Seitdem sie den Unternehmen geholfen hat, die durch die Pandemie verursachten Störungen zu überstehen, hat die Fernarbeit (die später oft in hybride Arbeitsformen umgewandelt wurde) ihren Fortbestand gefestigt. Da die Grenzen zwischen Arbeit und Privatleben immer mehr verschwimmen, wollen oder müssen viele Menschen nicht nur von jedem Ort und zu jeder Zeit auf Arbeitsressourcen zugreifen, sondern auch von jedem Gerät aus - was die Verwendung privater Geräte zur Erledigung von Aufgaben und zum Zugriff auf Unternehmensdaten sehr wahrscheinlich macht.
Auf der anderen Seite birgt die Nutzung privater Geräte für die Arbeit, sei es ausschließlich oder zusammen mit vom Arbeitgeber zur Verfügung gestellten Geräten, erhöhte Risiken für die Cybersicherheit, vor allem, wenn sie nicht durch robuste Sicherheitsverfahren und -vorkehrungen unterstützt wird. Zwar sind die Bedenken im Zusammenhang mit Bring-Your-Own-Device (BYOD)-Vereinbarungen keineswegs neu, aber die zunehmende Nutzung privater Geräte für die Arbeit hat den potenziell gewaltigen Herausforderungen bei der Sicherung von Unternehmensdaten neues Leben eingehaucht und eine Neubewertung und Anpassung bestehender Richtlinien an die sich verändernde Arbeitsumgebung erforderlich gemacht.
Wie also können Mitarbeiter und Unternehmen die mit den Geräten ihrer Mitarbeiter verbundenen Cyber-Risiken mindern und eine Gefährdung der Unternehmensdaten und der Daten ihrer Kunden vermeiden? Es gibt zwar keine Einheitslösung, aber einige Maßnahmen können Unternehmen sehr gut vor Schaden bewahren.
Verringern Sie die Angriffsfläche für Unternehmen
Die Nutzung von Geräten durch Mitarbeiter, die nicht in den Zuständigkeitsbereich der IT-Abteilung fallen, kann zu einer großen Bedrohung für die Unternehmensdaten werden, insbesondere wenn sie nicht kontrolliert wird. In einer Zeit, in der böswillige Akteure ständig nach Schlupflöchern in der Verteidigung von Unternehmen suchen, ist es eine Selbstverständlichkeit, die Anzahl solcher potenziellen Angriffspunkte zu begrenzen. Daher ist es wichtig, dass Unternehmen eine Bestandsaufnahme aller Geräte durchführen, die auf ihre Netzwerke zugreifen, und Sicherheitsstandards und -konfigurationen festlegen, die die Geräte der Mitarbeiter erfüllen müssen, um ein grundlegendes Schutzniveau zu gewährleisten.
Nicht zugelassene Apps oder andere Software auf Geräten von Mitarbeitern ist eine häufige Risikoquelle, die Schatten-IT insgesamt für die Integrität, Verfügbarkeit und Vertraulichkeit von Unternehmensdaten und -systemen darstellt. Um den unkontrollierten Zugriff Dritter auf sensible Daten zu vereiteln, können Unternehmen davon profitieren, eine "Barriere" zwischen persönlichen und arbeitsbezogenen Informationen auf den Geräten zu schaffen und das Blacklisting (oder Whitelisting) von Anwendungen durchzusetzen. Es gibt auch andere Möglichkeiten, mit Hilfe spezieller Software für die Verwaltung mobiler Geräte die Kontrolle über die Geräte der Mitarbeiter zu behalten, was uns zum nächsten Punkt bringt.
Software und Betriebssysteme aktualisieren
Es kann gar nicht hoch genug eingeschätzt werden, wie wichtig es ist, Sicherheitsupdates zu installieren, um bekannte Sicherheitslücken rechtzeitig zu schließen, denn es vergeht kaum ein Tag, an dem nicht neue Sicherheitslücken in weit verbreiteter Software entdeckt werden.
Es ist sicherlich einfacher, dafür zu sorgen, dass die Mitarbeiter mit aktualisierten Geräten arbeiten, wenn sie vom Unternehmen zur Verfügung gestellte Laptops und Smartphones verwenden und sich auf die Unterstützung der IT-Abteilung verlassen können, die die Software-Updates auf ihren Geräten kurz nach deren Veröffentlichung installiert. Viele Unternehmen nutzen heutzutage Geräteverwaltungssoftware, die nicht nur bei der Installation von Updates auf den Geräten der Mitarbeiter hilft, sondern auch bei der allgemeinen Verbesserung der Sicherheit.
Wenn die Aufgabe, die Software auf den Geräten auf dem neuesten Stand zu halten, von den Mitarbeitern selbst übernommen wird, können Unternehmen zumindest dafür sorgen, dass ihre Mitarbeiter an die Verfügbarkeit von Patches erinnert werden, ihnen Anleitungen für die Anwendung der Updates zur Verfügung stellen und die Fortschritte überwachen.
Herstellen einer sicheren Verbindung
Wenn ein Remote-Mitarbeiter auf das Netzwerk des Unternehmens zugreifen muss, muss das Unternehmen darüber informiert sein. Remote-Mitarbeiter nutzen möglicherweise nicht nur ihre heimischen Wi-Fi-Netzwerke, sondern auch öffentliche Wi-Fi-Netzwerke. In beiden Fällen ist ein ordnungsgemäß konfiguriertes virtuelles privates Netzwerk (VPN), über das Remote-Mitarbeiter auf Unternehmensressourcen zugreifen können, als ob sie im Büro säßen, eine einfache Möglichkeit, die Anfälligkeit des Unternehmens für Schwachstellen zu verringern, die andernfalls von Cyberkriminellen ausgenutzt werden könnten.
