Rückversicherung

Veränderte Arbeitsformen

Angesichts der fortschreitenden Verbreitung des Coronavirus kommt es zu immer neuen Richtlinien und Vorgaben seitens der Regierungen. In vielen Ländern sind gesunde Menschen erstmals aufgefordert, nicht zwingend nötige Kontakte zur Öffentlichkeit zu vermeiden – nicht nur bezogen auf größere Menschenansammlungen und öffentlichen Verkehrsmittel, sondern auch am Arbeitsplatz.

In der Folge sind zahlreiche Unternehmen weltweit gezwungen, ihr Geschäftsmodell anzupassen und deutlich mehr Beschäftigten als bisher die Arbeit im Homeoffice zu ermöglichen. Die IT- und Management-Teams arbeiten mit vollem Einsatz an der dafür erforderlichen Infrastruktur und Organisation. In Anbetracht der dringenden Notwendigkeit, den Geschäftsbetrieb aufrechtzuerhalten, besteht dabei aber ein erhebliches Risiko, dass die Sicherheit nicht ausreichend durchdacht wird.

Für eine optimale Cybersicherheit im Unternehmen sollten daher immer folgende Punkte berücksichtigt werden:

  • Sind die eingesetzte Technologie und Infrastruktur vor böswilligen Akteuren außerhalb und innerhalb des Unternehmens geschützt?
  • Haben alle Mitarbeitenden, Subunternehmer und relevanten Dritten des Unternehmens klare Anweisungen und Hilfestellungen für eine sichere Arbeitsweise?
  • Behindern vorhandene Sicherheitsmaßnahmen die Mitarbeitenden bei der effektiven Durchführung ihrer Arbeit?

Mit dem richtigen Maß an Sicherheit ist Ihr Unternehmen gut aufgestellt, um mögliche Bedrohungen der Cybersicherheit abzuwehren. Zu wenig Sicherheit, und Sie sind angreifbar. Zu viel Sicherheit an den falschen Stellen, und Ihre Mitarbeitenden fühlen sich bevormundet und beginnen unter Umständen, Regeln und Vorgaben zu umgehen, wodurch das Unternehmen letztlich doch verwundbar wäre.

Wichtige Sicherheitshinweise für den Aufbau von Remote-Kapazitäten

In diesem Zusammenhang hat S-RM im Folgenden einige wichtige Punkte definiert, die bei der Planung oder Anwendung von Möglichkeiten zur Heimarbeit berücksichtigt werden sollten.

Sicherung von Geräten

Eine wichtige Voraussetzung für die Arbeit im Homeoffice ist die richtige technische Ausrüstung, beispielsweise Laptops, Mobiltelefone, Tablets und andere Geräte. Viele Unternehmen stellen ihren Mitarbeitenden derzeit zusätzliche Geräte zur Verfügung, damit sie auch außerhalb des Büros voll einsatzfähig bleiben. Dabei sollte aber Folgendes beachtet werden:

Stellen Sie sicher, dass Sie über ein wirksames Ressourcenmanagement verfügen. Informieren Sie sich darüber, welche Geräte Zugang zu Ihrem Netzwerk und Ihren Daten haben, schaffen Sie Spielraum für Änderungen und blockieren oder entfernen Sie ältere Geräte aus Ihrem Netzwerk, bevor sie zu einer Sicherheitslücke werden.

Alle Firmengeräte, vor allem solche, die außerhalb der Geschäftsräume genutzt werden, sollten verschlüsselt werden, damit die Daten bei Verlust oder Diebstahl geschützt sind.

  • Nutzen Sie BitLocker oder eine andere geeignete Lösung für Windows-Geräte.
  • Stellen Sie sicher, dass die Verschlüsselung auf Apple-Geräten aktiv ist (normalerweise der Fall!).
  • Sorgen Sie auch bei anderen Mobilgeräten für eine geeignete Verschlüsselung.

