Im Home Office gehackt: Die neue IT-Sicherheit in der hybriden Arbeitswelt
Hackerangriffe und Cyberattacken – die IT-Sicherheitsteams in Unternehmen sehen sich in der hybriden Arbeitswelt vor ganz neue Herausforderungen und Variablen gestellt. Doch es gilt, das Home Office beim Remote Working zu schützen!
Die Auswirkungen von Remote Working auf die IT-Sicherheit
Die Pandemie hat die Arbeitswelt seit dem Frühjahr 2020 maßgeblich verändert. Womit niemand zuvor gerechnet hatte, das ging auf einmal ganz schnell. Große Firmenzentralen, mittelständische Unternehmen und kleine Geschäfte waren von jetzt auf gleich verwaist. Mitarbeiter:innen weltweit hatten ihren Arbeitsplatz ins Home Office verlegt – und damit auch das Thema Datensicherheit.
Noch immer sitzen unzählige Mitarbeiter:innen ohne Cybersecurity-Deckung im Home Office am eigenen Laptop. Genau hier müssen neue IT-Sicherheitskonzepte greifen, damit produktives Arbeiten von Zuhause nicht zur Gefahrenquelle für ganze Unternehmen wird.
Cyberattacken – mit weniger Mitteln mehr leisten?
Angesichts des gestiegenen Gefahrenpotenzials sollte auch das Budget für Cybersicherheit steigen. Dem ist aber bei Weitem nicht so:
“Da das Risiko von Cyberangriffen in Zeiten von Remote-Arbeit weiter zunimmt, wirkt sich dies auch auf die täglichen Anforderungen an Cybersicherheitsexpert:innen aus. Denn diese sind gefordert, mit weniger Mitteln mehr zu leisten. Kaspersky fand heraus, dass das durchschnittliche IT-Sicherheitsbudget von Unternehmen für das Jahr 2020 bei 14 Millionen US-Dollar liegt – das entspricht einem Rückgang 26 Prozent im Vergleich zu 2019. Ebenso sank das durchschnittliche IT-Budget um 27 Prozent auf 54,3 Millionen US-Dollar.”
Evgeniya Naumova, Executive VP Corporate Business und Deputy CBDO Commercial bei Kaspersky
Einst im Fort Knox, jetzt auf Wolken: Cloud Computing will gelernt sein
Der Serverraum stets gut verschlossen, Zutritt nur für Eingeweihte über eine täglich wechselnde PIN, Datenbanken und Firmengeheimnisse sowohl räumlich als auch virtuell durch VPN-Systeme geschützt. Vor nicht allzu langer Zeit kamen Mitarbeiter:innen jeden Tag an ihren zentralen Arbeitsplatz, nutzten immer denselben PC, das Passwort wurde alle paar Jahre gewechselt.
Dann kam die Pandemie und Arbeitnehmer:innen fanden sich am heimischen Laptop wieder. Oft die einzige Sicherheitsvorkehrung: Das verschlüsselte Home WLAN. Gemeinsames Daten-Sharing über Google Drive und die Diskussion, welche Software für Videokonferenzen denn die sicherste sei – die Mitarbeiter:innen fungierten notgedrungen als ihre eigenen IT-Expert:innen.
Unterdessen stand dem „echten“ IT-Sicherheitsteam der Schweiß auf der Stirn, denn Cyberattacken wurde damit Tür und Tor geöffnet. Seitdem stellen sich Verantwortungsträger:innen und Sicherheitsunternehmen die Frage, welche Standards und Systeme neu eingerichtet werden müssen, um hybride Arbeitsplätze vor Hackerangriffen und Cyberattacken zu schützen. Aber auch die Mitarbeiter:innen müssen im verantwortungsbewussten Umgang mit Cloud- und Filesharing-Diensten geschult werden.
Das IT-Sicherheitsmanagement muss die neuen Herausforderungen als Chancen für eine gestärkte Cybersecurity verstehen.
Evgeniya Naumova nennt wichtige Aspekte der Cybersecurity in Zeiten von Remote Working, die es hierbei zu beachten gilt:
- Der Schutz des Unternehmensperimeters reicht nicht mehr aus – auch eine Bewertung und Zertifizierung des Home Office wird erforderlich.
- Eine Umstellung auf ein Servicemodell gewährleistet das erforderliche hohe Niveau für IT-Sicherheit bei gleichzeitig geringeren Investitionen.
- Trainings interner IT-Sicherheitsspezialist:innen müssen auch Managementfähigkeiten vermitteln.
- Die Abhängigkeit von Cloud-Diensten wird zunehmen, was spezielle Management- und Schutzmaßnahmen erforderlich macht.
