Laut der Umfrage „IT Priorities 2020-2021“ von TechTarget bereiten sich 65 % der Unternehmen darauf vor, Telearbeit im Jahr 2021 besser zu unterstützen. Aus dieser Perspektive ist ein Aspekt besonders wichtig: das Thema Cybersicherheit im Homeoffice.
Verstärkt durch die Gesundheitskrise müssen sich alle IT-Manager mit dem Trend zur Telearbeit auseinandersetzen, der sich zu einem dauerhaften Zustand entwickeln wird. Und damit auch mit einer möglichen Nebenfolge, auf die in der Ausnahmesituation oft nicht ausreichend geachtet wird: die IT-Sicherheit des Unternehmens. Zeitweise im Büro, zweitweise zu Hause und damit das Risiko, von Privat- und Berufsleben, Arbeitsumfeld und persönlichem Umfeld zu vermischen. Welche Bilanz in Bezug auf Sicherheit können wir aus dem Jahr 2020 ziehen? Muss Fernarbeit als eine weitere potenzielle Lücke für Cybersicherheit für Unternehmen und Organisationen betrachtet werden? Wie lassen sich Telearbeit und Sicherheit verbinden? Welche Maßnahmen können IT-Manager ergreifen, um Sicherheit bei dieser Arbeitsweise zu garantieren? Eine Analyse.
Zeit für eine Bilanz
Während in den meisten Teilen der Welt der erste Lockdown gerade zu Ende geht, ist es für Unternehmen an der Zeit, nach über einem Jahr des massiven und überstürzten Wechsels zur Telearbeit Bilanz zu ziehen. Während viele Unternehmen noch nicht auf Telearbeit vorbereitet waren, nutzten andere die Gelegenheit dieser beispiellosen Situation, um bereits gut etablierten Maßnahmen zur Telearbeit zu perfektionieren. „Viele Unternehmen haben ihre Arbeitsweise auf die Praxis gestützt umgestellt und es findet ein echtes Umdenken hinsichtlich Telearbeit statt.Für Unternehmen in sensiblen Bereichen wie Verteidigung oder Bankwesen, in denen die Kultur der beruflichen Vertraulichkeit stark ausgeprägt ist, bleibt die Fernarbeit jedoch ein komplexes Thema“, erklärt Adrien Brochot, Produktmanager bei Stormshield. Und ganz allgemein zeichnet sich ein Trend ab: Für alle Organisationen ist das Thema Datenschutz – insbesondere bei Telearbeit – zu einem grundlegenden Aspekt geworden.
IT-Sicherheit im Unternehmen auf dem Prüfstand
„Für Unternehmen, die nicht an Telearbeit gewöhnt waren, musste alles neu aufgebaut werden, und einige mussten bei bestimmten Aspekten der Sicherheit Kompromisse eingehen, z. B. bei der Autorisierung von Aufgaben oder Aktionen, die vorher nur vom Firmennetzwerk aus möglich waren“, sagt Maxime Nempont, Technischer Leiter für Sicherheit bei Stormshield.In der Tat gibt jedes vierte Unternehmen in der Ausgabe 2020 unseres Barometers zur digitalen Transformation an, Zugeständnisse bei der Cybersicherheit gemacht zu haben, um die Geschäftskontinuität zu gewährleisten.Sicherlich mussten – wie es diese Empfehlung von Cybermalveillance.gouv.fr angesichts des ersten Lockdowns zeigt – Unternehmen beispielsweise einige Mitarbeiter bei der Telearbeit anleiten, ohne wirklich die Sicherheit unter Kontrolle zu haben.Einige Unternehmen waren gezwungen, sich mit dem Mangel an verfügbarer IT-Ausstattung abzufinden und zu akzeptieren, dass Mitarbeiter von ihren eigenen Computern aus arbeiten, ohne sich der effektiven Sicherheitsmaßnahmen versichern zu können.
Für Unternehmen, die nicht an Telearbeit gewöhnt waren, musste alles neu aufgebaut werden und einige mussten Kompromisse bei der Sicherheit eingehen.
