Das Jahr 2020 stand ganz im Zeichen der Corona-Pandemie. Das ist auch an der IT-Welt nicht spurlos vorbeigegangen. Dieser Artikel soll einen Überblick darüber verschaffen, wie der Umgang mit Homeoffice und veränderten Arbeitsabläufen sich auf die IT-Sicherheit auswirkt.
Der Inhalt im Überblick
Das Corona-Virus und die Sucht nach Informationen
Angreifer nutzen gerne menschliche Emotionen wie Angst und Sorge aus. Sie wollen ihre Opfer zu einem unbedachten Klick verleiten. Gerade Anfang des Jahres 2020, wo jedermann jederzeit jegliche Art von Information zur Corona-Lage begierig anklickte, hat dies bereits gut funktioniert. Je ernster die Lage um das Infektionsgeschehen ist, desto wahrscheinlicher ist es, dass erneut auch Hackergruppen versuchen werden, mit Mails und gehackten oder gefälschten Websites insbesondere im Corona-Umfeld Anwender dazu zu verleiten, bösartige Links anzuklicken oder Dokumente mit Schadsoftware herunterzuladen. Selbstverständlich gelten hier wie überall die bekannten Regeln:
- Links überprüfen
- allzu reißerisch aufgemachte Websites grundsätzlich meiden,
- und jegliche Anhänge aus unbekannter Quelle sehr umsichtig behandeln.
Es ist sicher keine schlechte Idee, seine Anwender noch einmal konkret auf die Gefahren hinzuweisen, die von dieser Seite drohen.
Zusätzlich sind die Administratoren aufgefordert, bei der Einrichtung von Homeoffice-Arbeitsplätzen auf eine sorgfältige Konfiguration der ausgehändigten Notebooks entsprechend der Vorgaben des Unternehmens zu achten. Und selbstverständlich muss auch jetzt jede Konfigurationsänderung an der Firewall oder die Erweiterung des VPN-Servers ein gewissenhaft geplanter und genehmigter Change sein. Nur so sind versehentliche Fehlkonfigurationen zu vermeiden.
Besondere Risiken im Homeoffice
Immer mehr Mitarbeiter arbeiten nicht mehr im Büro, sondern von zu Hause aus. Gerade wenn die Umstellung erst kürzlich angesichts des Beschlusses der Ministerpräsidentenkonferenz erfolgt ist, sollten Sie diese häuslichen Arbeitsplätze ganz besonders im Blick haben.
Wie war es vor Corona? Sicherlich haben Sie für ihr Gebäude, und vermutlich auch für bestimme Innenbereiche (Personal, Finanzen) oder Räume (Server, Netzwerk) Maßnahmen zum berechtigten Zutritt eingerichtet. Lieferanten, Besucher und Gäste unterliegen festen Regelungen. Spätestens der Empfang, möglicherweise aber auch schon der Pförtner am Hoftor, setzt diese Regeln durch.
Auch der Umgang mit Dokumenten ist klar geregelt. Vertrauliche Dokumente müssen in verschlossenen Schränken aufbewahrt werden. Auf jeder Etage gibt es mindestens einen Datenschutzcontainer oder einen DIN 66399-2 zertifizierten Aktenvernichter. So weit, so gut.
Doch was gilt davon zu Hause noch? Sie können auf keinen Fall davon ausgehen, dass jeder Ihrer Mitarbeiter einen abgeschlossenen Arbeitsraum hat. Geräte und Unterlagen werden vermutlich nicht in jedem Fall geschützt vor fremdem Zugriff sicher aufgehoben. Gehen Sie eher vom Gegenteil aus: Der Laptop steht auf dem Esstisch. Besucher, Gäste, Kinder und Haustiere haben freien Zugriff auf den Rechner. Ausdrucke erfolgen auf dem heimischen AirPrint-Drucker. Das ist ein Multifunktionsgerät, es funktioniert selbstverständlich auch als Scanner und kann Daten über seinen Internetanschluss direkt versenden.
Jetzt erklären Sie mir als Auditor bitte das Netzwerk-Diagramm ihres Unternehmens. Gerne unter Einbeziehung der häuslichen Geräte Ihrer Mitarbeiter und des Patch Managements auf besagtem Multifunktionsdrucker.
Das geht gar nicht? Völlig richtig!
Was bleibt für einen sicheren Homeoffice-Arbeitsplatz?
- Alle Geräte bleiben in zentraler Verwaltung. Sie werden von Ihrer IT zentral gepatcht.
- Die Netzwerkeinstellungen der Firmenrechner verhindern einen direkten Zugang ins Internet.
- Firmenrechner werden mit dem Firmen-Netzwerk über ein VPN verbunden.
- NUR über diesen VPN-Tunnel wird mit der Firma kommuniziert. Erst von dort gibt es einen (kontrollierten) Übergang ins Internet.
- Der Anschluss privater Geräte an Firmenrechner ist verboten.
- Jeder Mitarbeiter wird darauf hingewiesen, dass seine Kennung auf keinen Fall an Dritte weitergegeben werden darf. Niemand anderer als nur der Mitarbeiter selber darf mit dem Firmenrechner arbeiten.
- Von Zeit zu Zeit überprüfen Sie Stichprobenhaft die Plausibilität der Anmeldungen. (Betriebsrat beteiligen!)
- Alternativ beschränken sie die Möglichkeit der Anmeldung auf die üblichen Arbeitszeiten. Für Notfälle organisieren sie eine Ausnahmeregelung über die IT.
