Mobile-Menu

Remote Security Mehr Homeoffice braucht mehr IT-Sicherheit

Von Ann-Marie Struck

Anbieter zum Thema

Die moderne Arbeitswelt ist hybrid. Die Coronapandemie hat den Weg für moderne Arbeitsmodelle geebnet. Gleichzeitig verschärfen sich Cyberangriffe in Deutschland zunehmend. Gefährdet die Freiheit der Arbeitswelt nun die IT-Sicherheit der Unternehmen?

Remote-Arbeit stellt in Sachen Sicherheit neue Herausforderungen an die IT.
Remote-Arbeit stellt in Sachen Sicherheit neue Herausforderungen an die IT.
(Bild: CROCOTHERY - stock.adobe.com )

Kein Stau auf dem Arbeitsweg, eine Stunde länger schlafen und mehr Ruhe bei der Arbeit – das sind nur ein paar der Vorteile von Homeoffice. Und deutsche Arbeitnehmer wollen diese beibehalten. Während der vergangenen beiden Jahre war die Arbeit von Zuhause ein wichtiges Mittel, um die Ausbreitung des Coronavirus einzudämmen.

Nun kehrt der Alltag schrittweise zurück. Doch deutsche Arbeitnehmer wollen weiterhin aus den eigenen vier Wänden arbeiten, wie eine Studie von Civey bestätigt. Demnach wollen über drei Viertel der darin befragten Arbeitnehmer in Deutschland auch weiterhin hybrid arbeiten.

Risiken für die Cybersicherheit

Die Arbeit vom Homeoffice aus verstetigt sich, doch in Sachen Sicherheit herrscht noch Nachholbedarf, denn die Umstellung auf Remote-Work und damit einhergehend die Einführung von Collaborations-Tools geschah bei vielen Unternehmen ad hoc. Die IT-Sicherheit ist oft nicht mit den schnellen Anpassungen und Umstrukturierungen mitgewachsen. Diese Versäumnisse müssen nun dringend aufgeholt werden, zumal sich die Bedrohungslage in Deutschland deutlich verschärft hat.

Dem Lagebericht der IT-Sicherheit für 2021 des Bitkom zufolge sieht sich jedes zehnte Unternehmen in Deutschland durch Cyberangriffe gefährdet. Demnach haben 86 Prozent aller angegriffenen Unternehmen Schaden durch Cyberkriminalität davongetragen. Dabei stieg die Dimension der Schäden durch Erpressung um mehr als 350 Prozent in den vergangenen drei Jahren.

Weiterhin gilt Ransomware als eine der größten Bedrohungen für die Unternehmenssicherheit. Gemäß dem Report gelingt in den meisten Fällen der Angriff durch Phishing oder Clickjacking. Und kein Unternehmen ist gefeit vor E-Mail-Attacken. Laut dem ersten Statistik-Bericht zur Lage der Cybersicherheit des Bundesamt für Sicherheit in der Informationstechnik (BSI) haben allein im Januar 2022 Unternehmen in Deutschland täglich 30,5 Millionen Spam-E-Mails bekommen. Das macht 61 Prozent der täglichen Mails aus.

Herausforderung: Remote Work

Und Einfallstor für Hacker sind noch immer die Mitarbeiter, die nun vermehrt ortsunabhängig arbeiten und sich über diverse Netzwerke mit unterschiedlichen Devices ins Firmen-Netz einwählen. Dieses Szenario stellt IT-Security-Verantwortliche vor diverse Herausforderungen, wie Calgar Colkusu, Commercial Security Sales Executive DACH Business Development bei Lenovo erläutert: „Bei einer immer mobiler werdenden Belegschaft müssen IT-Abteilungen dennoch die Kontrolle behalten und gleichzeitig auch die Privatsphäre der Mitarbeiter achten sowie Datenschutzbestimmungen im Blick haben. Am Ende des Tages muss aber auch die Usability gegeben sein – Sicherheitskonzepte müssen idealerweise im Hintergrund funktionieren und einfach zu administrieren sein.“