Wenn Sie Mitarbeitenden die Nutzung persönlicher Geräte für Arbeitszwecke erlauben, sollten Sie überlegen, ob Ihre Unternehmensdaten dort angemessen gesichert sind. Mit Mobile-Device-Management-Lösungen können Sie die Daten auf diesen Geräten sichern oder einschränken, auf welche Daten Ihre Mitarbeiter überhaupt zugreifen dürfen.

Vergessen Sie dabei nicht die Geräte, die sich nach wie vor im Büro befinden. Gibt es angesichts der vielen Mitarbeitenden, die von zu Hause arbeiten, noch genügend physische Sicherheit an Ihren Standorten, um Server, Desktop-Computer und andere Teile des Netzwerks vor böswilligen Akteuren zu schützen?

Vergessen Sie bei Veränderungen bzgl. Geräten, Mitarbeitenden und Benutzerkonten nicht die anderen Bereiche des Sicherheitsalltags: Unter anderem starke Passwörter, sichere und geeignete lokale Administratorkonten und die Kontrolle über die Anwendungen und Dienste in Ihrem Netzwerk sind genauso wichtig wie immer.

Der Zugriff auf Ihr Netzwerk sollte für berechtigte Benutzer einfach sein, für alle anderen aber gesperrt (oder zumindest sehr schwierig).

Sicherung Ihrer Netzwerke

Zusätzlich zur ausreichenden Sicherung der Endgeräte und Server ist es natürlich wichtig, dass beide Seiten tatsächlich eine Verbindung herstellen können. Der Zugriff auf Ihr Netzwerk sollte für berechtigte Benutzer einfach sein, für alle anderen aber gesperrt (oder zumindest sehr schwierig). Berücksichtigen Sie Folgendes:

  • Art der Verbindung. Gut konfigurierte VPN-Clients auf allen Mitarbeitergeräten ermöglichen den sicheren Zugriff auf das Netzwerk über einen „privaten Tunnel“. Für besondere Anwendungsfälle stehen weitere sichere Zugangslösungen zur Verfügung. Wenn Ihre Mitarbeitenden den Zugriff über das offene Internet herstellen sollen, erfolgt dann eine Verbindung zu einer bestimmten externen Firewall oder einem gut überwachten Cloud-Service wie Office 365? Versuchen Sie bei der Planung des Benutzerzugriffs die Gefährdung weiterer Bereiche Ihres Netzwerks durch das Internet und seine zahlreichen Bedrohungen so weit wie möglich zu begrenzen.

     

  • Den Zugriff beschränken. Viele Arten von Verbindungen lassen sich so konfigurieren, dass sie noch besser gegen böswillige Akteure abgesichert sind. Wenn Sie einen Cloud-Dienst wie Office 365 nutzen, sollten Sie den Zugang nach Möglichkeit auf bestimmte Geräte, IP-Bereiche oder Verbindungsarten beschränken. Firewalls und andere Dienste bieten viele ähnliche Möglichkeiten für eine umfassende Verwaltung der Zugriffsregeln. Berücksichtigen Sie auch Einschränkungen innerhalb des Netzwerks. Wenn Verbindungen oder Benutzerkonten am Zugriff auf bestimmte Bereiche gehindert werden, sinkt auch das Risiko durch einzelne Mitarbeitende oder eine unvorhergesehene Schwachstelle.

