COVID-19 hat viele Organisationen gezwungen, das Thema Remote Work im Schnellverfahren umzusetzen. Was kurzfristig gut funktioniert, muss jedoch langfristig auch IT-Sicherheitsstandards erfüllen. [...]
Das Notebook einpacken und am Küchentisch weiterarbeiten, Emails und Berichte unterwegs lesen, oder den Konferenz-Call mit Kollegen in den USA spät abends in den eigenen vier Wänden führen – Home-Office gehört für viele nicht erst seit COVDI-19 zum Alltag. Das Tempo, in dem in den letzten Wochen Rechner in die Cloud geholt und Software-as-a-Service (SaaS)-Ressourcen erworben wurden, ist jedoch einmalig. Insbesondere Videokonferenz-Tools und Instant-Messaging-Anwendungen (IM) erleben einen Boom. Das Portal Zoom verzeichnete beispielsweise allein im März einen Anstieg des täglichen Datenverkehrs um 535 Prozent.
Bedenken hinsichtlich der IT-Sicherheit und des Datenschutzes stehen bei dieser notgedrungenen Umsetzung oft erst an zweiter Stelle. Die Folgen lassen nicht lange auf sich warten: Ende März berichtete ein Mitarbeiter eines US-Magazins von einem Vorfall, der später als Zoom-Bombing weiter die Runde machen sollte. Während einer Besprechung auf dem Portal schaltete sich ein uneingeladener Gast in die Konferenz ein, manipulierte die Screen-Sharing-Funktion und spielte pornographisches Videomaterial ein. Versuche, den Online-Troll aus dem Meeting zu werfen, blieben erfolglos. Schließlich musste die digitale Konferenz abgebrochen werden. Das FBI meldet in den Wochen danach einen starken Anstieg solcher Video-Entführungen (Video-Hijacking).
Zoom veröffentlichte Richtlinien, um ähnliche Angriffe zu verhindern.
Zoom-Bombing ist bei weitem nicht der einzige Vorfall, der Fragen zur Sicherheitsstrategie von Zoom aufwirft. Fairerweise muss jedoch gesagt werden, dass die Sicherheitsvorkehrungen vieler anderer Konferenz-Tools bei einer genauen Prüfung wohl ähnlich mangelhaft abschneiden würden. Hinzu kommt, dass Mitarbeiter, die zum ersten Mal mit Office 356, Dropbox, Team Viewer, Slack oder Google Hangouts konfrontiert sind, mit anderen Dingen beschäftigt sind, als mit dem korrekten Setup. Die IT hat alle Hände voll zu tun, neben dem Support der Mitarbeiter, Lösungen zu prüfen und eventuelle Probleme zu beheben. Gleichzeitig wird es schwierig den Überblick über die Anzahl und Art der in das Netzwerk neu eingeführten Geräte und Anwendungen zu behalten. Sicherheitslücken sind zwangsläufig die Folge.
Cyberbedrohungen in den eigenen vier Wänden
Dabei ist das Cybersicherheitsrisiko in Remote-Arbeitsumgebung auch so schon hoch genug. Werden Arbeitsrechner an private oder öffentliche WiFi-Netzwerke angeschlossen vergrößert sich automatisch die Angriffsfläche. Mit der steigende Abhängigkeit von Remote-Lösungen wie VPN ist auch die Verfügbarkeit gefährdet. Den erhöhten Internet-Traffic in Zeiten von Corona können die Netzwerkbetreiber zwar bewältigen, trotzdem kann es zu lokalen und temporären Engpässen kommen. Grundsätzlich erhöht das die Chancen von Denial-of-Service-Angriffen, insbesondere auf kleine Heimnetzwerke.
Darüber hinaus steigt die Gefahr, dass beim Vernetzten und Teilen mit Kollegen und Partnern Daten und Dokumente im Netz landen, die dort nicht hingehören. Zoom hat massive Kritik in Sachen Datenschutz einstecken müssen, als bekannt wurde, dass das Unternehmen sich nahezu unbegrenzten Freiheiten im Umgang mit den Nutzerdaten nimmt. Schuld an Datenleaks haben jedoch nicht immer nur Dritt-Anbieter und ihre Tools. Das größte Sicherheitsrisiko für geleakte Daten sind nach wie vor die Anwender selbst. Die Gründe reichen von mangelnder Sorgfalt oder Unwissenheit beim Teilen von Dokumenten über File-Sharing Plattformen, über schlechte Passworthygiene bis zum Vermischen von privaten und beruflichen Email-Accounts, Rechnern oder Cloud-Diensten. Für Angreifer und Hacker bieten sich so zahlreiche neue Gelegenheiten, an unternehmenskritische Informationen zu gelangen und Logindaten abzugreifen.