Die Zahl der Angriffe nimmt weiter zu
Auch sollten Verantwortlich immer mal wieder einen Blick in Quellen wie den mtrends report 2020 werfen. Diese Reports ermöglichen eine Einschätzung, wie sich Gefährdungslagen aktuell entwickeln. Demnach ist z.B. die durchschnittliche Verweildauer von 78 Tagen in 2018 auf 56 Tage in 2019 gesunken. Die Verweildauer ist ein Maß dafür, wie viele Tage vergehen, bis ein Angriff erkannt wird. Deutlich mehr als ein Viertel aller Angriffe wird innerhalb der ersten Woche erkannt. Es gibt allerdings auch immer noch Angriffe, die erst nach mehr als zwei Jahren entdeckt werden. Die Folgen, die so ein Angriff haben kann, sind nur schwer zu beziffern.
Auch wenn die Angriffe allgemein aufgrund der verfügbaren Tools immer technischer werden, ist der Diebstahl von Anmeldeinformationen (Benutzerkennungen, Passwörter) immer noch aktuell. Aber 59% der für die entdeckten Angriffe verwendeten Malware war bereits bekannt.
Insgesamt ist eine steigende Anzahl von Angriffen zu verzeichnen. Dies hängt auch damit zusammen, dass der Markt für einschlägige „Dienstleistungen“ deutlich gewachsen ist.
Wenn ein Unternehmen einmal angegriffen wurde, deutet das stark daraufhin, dass es als „lohnendes Ziel“ identifiziert wurde. Mit einer Wahrscheinlichkeit von 33 % wird dieses Unternehmen deshalb erneut angegriffen werden. Aus diesem Grund reicht es niemals aus, nur den durch den Angriff verursachten Schaden zu beheben. Immer muss nach dem Angriff Sorge dafür getragen werden, eine zusätzliche Ebene der Absicherung einzuziehen.
Interne Bedrohungen
Die Abwehr der Angriffe von Innen muss anders strukturiert werden, als die Abwehr von Außen. Abschottung kann hier nicht greifen. Der Innentäter muss gerade wegen seiner Tätigkeit im Unternehmen Zugriff auf Informationen, Dokumente, Netze und Systeme haben.
Die regelmäßige Auswertung von Logfiles kann Hinweise darauf liefern, ob das Verhalten von Mitarbeitern plausibel und mit ihren eigentlichen Aufgaben vereinbar ist. Das kann Dienstzeiten betreffen, Zugriffe auf bestimmte Systeme oder auch den Zutritt zu bestimmten Bereichen oder Räumen.
Eine strikte Dokumentenklassifizierung wird dafür sorgen, dass schützenswerte Informationen so vertraulich bleiben, wie sie sind. Insbesondere der Umgang mit Datenträgern und die Erfassung aller Wege zur Datenübermittlung können für die nötige Transparenz sorgen. Klare Regeln, auf welche Art Informationen über welche Kommunikationskanäle übertragen werden dürfen, helfen.
Ein eher weicher Indikator ist die aufmerksame Beobachtung des Kommunikationsklimas im Unternehmen. Kommen Gehässigkeiten, scheinbar „freundliche“ Frotzeleien vermehrt vor? Bilden sich Gruppen, die miteinander nicht kooperativ kommunizieren? Grenzen sich Mitarbeiter ab, oder bauen sie gezielt Inselwissen auf? All das können Hinweise darauf sein, dass Mitarbeiter sich innerlich von den Zielen des Unternehmens entfernt haben.
Informationsabfluss über Cloud Services
Auf den Rechnern ihres Unternehmens darf vermutlich nur freigegebene, lizensierte Software laufen, die von der IT installiert wurde. Lokale Admin-Rechte und die Möglichkeit, selber Software zu installieren, werden zu Recht immer häufiger entzogen. Stattdessen sorgt ein zentrales Softwaremanagement dafür, dass Updates und Patches zeitnah installiert werden.
Ein willkommener Nebeneffekt dieser Regelung ist, dass sie einen Überblick darüber erhalten, auf welchen Wegen ihre Systeme mit der Außenwelt kommunizieren und an welcher Stelle Informationen abgelegt sind.
Dass inzwischen sehr viele Dienste auch über den Webbrowser erreichbar sind, wird dabei leicht übersehen. Dabei ist es sehr einfach, und in vielen Anwendungen oft sogar kostenlos, direkt im Webbrowser Mindmaps, Netzwerkdiagramme oder Projektpläne zu erstellen. Eine lokale Installation ist nicht nötig, die Anwendung läuft komplett im Webbrowser. Arbeitsergebnisse werden auf den Servern der Anbieter gespeichert. Es ist keine Selbstverständlichkeit, dass diese Server in Europa stehen. Über die Sicherheit ihrer Daten, sowohl was Verfügbarkeit als auch was die Zugriffskontrolle angeht, haben Sie dann oftmals keine Informationen. Dies ist auch ihren Mitarbeitern oft nicht bewusst.
Es ist deshalb gerade in Zeiten, wo ihre Mitarbeiter unter Umständen über längere Zeit alleine und ohne regelmäßige Kommunikation mit der IT-Abteilung (und sei es nur in der Kaffeepause) arbeiten wichtig, die Nutzung solcher Webservices in einer internen Schulung zu thematisieren.
Risiken bekannt – Schutz schaffen
Nur wer um die aktuellen Risiken und Bedrohungen weiß, kann einschätzen, ob diese auch für einen selbst einschlägig sind und sich davor schützen. Leider gibt es keinen hundertprozentigen Schutz vor Angriffen. Man sollte daher immer auch darüber nachdenken, wie mit einem möglichen IT-Sicherheitsvorfall umgegangen wird. Hier zahlt sich am Ende das Erstellen und üben von Notfall- und Incident-Response-Plänen aus.
