Ein kleiner Security-Check für das Netzwerk
Corona beschleunigt die digitale Transformation. Innerhalb kürzester Zeit sind Führungskräfte und Mitarbeiter ins Homeoffice umgezogen. Allerdings achten Firmen dabei fast ausschliesslich auf die Funktionalität. Die IT-Sicherheit bleibt aussen vor. Ein Security Assessment hilft, Schwachstellen im Netzwerk aufzudecken und Sicherheitslücken zu schliessen.
Wie schnell sich die Zeiten ändern: Noch im Dezember 2019 sagte mehr als die Hälfte der befragten Arbeitnehmer im Rahmen einer Studie der Hans-Böckler-Stiftung, dass Homeoffice technisch nicht möglich sei. Vier Monate später hat sich das Blatt gewendet. Im Zuge der Coronakrise haben Unternehmen in Europa aus der Not eine Tugend gemacht und ihre Mitarbeiter zum Arbeiten nach Hause geschickt. In Zeiten von Social Distancing sollen sie remote vom heimischen Schreibtisch aus ihre Aufgaben erledigen. Die IT-Abteilungen haben in den letzten Wochen Höchstleistungen erbracht und die Firmennetzwerke den neuen Anforderungen angepasst.
Langfristig planen und handeln
Der Zugang zum Mailserver und zu anderen Systemen wie etwa Sharepoint ist für das Arbeiten im Homeoffice essenziell. Cloud-Lösungen sind in vielen Situationen das richtige Mittel, sofern eine kurzfristige Migration möglich ist. Viele Szenarien halten aber auch erst einmal für den Übergang her, bis eine dauerhafte Lösung gefunden ist. Zurzeit achten Firmen aber in erster Linie auf die Funktionalität. Business Continuity hat verständlicherweise oberste Priorität. Mittel- und langfristig gedacht, bedeutet Business Continuity aber auch, das Thema IT-Sicherheit integral zu denken. Denn die Zahl der Cyberattacken steigt derzeit. So nutzen Kriminelle den hohen Informationsbedarf der Menschen in Bezug auf Covid-19 konkret aus und versenden unter anderem Phishing-Mails mit Corona-Bezug oder locken sie auf mit Malware verseuchte Seiten.
Eines ist in der aktuellen Situation mehr als deutlich: Gerade jetzt hat die Komplexität der Netzwerke in Unternehmen massiv zugenommen. Die Sicherheit ist aber nicht in dem gleichen Masse gestiegen, weil die Netzwerke oft sehr flach aufgebaut sind. Unterschiedliche Segmente des Unternehmens befinden sich immer noch in ein- und demselben Netzwerk – ohne eine sinnvolle und damit auch sichere Abgrenzung einzelner Bereiche zu haben. Das heisst: Dringt ein Angreifer ins Netzwerk ein, lassen sich die Sicherheitsvorfälle nur sehr schwer eingrenzen. Daher ist es wichtig, bestehende Sicherheitslücken zu identifizieren und die Struktur der IT-Systeme zu überdenken.
Sicherheitslücken erkennen und schliessen
Einen ersten realistischen Eindruck von der IT-Sicherheit ihres Netzwerks erhalten Firmen durch ein Security Assessment. Damit lassen sich vollautomatisiert potenzielle Lücken in der IT erkennen. Dabei finden IT-Sicherheitsexperten immer wieder die gleichen Fehler in Netzwerken, wie etwa veraltete Versionen der Verschlüsselungsstandards SSL oder TLS. In vielen Fällen ist die interne oder externe Certificate Authority möglicherweise nicht vertrauenswürdig. Auch unsichere Secure-Shell-Dienste oder aktivierte Remote-Desktop-Dienste finden Sicherheitsexperten häufiger, als ihnen lieb ist.
Die Unternehmen erhalten im Rahmen eines Security Assessment wertvolle Hinweise, wie sie die IT-Sicherheit gezielt verbessern können. Ergänzend dazu lässt sich durch den Schwachstellenscan die vorhandene Infrastruktur von aussen überprüfen. Bereits dieses Security Assessment liefert ein klares Bild über das Netzwerk und potenzielle Schwachstellen. Gerade in der aktuellen Situation ist diese Massnahme mit wenig Aufwand durchzuführen, bei gleichzeitig niedrigen Kosten.
Jetzt handeln und das Netzwerk prüfen
Wer in der aktuellen Situation bewusst mit dem Thema IT-Sicherheit umgeht, ist deutlich besser geschützt. Der Absicherung gegen vermeidbare Schwachstellen sollten Unternehmen daher eine hohe Priorität einräumen und ein Security Assessment durchführen.
----------
Ein sicheres Homeoffice ist mehr als nur ein funktionierender VPN-Zugang
Infolge der Coronapandemie haben viele Unternehmen ihre Angestellten ins Homeoffice geschickt. Praktikable «Notlösungen» lassen jedoch oft die IT-Sicherheit aussen vor. Cornelia Lehle, Sales Director von G Data Schweiz, erläutert, welche Massnahmen helfen, die IT-Sicherheit zu verbessern. Interview: Coen Kaat
Wie hat G Data die Umstellung auf Homeoffice während der Coronakrise gemeistert?