Maxime Nempont, Technischer Leiter Sicherheit Stormshield
Eine weitere bemerkenswerte Erfahrung: zu lernen, mit der Vervielfachung der Verbindungen von außerhalb des Unternehmens umzugehen.Viele Unternehmen haben vorrangig auf Cloud-Lösungen und webbasierte Tools gesetzt. Die Folge war, dass sich die großen Anbieter Sorgen um ihre Kapazität zur Aufnahme der exponentiellen Nachfrage machen. Für andere hat der umfassende Einsatz von Telearbeit die Frage des Vertrauens in den Vordergrund gestellt.Oder besser gesagt, das Prinzip, grundsätzlich allen zu misstrauen: Zero Trust Network Access (ZTNA ).„Auch wenn VPN nach wie vor ein weit verbreitetes Mittel zur Sicherung des Austauschs bleibt, so gibt es auch andere Technologien, wie etwa ZTNA“, sagt Adrien Brochot.„Mit einem einfachen Prinzip: Habe niemals Vertrauen, wenn ein Benutzer Zugriff auf eine Unternehmensressource anfordert.Und die Sicherheit seines Arbeitsplatzes überprüfen oder eine zusätzliche Authentifizierung verlangen.“So könnte die Gesundheitskrise dazu beitragen, diesen Ansatz zu fördern.
Die Verlagerung zur reinen Telearbeit hat auch die Fähigkeit einiger Unternehmen gestärkt, die bereits gewohnt waren, aus der Ferne zu arbeiten.Aber andere hat es unvorbereitet getroffen – und oft in Schwierigkeiten gebracht –, da sie nicht darauf eingestellt waren. Für sie haben sich die Risiken der Telearbeit zu ihren größten Bedenken entwickelt.Doch trotz eines deutlichen Anstiegs der Angriffe während der Pandemie – einer Deloitte-Studie zufolge waren 25 % der Mitarbeiter im Homeoffice Bedrohungen wie Phishing und Spam ausgesetzt – bleiben die Cyber-Bedrohungen bei der Telearbeit die gleichen wie in den Büros oder Betriebsstätten und das Aufspüren von verdächtigem Verhalten hat sich kaum unverändert.Allerdings haben die IT-Abteilungen durch die Fernarbeit den Überblick über die Handlungen der Mitarbeiter verloren: Die Arbeitsumgebung ist weniger kontrolliert und daher stärker exponiert, und der Risikofaktor Mensch spielt fernab der Schutzmaßnahmen des Unternehmens eine größere Rolle.„Bei Telearbeit sind die Arbeitsplätze stärker exponiert, was bedeutet, dass die IT-Teams zusätzlich gefordert sind, diese Arbeitsplätze, die sich nicht mehr in einer sicheren Umgebung befinden, zu schützen“, sagt Maxime Nempont.
Die zentrale Rolle von HR-Teams
Aus Sicht des HR-Teams ist die unbestreitbare Gefahr, die sich aus dieser langen Zeit gezwungener Fernarbeit ergibt – im Gegensatz zu einer freiwilligen Home-Office-Praxis –, die Vermischung von Berufs- und Privatleben über einen sehr langen Zeitraum.„Was hat HR in dieser Zeit gemacht?Sich um die Mitarbeiter kümmern und sicherstellen, dass ein menschlicher Kontakt aufrechterhalten bleibt.Für Sylvie Blondel, Personalleiterin bei Stormshield, ist die „Vermischung von Arbeits- und Privatleben eine echte Bedrohung, insbesondere aus der Cyber-Perspektive“.Zusätzlich zu schlechten Angewohnheiten, die einige Mitarbeiter generell angenommen haben, hat die Ermüdung der Mitarbeiter angesichts einer nie dagewesenen Gesundheitssituation, in der das eigene Zuhause zum alleinigen Büro wird, zu einer Abnahme der digitalen Wachsamkeit geführt, was sich direkt auf die Cybersicherheit von Unternehmen auswirkt.Die Nutzung des Firmencomputers für persönliches Surfen und das Risiko, den Rechner zu gefährden, der Sicherheit des beruflich genutzten Computers, der normalerweise von IT-Teams verwaltet wird, wenig Aufmerksamkeit schenken...So wie in den letzten Monaten die Aufmerksamkeit seitens der Mitarbeiter nachließ, nahmen proportional die Sicherheitslücken, die von den Unternehmen behoben werden müssen, zu.Das zeigte deutlich, wie wichtig es ist, dass HR-Teams Hand in Hand mit IT-Managern arbeiten.Ein „Aufräumprozess“, der die Bündelung von Fachwissen begünstigt.Fachwissen, das sich bei der Betreuung von Mitarbeitern in Telearbeit als besonders unterstützend erwiesen hat, wie z. B. bei der Durchführung von Sensibilisierungsmaßnahmen.
