Blickpunkt

Homeoffice überrumpelt Firmen
Risikovorsorge ist oft mehr als dürftig

Markus Klingspor

Wegen der Corona-Virengefahr arbeiten immer mehr Menschen von zu Hause aus. Die IT-Sicherheit bleibt dabei oftmals auf der Strecke. Mit fatalen Folgen für das Unternehmen, wobei die Lösung gar nicht so schwierig ist.

Die Büros sind nahezu leer. Stattdessen wählen sich die Mitarbeiter aus den heimischen vier Wänden in die Firmen-IT ein. Obwohl das Szenario mittlerweile jeder kennt, ist die Risikovorsorge noch mehr als dürftig – dabei nehmen die Hacker-Angriffe dramatisch zu. Kein Wunder: Nie war es einfacher als heute, denn im Gros der Fälle geschieht „Future Work“ aus einem schlecht abgesicherten WLAN-Netzwerk und außerhalb firmeneigener Schutzmauern und Firewalls. Weil es bequemer ist, wird gerne auch das Firmen-Notebook für private E-Mails genutzt, und sei es nur, um Hausaufgaben für den Nachwuchs herunterzuladen. Damit erweitert sich die potenzielle Angriffsfläche für Cyberkriminelle um ein Vielfaches. Fakt ist, Arbeiten im Homeoffice bringt zusätzliche Anforderungen an die IT-Sicherheit mit sich. Wo zu Beginn der Pandemie das Motto galt: „Digitalisierung – First, Bedenken – Second“ ist es jetzt höchste Zeit, die geschaffenen Lösungen im Hinblick auf die IT-Security zu überprüfen und auf wirklich sichere Beine zu stellen. Alleine mit Updates von Virenprogrammen ist das nicht getan!

Unternehmens-IT ist eine Risikogruppe

Das Herz der Informationstechnik in jedem Unternehmen stellen die Hard- und Software dar, die den Geschäftsbetrieb gewährleisten und die unternehmenskritischen Daten speichern. Die Kernaufgabe der IT-Sicherheit ist der Schutz dieser Systeme vor Angriffen und anderen Risiken. Wobei die Daten und Systeme nicht nur Opfer eines Hacker-Angriffs, sondern auch beispielsweise durch ein Feuer zerstört werden können. Es liegt aber in der menschlichen Natur, dass wir „Sicherheit“ in der Regel als gegeben voraussetzen und gerne glauben, „das passiert mir nicht“. Leider lässt sich die Anwesenheit von IT-Sicherheit nicht messen. Lediglich die Abwesenheit von IT-Sicherheit ist feststellbar – oft leider erst viel zu spät, wenn man bereits Opfer eines Angriffs geworden ist. Lücken in der IT-Sicherheit lassen sich durch Analysen finden und beheben, wobei jedem Inhaber und Geschäftsführer klar sein muss, dass dies aber immer nur eine Momentaufnahme darstellt.

Laut einer Umfrage der Wirtschaftsprüfer KPMG aus dem Jahr 2019 wurden bereits 25 Prozent der Firmen in Deutschland mittels „Ransomware“ von Hackern lahmgelegt. Die Schadprogramme verhindern den Zugriff und verschlüsseln Dateien, um Lösegeld zu erpressen. Betriebsunterbrechungen mit erheblichen finanziellen Schäden sowie der Verlust wichtiger Daten sind die Folge. Daher ist es wichtig, klare Vorgaben für den Zugriff von außen auf die zentralen Systeme zu machen. Diese müssen regelmäßig überprüft und ihre Umsetzung und Einhaltung kontrolliert werden. Um eine Analogie zur Corona-Pandemie zu bemühen, gehören diese zentralen Systeme zu einer Risikogruppe, die besonders geschützt werden muss. Es ist sehr wahrscheinlich, dass ein System eine Sicherheitslücke hat, für die es entweder noch keine Lösung gibt oder für die die Lösung noch nicht umgesetzt wurde. Sollte jemand, der mit einer Schadsoftware zum Ausnutzen dieser Lücke infiziert ist, Zugriff auf das betroffene System haben, kann das System ebenfalls infiziert werden. Auch ohne das System zu infizieren, hat die Schadsoftware auf einem Gerät Zugriff auf alles, was dem Benutzer erlaubt ist. So kann die Schadsoftware beispielsweise alle Dokumente, auf die der Benutzer Zugriff hat, verschlüsseln oder anderweitig manipulieren.