Und die Lister der zu beachtenden Punkt bei Remote Security für Unternehmen ist lang, weiß Ben Kröger, Technische Leitung Cyber Security bei Axians IT-Security. Denn die Remote-Arbeit erweitert nicht nur die Bedrohungsoberfläche, sondern schafft auch völlig neue Angriffsflächen, wie er in in einem Beitrag auf Security-Insider. So ist ein weiterer potenzieller Bereich etwa die Perimeter-Sicherheit, da Mitarbeiter von teils persönlichen, nicht vertrauenswürdigen Geräten über das heimische WLAN auf Collaboration-Tools und kritische Geschäftsanwendungen zugreifen. Dabei reichen bestehende Remote- und VPN-Lösungen dann für einen umfangreichen Schutz möglicherweise nicht mehr aus. Unternehmen müssen ihre Security-Strategie entsprechend anpassen und zu einer grenzübergreifenden Security-Architektur wechseln, um die Geschäftskontinuität weltweit zu ermöglichen.

Bildergalerie

Security-Konzept für den modernen Arbeitsplatz

Angesichts der Komplexität der Remote Security braucht es einen ganzheitlichen Ansatz, wie Colkusu formuliert: „Security-Konzepte müssen ganzheitlich gedacht werden.“ Um einen umfassenden Schutz hybrider Arbeitsplätze zu gewährleisten, sollten Vishal Salvi, CISO & Head of Cybersecurity Practice bei Infosys zufolge sieben Punkte beachtet werden:

  • 1. Zero Trust und Mikrosegmentierung einführen: „Es wird empfohlen, dass Unternehmen einen integrierten Ansatz für die Sicherheit wählen, insbesondere Zero Trust. Eine Zero-Trust-Mentalität ist für den Schutz hybrider Arbeitsplätze unabdingbar, da sie auf Prinzipien wie „Zugang mit geringsten Rechten“, „Kenntnis nur bei Bedarf“ und „immer authentifizieren“ beruht. Benutzer sind standardmäßig nicht vertrauenswürdig.
  • 2. Einführung eines softwaredefinierten Perimeters/ Zero-Trust-Netzwerkzugangs: Software Defined Perimeter (SDP) ist ein wichtiger erster Schritt beim Aufbau einer Zero-Trust-Architektur, da es schwer zu verwaltende VPNs überflüssig macht und den Benutzern einen einheitlichen Prozess für den Zugriff auf Ressourcen bietet, unabhängig vom jeweiligen Standort.
  • 3. Umstellung auf eine identitätszentrierte Architektur: Die Identität ist der Kern der Zero-Trust-Architektur. Vertrauen sollte nicht pauschal vorausgesetzt werden, und die Identität sollte kontextbezogen validiert werden, bevor der Zugriff auf Unternehmensressourcen gestattet wird.
  • 4. Sicherung von Cloud-Workloads: Es ist zwar wichtig, sensible Daten zu verschlüsseln, bevor sie in die Cloud übertragen werden, aber die Überwachung, Kontrolle und Beschränkung des Zugriffs auf Dateien, die Aktualisierung der Netzwerksicherheit und die Verwendung starker Passwörter tragen wesentlich zur Sicherheit von Cloud-Workloads bei.
  • 5. Cyberresilienz:Unternehmen müssen von vornherein mit einem umfassenden Plan abgesichert sein, der Angriffe abwehren kann und das gesamte Unternehmen und nicht nur den Angriffspunkt schützt. Eine robuste Anti-APT-Infrastruktur (Advanced Persistent Threats) in Verbindung mit Analysen des Nutzerverhaltens, einer fortschrittlichen Threat-Intelligence-Plattform, Threat-Hunting-Funktionen und einem rund um die Uhr erreichbaren Cyber-Abwehrzentrum kann dazu beitragen, Bedrohungen in einem frühen Stadium zu erkennen, Präventionsmechanismen zur Verbesserung der Sicherheitslage zu ermöglichen und ein Cyber-Resilienzprogramm aufzubauen, mit dessen Hilfe Unternehmen sich schnell erholen können.
  • 6. Gerätesicherheit gewährleisten: Bei der Einführung eines hybriden Arbeitsmodells sollte der Sicherheitsbeauftragte den Geräten der Mitarbeiter für arbeitsbezogene Aufgaben besondere Aufmerksamkeit widmen. Diese Arbeitsgeräte sollten mit den neuesten Antiviren- und Antimalware-Programmen auf dem neuesten Stand gehalten werden, um das Risiko von Bedrohungen von außen zu verringern.
  • 7. Sicherheitskultur und Mentalität: Im hybriden Arbeitsmodell sollten die Organisationen regelmäßig Schulungen zur Sensibilisierung für Cyberfragen durchführen. Die Sicherheitsteams der Organisation sollten außerdem von Zeit zu Zeit Sicherheitshinweise veröffentlichen. Dadurch wird das Cyber-Bewusstsein der Mitarbeiter gestärkt und unbeabsichtigte Verstöße werden reduziert.“

