einkaufen muss.
Für die Zukunft: Unternehmen sollten abwägen, ob sich die Investition in zusätzliche Hardware langfristig rechnet – hier fließen auch IT-Arbeitskosten dafür ein, die Geräte nach hohen Sicherheitsstandards einzurichten („Hardening“). Alternativ wären virtuelle Arbeitsplätze möglicherweise auch langfristig der Weg der Wahl. Es empfiehlt sich außerdem, die IT-Prozesse im Unternehmen zu überprüfen: Könnte man im erneuten Krisenfall schneller reagieren?
2. Workarounds
Im Homeoffice wird öfter technisch improvisiert, als IT-Sicherheitsexperten lieb ist. Zum Beispiel verschieben Mitarbeiter Dokumente per USB-Stick oder über die private E-Mail-Adresse, um sie zu Hause auszudrucken. Oder sie weichen auf unsichere kostenlose Konferenztools aus, da interne Anwendungen zu Spitzenzeiten überlastet sind.
Sofortmaßnahmen: Einzelne Mitarbeiter erhalten die Berechtigung, ihre privaten Drucker selbst im Firmensystem einzurichten – grünes Licht dafür gibt der Bereich IT-Security nach einer pragmatischen Prüfung. Nach Möglichkeit baut das Unternehmen zudem kurzfristig seine relevante IT-Infrastruktur so aus, dass sie einer erhöhten Zahl an Remote-Zugriffen standhält.
Für die Zukunft: Um Fernzugänge krisenfest zu machen, ist unter anderem zu überlegen: Will man die Infrastruktur (im eigenen Haus) dauerhaft aufrüsten oder auf flexible externe Services setzen? Insbesondere für die zweite Variante sind Sicherheitskriterien zu definieren, je nachdem, was die eigene Branche erfordert
3. Neue Bedrohungen während der Krise
In Corona-Zeiten entstehen potenziell neue Einfallstore für Cyber-Kriminelle, etwa Virus- und Phishing-Attacken per Mail oder SMS. Die gefakte Nachricht eines Paketdienstes beispielsweise, die behauptet: Das bestellte Päckchen werde nicht mehr persönlich ausgeliefert, man möge daher einem Link folgen – und schon öffnet sich eine Schadsoftware. Auch frei verfügbare Konferenztools sind problematisch: Wer Einwahldaten abgreift, kann sich unbemerkt in vertrauliche Gespräche einschleichen.
Sofortmaßnahmen: Unternehmen können ihre Verhaltensregeln für IT-Anwender auf internen Kanälen (Intranet, E-Mail) in Erinnerung rufen und um aktuelle Beispiele ergänzen. Um auf die Risiken aufmerksam zu machen, bietet sich eventuell eine eigene Test-Phishing-Kampagne an, die aufzeigt, wie viele Kollegen sich täuschen lassen. Solche Erkenntnisse helfen, die Belegschaft weiter zu sensibilisieren.
Für die Zukunft: Gerade in unruhigen Zeiten ist es wichtig, den Schutz hochzufahren. Soweit organisatorisch möglich, sollten IT-Sicherheitsprojekte daher weiterlaufen, etwa Penetration Tests. In die andere Richtung wirkt Data Leakage Prevention: Ein bestehendes Security Operations Center (SOC) kann beispielsweise neue Use Cases aufsetzen, um Datenflüsse aus dem Unternehmen verstärkt zu überwachen.
4. IT-Notbetrieb
Auch viele IT-Mitarbeiter arbeiten in der Pandemiezeit von zu Hause. Doch nicht jedes IT-Problem lässt sich virtuell lösen, etwa Pannen im Rechenzentrum.
Sofortmaßnahmen: Unternehmen brauchen schnelle Lösungen für den Notfall: Wie gelangen IT-Mitarbeiter ins Gebäude? Wer stellt die nötige Ausstattung bereit, damit sich die Kollegen vor einer Infektion schützen können, etwa Gesichtsmasken und Desinfektionsmittel? Welche Gefahrenzulagen erhalten die Mitarbeiter?
Für die Zukunft: Ist die Krise überstanden, müssen schnell gefasste Pandemie-Notfallpläne auf den Prüfstand. Unternehmen können sich dabei an Good Practices aus aller Welt orientieren, die gerade neu entstehen.
Bei allem Bemühen, während der Krise die Kontrolle zu behalten: Es ist die Zeit pragmatischer Entscheidungen. Unternehmensführung, CISOs und IT-Security-Verantwortliche müssen die richtige Balance finden zwischen Cyber-Sicherheit und produktiver Arbeit im Kerngeschäft.