Nur vertrauenswürdige Geräte erlauben

Deswegen ist es extrem wichtig, dass ein Zugriff nur von Geräten erfolgen darf, deren Sicherheit ausreichend gewährleistet werden kann. Das setzt voraus, dass die Geräte zentral gemanagt werden. Alle Software auf dem Gerät muss immer die neuesten Sicherheitsupdates installiert haben. Auf den Geräten darf nur die zum Arbeiten benötigte Software installiert sein. Zusätzlich lässt sich das Ausführen anderer Software verbieten, was viele Angriffe auf das Gerät komplett verhindert. Die Geräte müssen zudem verschlüsselt sein, um Manipulationen und ein Ausspähen von Daten zu verhindern. Wichtig: Für Privatgeräte ist dies alles in der Regel nicht umsetzbar. Ein Zugriff auf das Unternehmensnetzwerk über Privatgeräte sollte deshalb generell nicht erlaubt werden.

Zugriffsmöglichkeiten einschränken

Zugriff auf Systeme sollten nur Personen haben, die diese für ihre Arbeit benötigen. Es muss einen guten Grund geben, warum dieser erlaubt ist. Ein Mitarbeiter in der Personalabteilung benötigt sicher keinen Zugriff auf die Finanzbuchhaltung. Damit ist nicht nur gemeint, dass er dort keinen Account benötigt, sondern dass seinem Gerät im Netzwerk der Zugriff zu den Systemen der Buchhaltung versperrt ist. Diese Maßnahme reduziert die Angriffsfläche. Ein infiziertes Gerät kann so nicht mehr alle internen Systeme erreichen und angreifen. Insbesondere der Zugriff auf Systeme zur Administration der IT sollte besonders eingeschränkt werden. Gelingt es einer Schadsoftware auf einem Gerät, sich dort als Administrator Zugriff zu verschaffen, kann die gesamte IT manipuliert werden. Vergleichen Sie es mit einem Schlüssel für die Unternehmensräumlichkeiten. Nicht jeder Mitarbeiter sollte einen Generalschlüssel haben und alle Räume unkontrolliert betreten können.

Passwörter sind kein ausreichender Schutz

Den Zugriff auf das Unternehmensnetzwerk nur über ein Passwort abzusichern, reicht nicht aus. Passwörter lassen sich ausspionieren oder können erraten werden. Es ist dadurch nicht gesichert, dass auch wirklich der autorisierte Benutzer den Zugriff erhält. Daher muss zwingend ein sogenannter zweiter Faktor ins Spiel kommen. Das kann im einfachsten Fall eine Software auf einem anderen Gerät wie einem Mobiltelefon sein. Nach der Eingabe von Benutzer und Passwort muss der Zugriff dann noch auf dem Mobiltelefon bestätigt werden. Durch diesen zweiten Faktor lässt sich der Benutzer sicher identifizieren.

Beim Arbeiten von außerhalb des Unternehmensnetzwerks ist es sinnvoll, das Gerät über ein Virtual Private Network (VPN) in das Unternehmensnetz einzubinden. Virtuell bedeutet hier, dass die Verbindung nicht physikalisch, sondern quasi als „Verlängerungskabel“ über ein bestehendes Netzwerk wie das Internet aufgebaut wird. Der Aufbau der Verbindung für das VPN wird dabei mit dem zweiten Faktor gesichert. Anschließend fließen alle Daten über das Unternehmensnetzwerk und der Benutzer kann arbeiten wie im Unternehmen.

… zu Hause wachsam bleiben

Während sich in den Unternehmensräumen in der Regel nur Befugte aufhalten, kann dies in den privaten Räumen der Mitarbeiter nicht gewährleistet werden. Es braucht zusätzliche Regeln, Mitarbeiter müssen zusätzlich sensibilisiert werden. Geräte müssen, wenn sie nicht beaufsichtigt sind, unbedingt gesperrt sein. Schließlich haben Familienmitglieder und Freunde auf dem Firmengerät auch nichts zu suchen. Auch fremde USB-Geräte wie Speichersticks oder Zubehör gehören nicht ans Firmengerät. Die Mitarbeiter müssen befähigt werden und den Sinn der Regeln und Maßnahmen verstehen, um das gewünschte Verhaltensziel zu erreichen.

Denkanstoß

IT-Sicherheit wird oft als komplexes Thema und hinderlich empfunden, da sie Einschränkungen in der Benutzung notwendig macht. Die unter Umständen existentiellen Risiken können oft nur schwer eingeschätzt und transparent gemacht werden. Doch digitale Wirtschaftsspionage, Datendiebstahl und Sabotage werden, im Homeoffice sowie in der Firmenwelt, weiter zunehmen – und damit zahlt sich eine wirksame, individuell entwickelte Cyber Security garantiert aus.