Remote zu arbeiten, birgt Sicherheitsrisiken. So kommen Sie Cyberkriminellen zuvor. [...]
Es ist längst kein Geheimnis mehr, dass der Mensch die größte Schwachstelle in jedem Unternehmensnetzwerk ist. Sei es die Unfähigkeit, ausreichend komplexe Passwörter für mehrere Systeme richtig zu verwalten, schlechte Gewohnheiten in sozialen Kanälen oder mangelndes Gefahrenbewusstsein bei E-Mail-Links, oder die Nutzung von Software. In einer von Remote Work geprägten Post-COVID-Welt stellt das für Unternehmen zunehmend ein Problem dar. Schließlich können sich laxe Sicherheitsgewohnheiten auch auf persönliche Geräte mit Firmendaten ausdehnen, die für die Unternehmens-IT weder sicht- noch kontrollierbar sind.
Es gilt einen Weg zu finden, den Mitarbeitern dabei zu helfen, sich selbst und die Unternehmensressourcen besser zu schützen und gleichzeitig das Budget einzuhalten. Eine Möglichkeit, das zu tun: Sie ermutigen Ihre Mitarbeiter dazu, den nachfolgend aufgeführten Sicherheitspflichten nachzukommen.
Remote Work: Top Security-To-Dos
Cybersecurity-Schulung
Viele Unternehmen haben bereits irgendeine Form von Cybersicherheitsschulung etabliert, aber den Mitarbeitern Awareness zu vermitteln, ist eine schwierige Aufgabe. Bedenken Sie den Nutzen einer solchen Schulungsinitative: Wenn die Mitarbeiter in den Schutz ihres eigenen digitalen Lebens investieren, ist der Schutz der Unternehmensinteressen ein wichtiger Nebeneffekt. Cybersecurity-Schulungen gibt es in vielen verschiedenen Preisklassen und mit unterschiedlichen Schwerpunkten. Einer sollte darauf liegen, sich die richtigen, digitalen Gewohnheiten anzueignen.
Digitale Wallets
Auch digitale Wallets werden traditionell nicht unbedingt als Sicherheitstool betrachtet, können aber aus mehreren Gründen nützlich sein. Je seltener eine Person ihre physische Brieftasche herausnimmt, desto geringer ist die Gefahr, eine Karte zu vergessen oder zu verlieren. Das könnte die Grundlage für eine Identitätskompromittierung darstellen. Wallets können zudem online anstelle einer Kreditkarte verwendet werden oder als Möglichkeit, ein Profil zu erstellen, ohne ein Konto anzulegen. Das trägt dazu bei, den digitalen Fußabdruck einer Person zu minimieren und auf Dienste zu beschränken, die ein hohes Maß an Sicherheit gewährleisten. In vielen Fällen verfügen die Mitarbeiter wahrscheinlich bereits über digitale Geldbörsen (Apple Pay oder Google Wallet). Sie müssen lediglich über den Wert und möglicherweise die Einrichtung aufgeklärt werden.
Passwort-Manager
Obwohl viele Unternehmen Maßnahmen ergreifen, um die passwortbasierte Authentifizierung und die mit ihr verbundenen Risiken zu beseitigen: Es ist noch ein weiter Weg bis „Passwordless„. Auf der Verbraucherseite sieht es noch schlechter aus, nur die wenigsten B2C-Services bieten eine passwortlose Authentifizierung. Im Allgemeinen beschränkt sich das auf Dienste von Branchenriesen wie Microsoft und Google.
Dennoch können Sie Ihr Bestes tun, um eine angemessene Passwortverwaltung zu fördern. Dazu gehört vor allem die Verwendung eindeutiger, komplexer Passwörter (nicht nur gespickt mit Sonderzeichen, sondern auch ausgestattet mit ausreichender Länge) für jede Online-Plattform. Von Ihren Mitarbeitern direkt zu erwarten, diese Aufgabe selbständig und ohne Hilfe bewältigen zu können, ist kein guter Ausgangspunkt – erwägen Sie deshalb die Anschaffung eines Passwort-Managers.
Ein guter Passwort-Manager fördert gute Gewohnheiten, indem er warnt, wenn dasselbe Passwort für mehrere Konten verwendet wird. Im Regelfall gibt er auch Auskunft darüber, wie stark das gewählte Passwort ist und hat in vielen Fällen auch einen Passwort-Generator an Bord. Passwortmanager sind auch für das Identity Monitoring hilfreich, wenn sie im Darknet nach kompromittierten Zugangsdaten Ausschau halten oder warnen, wenn ein bestimmter Service Opfer von Cyberkriminellen wurde (was eine Passwortänderung erforderlich macht).