Muss das Homeoffice neu überdacht werden?
„Telearbeit wird für viele Unternehmen aufgrund von Covid-19 eingeführt und wird seine Spuren hinterlassen“, sagt David Lamiaux, Personalleiter der Kiloutou-Gruppe. Angesichts der andauernden Gesundheitskrise könnte sich die Telearbeit also durchaus zu einer vollwertigen, wenn nicht gar zur vorherrschenden Arbeitsform entwickeln. Ein neuer Trend, der böswilligen Gruppierungen aller Arten großen Spielraum bieten könnte, wenn Unternehmen keine Maßnahmen ergreifen, die Sicherheitsgewohnheiten an dieses neue Paradigma anzupassen und die Risiken der Telearbeit nicht vorherzusehen. Aber wo soll man ansetzen? Welche Maßnahmen können Unternehmen ergreifen, um Telearbeit dauerhaft einzuführen, ohne Abstriche bei der Cybersicherheit zu machen?
Telearbeit wird für viele Unternehmen aufgrund von Covid-19 eingeführt und Spuren hinterlassen.
David Lamiaux, Personalleiter Kiloutou
Mitarbeiter müssen doppelt wachsam sein
Bei der Telearbeit bewahrheitet sich für IT-Leiter das Sprichwort „aus den Augen, aus dem Sinn“.Es ist nicht mehr möglich, schnell den Kopf ins nächste Büro zu stecken, um die Mitarbeiter an die Sicherheitspraktiken zu erinnern.Denn gerade die Wachsamkeit der Mitarbeiter bleibt nach wie vor ein wichtiger Punkt bei der Cybersicherheit, insbesondere zu Hause.Aber wie verhindert man das Nachlassen der Wachsamkeit?Für David Lamiaux ist Wachsamkeit in Bezug auf Internet in erster Linie den Unternehmen und der IT-Verantwortlichen vorbehalten, die sie wie in einem „physischen“ Unternehmen definieren und organisieren müssen.„Der durchschnittliche Mitarbeiter möchte sich nicht um die Sicherheitsprobleme seines Unternehmens kümmern, und ganz allgemein sind die Mitarbeiter nicht oder nur unzureichend für den Umgang mit Cyberrisiken gerüstet.“Was die Bewusstseinsbildung betrifft, muss man sich, neben den klassischen Übungen – welche die Mitarbeiter in großen Mengen erhalten sollten! – bei der Telearbeit das Schwergewicht auf die Bedrohung legen.„Seit 2020 ist es für IT-Leiter wichtig, die Bedrohung durch Telearbeit hervorzuheben, und die Mitarbeiter daran zu erinnern, dass sie auch zu Hause immer noch im Unternehmen sind“, sagt Bertrand Méens, stellvertretender IT-Leiter der IRCEM-Gruppe und Mitglied von CESIN und fügt hinzu:„Dabei ist interessant, sich die Frage nach dem Bewusstseinsszenario zu stellen, das man verwenden will, und es in Bezug auf den Kontext zu konkretisieren.“Es überrascht niemanden, dass die Sensibilisierung der Nutzer ein wichtiger Hebel bleibt, wenn es um das Thema Arbeit und Cybersicherheit geht, zumindest ist dies eine Beobachtung, die von 58 % der Unternehmen geteilt wird, die dieses Thema gemäß TechTarget 2021 als Priorität berücksichtigen wollen.
UX kann auch ein Weg sein, um ein Nachlassen der Wachsamkeit der Mitarbeiter zu kompensieren.Es liegt daher im Interesse der IT-Verantwortlichen, Cyber-Lösungen zu verwenden, die einfach zu handhaben und effektiv sind, und die sich nahtlos in das tägliche Leben der Mitarbeiter integrieren, wie zum Beispiel einige Datenverschlüsselungs-Tools, die jetzt direkt in den Browser integriert werden können oder die Anwendung einer Politik mit automatischer Verschlüsselung.