Vor diesem Hintergrund ist es auch nicht überraschend, dass die Zahl von Phishing-Kampagnen in den letzten Monaten zugenommen hat. Fake News, URLs zu vermeintlichen Gesundheitsseiten und „So schützen Sie sich vor Corona“-PDFs erreichten zeitgleich mit der weltweiten Gesundheitskrise ihren Höchststand. Nach Digital Shadows wurden von Januar bis März über 1.400 neuer Domains in Verbindung mit COVID-19 registriert. Dass viele davon betrügerische Absichten verfolgen ist mehr als wahrscheinlich. Ähnliche Phishing-Strategien werden auch in Zukunft auf Mitarbeiter im Home-Office zielen.
Wie lassen sich Mitarbeiter schützen?
Auch wenn viele Home-Office-Tools als Übergangslösung gedacht sind, werden Unternehmen um ein vollständiges Risiko-Assessment der neuen und stark genutzten IT-Assets kaum herumkommen. CIOs und IT-Verantwortliche sollten grundsätzliche Sicherheitsmaßnahmen in Erwägung ziehen, um das Gesamtrisiko auf ein Minimum zu senken.
- Next-Generation Endpoint Detection and Response (EDR) sowie das kontinuierliche Monitoring aller möglichen Angriffspunkte gehört zum Grundbaukasten der IT-Sicherheit. Die größere und anfälligere Angriffsfläche im Home-Office, ermöglicht es Angreifern Strukturen des Unternehmens auszuspähen und für ihre Zwecke zu missbrauchen. EDR-Lösungen analysieren Aktivitäten von PCs, Notebooks, Tablets und Smartphones auf Auffälligkeiten und schlagen frühzeitig Alarm.
- Um sogenannte Man-in-the-Middle(MITM)-Angriffe abzuwehren, empfiehlt sich die umfassende Nutzung von Always-on-VPNs. „Always-on“ bedeutet, dass das Gerät mit dem vorgesehenen VPN verbunden sein muss, um überhaupt auf internetbasierte Ressourcen zugreifen zu können.
- Identity and Access Management kann den Missbrauch bzw. die Wiederverwendung von gestohlenen oder geleakten Logindaten um ein Vielfaches reduzieren. Multi-Faktor-Authentifizierung empfiehlt sich insbesondere bei kritischen Ressourcen. Wer Zugriffsdaten fortwährend überwacht und kontrolliert, kann zudem anormale Verhaltensmuster und damit mögliche Angriffe identifizieren. Es gilt das Prinzip der geringst möglichen Privilegien, wobei Zugriffsrechte auf einer „Need-to-Know“-Basis vergeben werden.
- E-Mail, Instant-Messaging-Tools, Konferenz-Plattformen und Browser erhalten im Home-Office einen völlig neuen Stellenwert. Dementsprechend sollten spezielle Lösungen zum Einsatz kommen, um Anwender vor böswilligen Angriffen zu schützen.
- Endpoints, sowohl geschäftliche als auch persönliche, sollten in das kontinuierliche Asset Management aufgenommen werden. So wird sichergestellt, dass neue Patches verteilt und Software Vulnerabilities geschlossen werden.
- Mit der räumlichen Trennung wird Kommunikation wichtiger denn je. Dazu zählt auch die Aufklärung der Mitarbeiter über digitale Risiken, Bedrohungsakteure und Betrugsmaschen. Nicht jeder Anwender ist ein Digital Native, und selbst wer souverän mit den neuesten Tools hantiert, ist sich nicht automatisch den damit verbundenen Sicherheitsrisiken bewusst. Praxisleitfäden und Anleitungen sowie Training und Schulungen sind ein Muss, wenn das Home-Office als flexibles Arbeitsmodell auch in Zukunft genutzt werden soll.
Langfristig wird sich zeigen, welche Tools und Anwendungen für das Home-Office sowohl die Mitarbeiter als auch die IT-Sicherheit überzeugen. Was Zoom betrifft, hat das Unternehmen bereits angekündigt, seine Sicherheitsmaßnahmen und Datenschutzrichtlinien von Grund auf zu überarbeiten. Hält der Anbieter was er verspricht, wird die Plattform vielleicht sogar mehr für Sicherheit und Privatsphäre tun als viele vergleichbare SaaS-Lösungen. Bis es soweit ist, lohnt sich ein Blick auf die Benutzereinstellungen. Die Vergabe von Passwörtern an Teilnehmer, die “Warteraum”-Funktion oder das „Off“-Häkchen für das Teilen von Dokumenten und Screens sind nur einige einfachen Maßnahmen, um unerwünschte Gäste daran zu hindern, an Besprechungen teilzunehmen.
*Stefan Bange ist Country Manager DACH bei Digital Shadows.
Be the first to comment