Cornelia Lehle: Zurzeit arbeiten mehr als 400 Kollegen jeden Tag im Homeoffice. Hier haben unsere Mitarbeiter in der IT in letzter Zeit ganze Arbeit geleistet und die zur Verfügung stehenden VPN-Zugänge ausgeweitet. Wir profitieren natürlich davon, dass wir uns bereits vor mehreren Jahren intensiv mit dem Thema Homeoffice auseinandergesetzt haben. Und als IT-Unternehmen verfügen wir auch über eine Infrastruktur, die relativ gut skaliert ist. Das sieht bei vielen anderen Firmen derzeit sicher anders aus.
Wovor müssen Unternehmen am meisten auf der Hut sein, wenn sie ihre Mitarbeiter ins Homeoffice schicken?
Wir beobachten aktuell sowohl flächige als auch gezielte Phishing-Kampagnen mit Corona-Bezug. Die Cyberkriminellen nutzen gerade den hohen Informationsbedarf der Menschen in Bezug auf Covid-19 konkret aus. Daher sollten Anwender höchste Vorsicht walten lassen, wenn sie eine E-Mail in ihrem Postfach finden, die etwa neue Corona-Tracker oder günstige Atemschutzmasken versprechen. Zwar haben einige grosse Cybercrime-Gruppierungen angekündigt, zumindest keine Krankenhäuser anzugreifen, aber einerseits sind das Einzelfälle und andererseits ergibt sich daraus keine gute Prognose für alle Unternehmen, die nicht gerade ein Krankenhaus sind.
Schliessen sich Homeoffice und eine sichere IT-Umgebung immer gegenseitig aus?
Nein, das schliesst sich eigentlich nicht aus. Das Problem ist einfach: Man muss verstehen, dass ein sicheres Homeoffice mehr als ein funktionierender VPN-Zugang ist – und nicht einmal der kann bei der Mehrzahl der Unternehmen vorausgesetzt werden. Firmen achten in der aktuellen, sehr angespannten Situation in erster Linie auf die Funktionalität. Verständlicherweise hat Business Continuity zurzeit oberste Priorität. Mittel- und langfristig gedacht dürfen die Verantwortlichen aber das Thema Sicherheit nicht vernachlässigen. Beim Thema Homeoffice sind aus meiner Sicht drei Dinge zu beachten. Natürlich das Thema Infrastruktur. Dann folgen die Prozesse und besonders wichtig ist die soziale Komponente. Die meisten Unternehmen betrachten aber nur den ersten Punkt und meinen, dass es damit getan ist. Das ist ein Trugschluss. Gerade, wenn wir über einen längeren Zeitraum im Homeoffice arbeiten müssen, nimmt die Relevanz der beiden anderen Themen dramatisch zu.
Wie hilft ein Assessment, eine IT-Umgebung sicherer zu machen?
Ziel eines Security Assessment ist es, Lücken oder Schwachstellen im Netzwerk aufzuspüren. Diese sollten die Unternehmen dann schnellstmöglich schliessen. Unsere Spezialisten finden leider immer noch viel zu viele vermeidbare Fehler: Die Antiviren-Lösung befindet sich noch im Auslieferungszustand ohne automatische Updates, Logdateien der Firewall bleiben ungelesen oder das Patch-Management wurde abgeschaltet, sodass sicherheitsrelevante Patches fehlen. Auch ein IT-Nutzungsreglement ist in vielen Schweizer Unternehmen nicht vorhanden, sodass die Passwörter auf den oftmals privaten Homeoffice-Geräten die ganze Familie kennt oder ganz fehlen. Eine ebenso grosse Gefahr sind das ungesicherte WLAN der Familie und der Sohn oder die Tochter, die Mamas Homeoffice-PC übers Wochenende nutzen, um online auf ungesicherten Websites zu surfen. Dies alles sind unsichtbare Gefahren, über die sich die Mitarbeiter im Homeoffice leider oftmals viel zu wenige Gedanken machen. Das Schlagwort heisst daher heute mehr denn je: Mitarbeitersensibilisierung!
Wie umfangreich und individuell zugeschnitten sind diese Assessments?
Jedes Unternehmen ist anders. Das berücksichtigen wir auch bei diesem speziellen Homeoffice-Check. Daher betrachten wir in der aktuellen Situation auch Prozesse, Kommunikationswege und die sozialen Gepflogenheiten. Und wir helfen dabei, neue Kanäle und Routinen zu etablieren, die eine effektive Zusammenarbeit ermöglichen – und die ausreichend abgesichert sind. Unsere gewohnte Kommunikation fällt beim Remote Work weg. Daher empfehlen wir Unternehmen auch, einen Kanal zu schaffen, damit Mitarbeiterinnen und Mitarbeiter ganz zwanglos miteinander reden können, während sie zu Hause einen Kaffee trinken.