Sicherstellung der Cybersicherheit außerhalb des Unternehmens
Die Frage der Mobilität und das Thema IT-Sicherheit gehen nicht wirklich Hand in Hand.Um die Kontinuität der Cybersicherheit bei der Telearbeit zu gewährleisten, ist eine reibungslose Umstellung auf Fernarbeit erforderlich, so dass die Mitarbeiter ihre Gewohnheiten kaum ändern müssen. Damit kann der Verlust von Bezugspunkten, die oft gleichbedeutend mit dem Verlust von bewährten Praktiken und Reflexen ist, begrenzt werden.IT-Manager sollten den Mitarbeitern so weit wie möglich die gleiche Arbeitsumgebung wie im Unternehmen bieten, mit einer Vielzahl von IT-Richtlinien und -Verfahren.„Das Thema Cybersicherheit darf nicht mehr aus technischer Sicht betrachtet werden, sondern vielmehr vom Standpunkt der Anwendung aus und damit mitarbeiterorientiert“, sagt Bertrand Méens.Wie läuft die Einführung von VPN?Wie richtet man diese oder jene Software ein?Wie können Dateien verschlüsselt und geschützt werden?Oder auch, wie man seinen Computer in den Standby-Modus versetzt, und den Computer im Zug, im Auto und sogar im Familienkreis nicht unbeaufsichtigt lässt. Auch wenn es wie eine bunt zusammengewürfelte Liste erscheint, bleibt es unerlässlich, an die guten Praktiken bei der Telearbeit zu erinnern.Gleichzeitig können IT-Abteilungen erweiterte Sicherheitsmaßnahmen an den Arbeitsplätzen implementieren, wie z. B. die automatische Sperre oder die Zugriffssperre auf persönliche Peripheriegeräte, und die Vorkonfiguration von Geräten, um die Autonomie der Mitarbeiter einschränken. „Das gibt den Mitarbeitern einen gewissen Schutz und einen Rahmen mit einem vom Unternehmen festgelegten Sicherheitsmodell“, führt Bertrand Méens weiter aus.
Wie sieht es mit der Sicherung von Fernzugriffen aus?
Wenn Telearbeit bereits seit Jahren angewendet wird, so ist sie mittlerweile in fast allen Geschäftsbereichen eines Unternehmens vorhanden und hat direkte Auswirkungen auf die Abbildung der Informationssysteme.Vor zehn Jahren hatten IT-Verantwortliche nur einen einzigen Zugriffspunkt, aber heute haben immer mehr Unternehmen mit Telearbeit, einem Multi-Cloud-Ansatz und kollaborativen Tools zu tun, die weit verstreut sind.Es findet also ein starker Wechsel des Paradigmas des Informationssystems statt, und es müssen technische Maßnahmen ergriffen werden, um das Risikopotenzial von Arbeitsplätzen in Fernarbeit zu begrenzen:„Es müssen strenge Firewall-Regeln aufgestellt und der gesamte Datenverkehr muss durch das Firmennetzwerk geleitet werden“, sagt Maxime Nempont.Die Sicherheit muss sich auch dank Endpoint-Lösungen direkt auf den Arbeitsplatz konzentrieren.Ganz zu schweigen von der Verwendung von VPNs, die immer noch weit verbreitet sind, um Fernaustausch und IS-Verbindungen zu sichern.Dennoch ist Wachsamkeit geboten, da VPNs alles andere als unfehlbar sind. Es wird empfohlen, zusätzliche Maßnahmen zu ergreifen, wie z. B. die Verwendung einer doppelten Authentifizierung (2FA) oder einer Multi-Faktor-Authentifizierung (MFA).
Eine weitere Frage, die sich durch den verbreiteten Einsatz von Telearbeit stellt, betrifft die Sicherung von mobilen Arbeitsplätzen. Smartphones werden immer häufiger genutzt und entwickeln sich zu einem zweiten Desktop, wobei die Wachsamkeit der Mitarbeiter im Umgang mit diesen mobilen Endgeräten oft tendenziell geringer ist. Es ist daher notwendig, die Verwendung von mobilen Arbeitsplätzen so weit wie möglich einzugrenzen und sie von IT-Teams vorkonfigurieren zu lassen. „Es müssen virtualisierte Anwendungen mit den Softwares, für die man eine Autorisation geben möchte und die gesichert werden sollen, festlegt werden“, sagt Bertrand Méens. Ein weiterer möglicher Hebel ist die Anmeldung bei Mobile-Device-Management-Tools (MDM), insbesondere um die Anwendung von Sicherheitsregeln zu gewährleisten und die Möglichkeit zu haben, Daten im Falle eines Verlusts oder Diebstahls aus der Ferne von einem Endgerät zu löschen.
IT-Leiter, die im Jahr 2020 aktiv waren, haben bereits einen ehrgeizigen Fahrplan für die kommenden Monate und eine Schlüsselrolle bei der Strukturierung einer verbesserten Cybersicherheit in der Telearbeit.