Der Feind in den eigenen Reihen

Gefahrenherd Home Office

In Zeiten von Corona ziehen viele Mitarbeiter freiwillig oder gezwungenermassen ins Home Office. Das Büro in den eigenen vier Wänden ist aber besonders gefährdet, weil es private und geschäftliche Risiken verbindet. Nun rächt sich, dass viele Firmen Home Office bislang ablehnten. Bromium-Manager Koehler führt aus: «Die im Unternehmen getroffenen Sicherheitsmassnahmen können zu Hause oft nicht uneingeschränkt greifen. Ein Beispiel dafür sind nicht ausreichend gesicherte WLAN-Router.» Hinzu kommt, dass Hacker die Ängste und Hoffnungen der Menschen ausnutzen und infizierte Corona-E-Mails mit Horrormeldungen oder Wundermitteln verschicken.
NTT-Experte Christopher Schmid betont, dass viele Mitarbeiter bisher keine Erfahrung mit der Arbeit im Home Office haben. «Die wenigsten davon dürften ein gezielt auf ein Arbeiten im Home Office abgestimmtes Sicherheitstraining bekommen haben. Einige Firmen dürften nicht einmal Policies haben, mit denen Sicherheitsregeln fürs Home-Office-Arbeiten festlegt sind.» Das Problem, so Schmid: Im Home Office kommen private und firmengestützte IT zusammen. «Was wird auf welchen Geräten erledigt? Berufliche Aktivitäten wie Telefon- und Videokonferenzen werden unter Umständen ausserhalb des Firmennetzwerks durchgeführt, also auf Privatgeräten oder auf Firmenrechnern ohne aktivierten VPN-Zugang.»
Bogdan Botezatu ist ebenfalls besorgt: «Home Office birgt grundsätzlich aus mehreren Gründen Risiken. Hier einige Beispiele, über die man nachdenken sollte: Das IT-Sicherheitsteam verfügt vielleicht über Sensoren innerhalb des Unternehmensnetzwerks, um bei Traffic-Anomalien oder verdächtigem Verhalten zu warnen. Da wir jetzt zu Hause in unserem eigenen Netzwerk sind, hat die IT-Sicherheit keine Ahnung, was durch unser Netzwerk geht. Wir könnten eine unangemessene Sicherheitskonfiguration haben oder Router mit veralteter Firmware. Wenn unsere Büronetzwerke auf Zero-Trust-Sicherheit basieren, dann sind unsere Netzwerke im Home Office genau das Gegenteil. Wir nutzen vielleicht zudem anfällige IoT-Geräte, die sich von Angreifern dazu verwenden lassen, andere Geräte zu kompromittieren. Zu Hause haben mehr unternehmensfremde Personen Zugriff auf die Geschäftsgeräte wie Laptops oder Smartphones.»
BT-Manager Knothe sieht besondere Gefahren vor allem für Unternehmen, die sich in ihren Sicherheitsbemühungen bisher nur innerhalb der Grenzen des eigenen Perimeters bewegt haben. «Wer sich bereits im Vorfeld darum gekümmert hat, Mitarbeiter ausserhalb des eigenen Netzwerks zu schützen, ist eindeutig im Vorteil.»