Eine weitere Möglichkeit, Fernzugriff auf die IT-Umgebung eines Unternehmens zu ermöglichen, bietet das Remote Desktop Protocol (RDP). Als ein großer Teil der Weltbevölkerung dazu überging, von zu Hause aus zu arbeiten, stieg die Zahl der RDP-Verbindungen sprunghaft an - und damit auch die Zahl der Angriffe auf RDP-Endpunkte. Es gab zahlreiche Fälle, in denen Angreifer Wege fanden, schlecht konfigurierte RDP-Einstellungen oder schwache Passwörter auszunutzen, um Zugang zu Unternehmensnetzwerken zu erhalten. Ein erfolgreicher Cyberkrimineller kann diese Öffnungen nutzen, um geistiges Eigentum abzuschöpfen, alle Unternehmensdateien zu verschlüsseln und Lösegeld zu verlangen, eine Buchhaltungsabteilung dazu zu bringen, Geld auf Konten unter ihrer Kontrolle zu überweisen, oder die Datensicherungen des Unternehmens zu zerstören.
Die gute Nachricht ist, dass es viele Möglichkeiten gibt, sich gegen Angriffe über RDP zu schützen. Der RDP-Zugang muss ordnungsgemäß konfiguriert werden, u. a. durch die Deaktivierung von RDP mit Internetanschluss und die Forderung nach starken und komplexen Kennwörtern für alle Konten, bei denen man sich über RDP anmelden kann. Die richtige Konfiguration von RDP ist nicht alles, und unser aktuelles Dokument bietet Ihnen weitere Informationen:
ZUM WEITERLESEN: RDP auf dem Schirm: Attacken per Remote Zugriff
Schützen Sie Ihre Kronjuwelen
Die Speicherung vertraulicher Unternehmensdaten auf einem privaten Gerät stellt eindeutig ein Risiko dar, vor allem wenn das Gerät verloren geht oder gestohlen wird und nicht passwortgeschützt ist und die Festplatte nicht verschlüsselt ist. Das Gleiche gilt für die Nutzung des Geräts durch andere Personen. Selbst wenn es sich "nur" um ein Familienmitglied handelt, kann diese Praxis dazu führen, dass die Kronjuwelen des Unternehmens kompromittiert werden, unabhängig davon, ob die Daten lokal oder, wie im Zeitalter des ortsunabhängigen Arbeitens üblich, in der Cloud gespeichert sind.
Mit ein paar einfachen Maßnahmen - wie dem obligatorischen Schutz durch ein starkes Passwort und eine automatische Sperre sowie der Unterrichtung der Mitarbeiter über die Notwendigkeit, die Nutzung des Geräts durch andere Personen zu verhindern - lassen sich die Daten des Unternehmens weitgehend vor Schaden bewahren.
Um das Risiko zu begrenzen, dass Unbefugte auf vertrauliche Informationen zugreifen, sollten Unternehmen sensible Daten sowohl bei der Übertragung als auch im Ruhezustand verschlüsseln, eine mehrstufige Authentifizierung einführen und Netzwerkverbindungen sichern.
Sichere Videokonferenzen
Videokonferenzdienste erlebten dank der Pandemie einen Boom, da alle Besprechungen, die ursprünglich persönlich stattfanden, in die virtuelle Welt verlegt wurden. Unternehmen sollten Richtlinien für die Nutzung von Videokonferenzdiensten erstellen, z. B. welche Software zu verwenden ist und wie die Verbindung zu sichern ist.
Insbesondere ist es ratsam, eine Software zu verwenden, die über robuste Sicherheitsfunktionen verfügt, einschließlich einer Ende-zu-Ende-Verschlüsselung und eines Passwortschutzes für Anrufe, um vertrauliche Daten vor neugierigen Blicken zu schützen. Es versteht sich von selbst, dass die Videokonferenzsoftware mit den neuesten Sicherheitsupdates auf dem neuesten Stand gehalten werden muss, um sicherzustellen, dass etwaige Software-Schlupflöcher schnellstmöglich geschlossen werden.
Software und Menschen
Es wäre nachlässig, nicht zu erwähnen, dass der Verzicht auf seriöse mehrschichtige Sicherheitssoftware auf Geräten, die Zugang zu Unternehmenssystemen haben, ein Rezept für eine Katastrophe ist. Eine solche Software - insbesondere wenn sie vom Sicherheits- oder IT-Team des Unternehmens verwaltet wird - kann allen Beteiligten viel Kopfzerbrechen und letztlich Zeit und Geld ersparen. Sie bietet unter anderem Schutz vor den neuesten Malware-Bedrohungen, sichert Unternehmensdaten, selbst wenn das Gerät verlegt wird, und hilft den Systemadministratoren, die Geräte mit den Sicherheitsrichtlinien des Unternehmens in Einklang zu bringen.
Die regelmäßige Sicherung von Geräten und Daten (und das Testen der Backups) sowie die Schulung der Mitarbeiter in Sachen Sicherheit sind weitere Selbstverständlichkeiten - die technischen Kontrollen wären unvollständig, wenn die Mitarbeiter nicht die erhöhten Risiken verstehen würden, die mit der Nutzung privater Geräte für die Arbeit verbunden sind.