Zwei-Faktor-Token
Idealerweise sollte die Zwei-Faktor-Authentifizierung (2FA) standardmäßig für kritische Workloads zum Einsatz kommen. Zumindest sollten die Mitarbeiter jedoch für E-Mail- und Finanzkonten den zusätzlichen Authentifizierungsfaktor verwenden. Es gibt verschiedene 2FA-Systeme wie zeitbasierte Einmalpasswörter (TOTP) oder auch Hardware-Token wie den Yubikey von Yubico, der mit einer Vielzahl von Anwendungen und Diensten (sowohl webbasiert als auch lokal) funktioniert.
Laut einer Google-Studie bieten Hardware-Tokens einen stärkeren Schutz gegen gezielte Angriffe als App-basierte Authentifizierung.
Anti-Malware-Lösungen
Anti-Malware-Software schützt die Geräte der Mitarbeiter vor den meisten Malware-Kategorien und -Varianten. Dazu setzt die Software verschiedene Techniken ein – vom Signaturabgleich bis zur KI-basierten Erkennung.
Gerätebasierte Angriffe sind immer noch ein beliebter Weg, um Anmeldeinformationen oder andere sensible Benutzerdaten zu stehlen, unabhängig von Gerätetyp oder Betriebssystem. Angesichts der illustren Geschichte gerätebasierter Angriffe, sollten Sie keine Probleme haben, anschauliche Beispiele dafür zu finden, warum Ihre Mitarbeiter diese Software installieren sollten.
VPN-Dienste
VPNs sind heutzutage in Unternehmensnetzwerken allgegenwärtig, vor allem, weil sie relativ einfach zu implementieren sind. Zudem bieten sie ein gewisses Maß an in nicht vertrauenswürdigen Netzwerken und ermögliche den Benutzern den Zugriff auf Unternehmensressourcen – so, als wären sie vor Ort.
Wenn es darum geht, mitarbeitereigenen Geräten Zugang zum Unternehmensnetzwerk zu gewähren, haben viele Unternehmen berechtigte Bedenken. Dabei ist es ein guter Kompromiss ein Virtual Private Network zu nutzen – insbesondere, wenn öffentliche WLAN-Hotspots Verwendung finden.
Backup-Lösungen
Angesichts der Bedrohung durch Ransomware ist es essenziell, kritische Daten wiederherstellen zu können. Den Mitarbeitern eine Backup-Lösung für ihre persönlichen Geräte zur Verfügung zu stellen, macht durchaus Sinn, wenn auf diesen Geräten mit Unternehmensdaten gearbeitet wird.
Eine mögliche, kostengünstige Alternative ist eine Cloud-Speicherlösung, die resistent gegen Cryptolocker ist. Das heißt, sie kann einen Ransomware-Angriff erkennen und die abgelegten Daten vor Verschlüsselung schützen. Wenn Sie diesen Weg in Erwägung ziehen, sollten Sie bedenken, was Sie verlieren: Die automatische Sicherung bestimmter Dateien oder Ordner nach einem bestimmten Zeitplan und die Überwachungs- oder Berichtstools, die in einer „richtigen“ Backup-Lösung verfügbar sind.
Laptops, Telefone, Netzwerkhardware
Entweder Sie investieren vorab in die Sicherheit oder Sie riskieren Kosten, die durch einen Datenschutzverstoß entstehen können. In der Regel räumen große Unternehmen Investitionen in die Sicherheitsinfrastruktur eine höhere Priorität ein. Doch auch kleine und mittlere Unternehmen sollten abwägen, ob die Sicherheitsrisiken der Remote-Arbeit nicht zusätzliche Ausgaben rechtfertigen – wenn auch möglicherweise nur für eine begrenzte Anzahl von Benutzern, etwa Führungskräfte.
Die Anschaffung von Geräten oder Netzwerkhardware, die Ihre Mitarbeiter von zu Hause aus nutzen können, erhöht das Sicherheitsniveau, da die Reichweite (und Kontrolle) der IT-Verwaltung des Unternehmens ausgeweitet wird. So können Sie potenzielle Bedrohungen im Auge behalten und bei Bedarf im Keim ersticken. Laptops und mobile Geräte sind dabei eher übliche Investitionen, aber Sie sollten auch Netzwerkhardware wie WLAN-Zugangspunkte oder Router und Firewalls in Betracht ziehen, da diese Geräte zunehmend ins Visier von Cyberkriminellen geraten. Wird die Netzwerkhardware im Homeoffice kompromittiert, sind alle Geräte im Unternehmensnetz gefährdet.
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.
*Tim Ferrill ist IT-Experte und beschäftigt sich in erster Linie mit Windows und Windows Server. Er schreibt für unsere US-Schwesterpublikation CSO Online.
Be the first to comment