Gegenmassnahmen

Unternehmen können verschiedene Strategien verfolgen und Produkte nutzen, um dem Sicherheitsrisiko durch die Mitarbeiter zu begegnen. Bromium etwa setzt mit seiner Lösung auf Isolation statt Detektion. Das technische Fundament bildet eine Mikro-Virtualisierung. Sie kapselt jede riskante Anwenderaktivität wie einen Anhang öffnen, ein Dokument herunterladen oder eine Webseite aufrufen in einer eigenen Micro-Virtual-Machine, die nach jeder Aktion automatisch wieder gelöscht wird. «Eine Infizierung des Endgeräts mit Schad-Software – auch mit neuer, bisher unbekannter – ist damit nahezu ausgeschlossen», erklärt Jochen Koehler.
Teamviewer wiederum, so berichtet Apurba Bhangale, sensibilisiert die Mitarbeiter und ihr Sicherheitsbewusstsein kontinuierlich. Dazu werde in All-hands-Meetings mit der ganzen Belegschaft die Bedeutung von IT-Security besonders betont und es gebe regelmässige Workshops, in denen auf die geltenden IT-Security-Policies hingewiesen werde. IT-Security-Best-Practices seien ausserdem fester Bestandteil des Onboarding-Programms für neue Mitarbeiter und man informiere auch regelmässig per E-Mail über neue Angriffsmethoden.
In vielen Unternehmen aber befindet sich das Sicherheitsbewusstsein der Mitarbeiter in einem Dornröschenschlaf. «Viele reden drüber, aber wenige Vorstände und Entscheider wollen Security Awareness nachhaltig finanzieren und wenige haben sie ganzheitlich umgesetzt. Teure Tools zu implementieren reicht nicht aus und vermag fehlende Security Awareness nicht zu kompensieren. Vor allem KMUs haben bei dem Thema einen grossen Nachholbedarf», konstatiert Christopher Schmid.
“Cyberkriminelle sind mittlerweile so gut darin, Netzwerke zu infiltrieren, dass es oft eher darum geht, Angriffe möglichst frühzeitig zu erkennen, bevor sie Schaden anrichten können.„
Egon Kando Area Vice President of Sales Central, Southern and Eastern Europe bei Exabeam
Egon Kando, Area VP beim SIEM-Unternehmen Exabeam, sieht sehr grosse Unterschiede, wie Branchen mit dem Thema Security Awareness umgehen. «Generell kann man sagen, dass Unternehmen mehr in Schulungen investieren, je wichtiger die von ihnen verwalteten Daten sind. Verbesserungspotenzial gibt es vor allem dabei, auch Schulungen zur Auffrischung anzubieten. Die Bedrohungslage und die Angriffsvektoren verändern sich sehr schnell und Mitarbeiter sollten regelmässig geschult werden, um sie auch für die neuesten Angriffsmuster zu sensibilisieren.»
Christian Knothe zufolge hat sich die Lage in den vergangenen Jahren verbessert, sie sei aber noch nicht optimal. «Der Grad der Security Awareness in Unternehmen ist dabei nicht nur eine Frage von Trainings, sondern spiegelt auch die generelle Unternehmenskultur wider. Die Arbeit wird niemals aufhören.»

Andreas Dumont
Autor(in) Andreas Dumont



Kommentare
Avatar
karnickel
17.10.2020
Interessante Zusammenkippung von Sicherheitsthemen. Nur, warum sollte sich jemand mit Phishing Mails und dergleichen befassen, wenn es doch - nach dem Titel des Artikels - um einen "Feind von innen" handelt. Dieser sitzt ja schon im Netz und hat eine interne Absenderadresse. Wahrscheinlich ist hier die Sicht der nicht feindlichen Mitarbeiterinnen und Mitarbeiter gemeint. Unerwähnt bleibt mein Eindruck, den ich von den Unternehmungen insgesamt zu deren Schutz gegen eine eigene, renitente Crew ist. Dieser wird nämlich ausschliesslich per Papiertiger erreicht. Egal ob, wie im Artikel erwähnt, die Belegschaft auf Grund von Fehlern oder absichtlich dem Boss Kosten verursacht, es soll abgesichert sein. Diese zu unterschreibenden Klauseln verschaffen der Unternehmung als Bestandteil des Arbeitsvertrages eine ausgesprochen einseitige Position, um unliebige Typen einfach loswerden zu können. Sollte es zu einem solchen Fall kommen, wäre vermutlich sogar die "Beweisführung" ausgesprochen einseitig: "Unsere IP-Logs haben ergeben...". Es wäre interessant, wie Gerichte bei sowas entscheiden würden. Auch interessant sind Austrittsverträge, die man "Bevor Du nun gehst hier einen Kribel!" unterzeichnet. Dort stehen Floskeln wie: "..damit entfallen sämtliche Rechtsansprüche...". Ganz klar nach Art. 341 OR unzulässig. Der Artikel hier behandelt allgemeine Sicherheitsaspekte im Unternehmen und nicht explizit Angestellte als Bösewichte. Insgesamt habe ich hier einfach den Eindruck, dass der Titel nicht so recht passt.