Doch diese Punkte zu erfüllen, stellt vor allem mittelständische Unternehmen vor eine Mammutaufgabe, wie Wolfgang Kurz, Geschäftsführer bei Indevis berichtet: „Gerade der Fachkräftemangel mache es Mittelständlern schwer, Experten zu gewinnen, die sich fachgemäß um die Remote-Security kümmern.“ Er empfiehlt deshalb die Absicherung der Remote Worker in die Hände von extern zu geben, und Managed Security Services in Anspruch zu nehmen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Netzwerktechnik, IP-Kommunikation und UCC

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

VPN oder Zero Trust?

Bei der Absicherung vom Heimarbeitsplätzen gibt es zwei unterschiedliche Ansätze: Über ein Virtual Private Network (VPN) oder Zero Trust. „VPNs schaffen einen Schutzwall um das Netzwerk, der es authentifizierten Benutzern und Geräten ermöglicht, das Netzwerk zu durchqueren und problemlos auf Ressourcen zuzugreifen“, erklärt Salvi. Jedoch wird autorisierten Nutzern blind vertraut. Das kann zu einer Gefahr werden.

Ein Zero-Trust-Ansatz, wie der Name schon andeutet, traut hingegen erst einmal niemanden. So wird beim Trust-Ansatz zunächst jeder Benutzer und jedes Gerät einzeln überprüft, bevor der Zugriff auf eine bestimmte Anwendung gewährt wird. Des Weiteren wird entgegen zum VPN auch kein „vertrauenswürdiges“ Netzwerk erstellt. Auf was nun setzen?

„Beide Modelle haben Vor- und Nachteile“, sagt Kröger. Standard sei dem Technischen Leiter zufolge eine Lösung via Remote Access VPN für den Zugang zu Unternehmensressourcen und ein Zero-Trust-Ansatz für Cloud Services. Es sind jedoch weitere Varianten wie virtuelle Desktops, wenn Mitarbeiter beispielsweise ihre eigenen Geräte verwenden. Auch Kombinationen mit Remote Access VPNs via SSL zu virtuellen Desktops seien möglich, aber bei vielen Unternehmen wird laut Kröger ein vollwertiger Layer-3-Tunnel mit Gruppenberechtigung das angestrebte Zielszenario sein.

Für Kurz führt hingegen an Zero Trust sowie dem Architektur-Konzept SASE (Secure Access Service Edge) langfristig kein Weg vorbei. „In verteilten Netzwerken ist es schlichtweg zu ineffizient, den gesamten Traffic über VPN zu routen. Klüger ist es, Security an den Endpoint beziehungsweise In die Cloud zu verlagern, um sichere Direktverbindungen zwischen Anwendungen aufzubauen.“ Für ihn hat der klassische VPN Zugang ausgedient. „Künftig verschmelzen sichere Verbindungen mit SaaS-Applikation und Single-Sign-On. Der User arbeitet künftig transparent in unterschiedlichsten Applikationen vollkommen unabhängig vom Zugangsweg,“ prognostiziert der Indevis-Geschäftsführer.

(ID:48421770)