Cybersecurity beim Remote Working
Sicherheitssysteme sind immer mehr oder weniger anfällig, keine Frage. Oftmals haben Hacker:innen aber besonders leichtes Spiel, wenn die Mitarbeiter:innen im Home Office nachlässig mit den vereinbarten Sicherheitsvorschriften umgehen:
Die Ursachen und Gründe, warum Mitarbeiter:innen allzu oft zur potenziellen Gefahrenquelle für die IT Security werden, sind vielfältig.
- So mancher sieht in Sicherheitsabfragen einen enervierenden Zeitverlust. Diese möglichst zu umgehen und kreative Abkürzungen zu finden, setzt die Bemühungen des IT-Sicherheitsmanagements jedoch außer Kraft.
- Viele Arbeitnehmer:innen müssen sich derzeit mit dem Digitalisierungsprozess ihres Betriebs auseinandersetzen und fühlen sich im Home Office von der zusätzlichen Verantwortung für die Datensicherheit überfordert.
- Nicht minder gefährlich ist der gegenteilige Fall: Fühlen sich Kolleg:innen vermeintlich sicher auf dem Gebiet der Cybersecurity, hebeln sie nicht selten die gesamte IT-Sicherheit durch eigene Konfigurationen aus.
- Geradezu ein Klassiker ist die Passwortsicherheit. „1234“ oder „Passwort1“, und das gleich für mehrere Gates, sind noch immer häufige Realität. Dabei würde bereits ein Passwortmanager Abhilfe verschaffen.
Hier müssen Vorgesetzte ihre Mitarbeiter:innen als Digital Leader motivieren und auch beim Remote Working die direkte Ansprache suchen.
„Bei der Remote-Arbeit müssen Unternehmen ein Gleichgewicht zwischen Nutzerfreundlichkeit, Business-Anforderungen und Cybersicherheit finden.“
Ein notwendiger Schritt ist es, die Zugangsberechtigung zu bestimmten Datensätzen und Anwendungen zu beschränken. Damit stellen IT-Teams den Mitarbeiter:innen also nur die für die jeweilige Aufgabenerledigung wirklich notwendigen Privilegien bereit. Zudem müssen sie auch im Home Office ein VPN implementieren und die ausschließliche Verwendung sicherer und genehmigter Unternehmenssysteme vorschreiben. Sicherheit geht in diesem Fall klar über Komfort.
„Diese Arten von Software können gewisse Einschränkungen haben, die die Nutzerfreundlichkeit zwar etwas einschränken, dafür aber eine größere Sicherheit bieten.“
New Work: Das neue Level der IT-Sicherheit
Schließlich ist noch die Frage zu beantworten, welche Prioritäten neu gesetzt werden müssen und welche Technologien dafür zur Verfügung stehen sollen.
Evgeniya Naumova von Kaspersky nennt die wichtigsten Empfehlungen:
- Mitarbeiter:innen müssen wissen, an wen sie sich wenden können, wenn ein IT- oder Sicherheitsproblem auftritt.
- Mitarbeiter:innen, die eigene Geräte zur Arbeit nutzen, sollten spezielle Cybersicherheitsrichtlinien und -empfehlungen zur Verfügung stehen.
- Eine grundlegende Sicherheitsschulung für alle Mitarbeiter:innen ist absolut ratsam. Kaspersky und Area9 Lyceum etwa bieten einen kostenlosen Kurs, der Mitarbeiter:innen darin schult, sicher von zu Hause aus zu arbeiten.
- Datenschutzmaßnahmen müssen angepasst und ausgebaut werden, um Unternehmensdaten und -geräte zu schützen (Passwortschutz, Verschlüsselung von Arbeitsgeräten, Erstellen von Daten-Backups, …).
- Geräte, Software, Anwendungen und Dienste sollten immer mit den neuesten Patches aktualisiert werden.
- Die Installation von bewährter Schutzsoftware auf allen Endgeräten ist essenziell – auch auf mobilen Geräten.
Die richtige Schutzsoftware gewährleistet zudem, dass nur zugelassene Online-Dienste für Arbeitszwecke genutzt werden, was die Risiken durch Schatten-IT minimiert.
Freiheit – Produktivität – Sicherheit
Bereits vor der Pandemie wurden Forderungen nach mehr Freiheit in der Gestaltung von Arbeitsplatz und Arbeitszeit immer lauter. Die Ereignisse der letzten Monate haben die zögerlichen Bestrebungen nun stärker beschleunigt als erwartet.
Remote Working ist für das Gros der Arbeitnehmer:innen inzwischen zur Normalität geworden und die wenigsten wollen wieder in die Präsenzpflicht zurück. Das bedeutet aber auch, dass das Bewusstsein für die gestiegenen Gefährdungen für die Cybersecurity geschärft werden muss. Es braucht innovative IT-Sicherheitskonzepte für die Zukunft, damit einerseits alle Kolleg:innen komfortabel arbeiten und andererseits die IT-Fachkräfte ruhig schlafen können.
Du willst keine spannenden Themen mehr verpassen? Dann abonniere jetzt unseren Content Newsletter und bleibe auf dem Laufenden!