     

  • Starke Authentifizierung. Der nächste Schritt bei der Sicherung Ihrer Zugriffe besteht darin, die Durchsetzung von starken Passwortrichtlinien und Multi-Faktor-Authentifizierung sicherzustellen. Starke Passwortrichtlinien, die zwingend durchgesetzt werden, sind ein Muss für alle Dienste – nicht nur für diejenigen, die öffentlich zugänglich sein sollen. Multi-Faktor-Authentifizierung sollte überall dort zum Einsatz kommen, wo es für Ihr Unternehmen praktikabel ist. Bedenken Sie, dass es viele Authentifizierungsarten gibt. Auch wenn Textnachrichten auf den ersten Blick als Weg des geringsten Widerstands erscheinen, ist Ihr Unternehmen deutlich sicherer, wenn Sie noch Zeit für die Einrichtung einer Authentifizierungs-App haben. Um mögliche Frustration bei Mitarbeitenden zu vermeiden, kann stellenweise auch eine gerätebasierte Authentifizierung in Betracht kommen.

     

  • An alles denken. Bei der Sicherung eines Netzwerks müssen alle verschiedenen Zugriffsmöglichkeiten berücksichtigt werden. Wie greifen Ihre Mitarbeitenden von Mobilgeräten auf ihre Postfächer zu? Müssen sie sich mit Betriebstechnik wie zum Beispiel Fabrikanlagen verbinden (und ist das wirklich sicher)? Wie gestaltet sich der Remote-Desktop-Zugriff auf Ihr Netzwerk? Wenn Sie diese Punkte nicht absichern, entstehen Schwachstellen, blockieren Sie zu viel, können Ihre Mitarbeitenden nicht mehr effizient arbeiten.

Mitarbeiterverbindungen sichern

Auch wenn das Netzwerk auf Unternehmensseite gründlich abgesichert ist, haben die Daten ihren Ursprung woanders. Da sich die Mitarbeitenden außerhalb Ihrer gesicherten Umgebung befinden, müssen sie oftmals selbst für angemessenes Verhalten sorgen. Sie können Ihre Mitarbeitenden dabei unterstützen, indem Sie ihnen praktische Anleitungen zu folgenden Themen an die Hand geben:

  • WLAN im Homeoffice einrichten. Viele Homeoffice-Anwendende vernachlässigen bei der Einrichtung ihrer Remote-Umgebung grundlegende Sicherheitsaspekte. Sie können Ihren Mitarbeitenden mit einfachen Ratschlägen helfen, die von der Geschäftsleitung unterstützt werden. Ganz entscheidend sind zum Beispiel das Ändern des Netzwerknamens und der Administrator-Zugangsdaten. Außerdem sollten die Mitarbeitenden sicherstellen, dass eine geeignete Netzwerkverschlüsselung vorhanden ist, mögliche Fernzugriffe deaktiviert sind und die Software regelmäßig aktualisiert wird.
  • Auf andere Netzwerke zugreifen. Sie können Ihren Mitarbeitenden auch Hinweise zur (Nicht-)Benutzung öffentlicher WLAN-Netze und Informationen über die Manipulation von Netzwerknamen oder Man-in-the-Middle-Angriffe auf öffentliche WLAN-Netzwerke geben. Viele der Hinweise zur Verwendung von öffentlichem WLAN für geschäftliche Zwecke sind mittlerweile sehr ähnlich. Wenn Sie aber eigene Regeln und Richtlinien definieren, können Sie dafür sorgen, dass Ihre Mitarbeitenden die Best Practices verstehen und anwenden. Vergessen Sie dabei nicht die anderen Risiken an öffentlichen Orten, wie Bluetooth-Verbindungen oder neugierige Blicke „über die Schulter“.
  • Kommunikationskanäle. Sorgen Sie dafür, dass Ihre Mitarbeitenden verstanden haben, wie sie mit Ihnen, mit Dritten und untereinander kommunizieren sollen. Stellen Sie klar, dass geschäftliche E-Mails auf Arbeitskonten beschränkt sein sollten und welche Messaging-Dienste genutzt werden können (haben Sie eine spezielle Geschäftslösung oder sind die Mitarbeitenden bei WhatsApp?). Wenn Sie keine klaren Kommunikationswege zur Verfügung stellen, kann es schnell passieren, dass Passwörter oder Kundennamen per Textnachricht ausgetauscht werden – mit allen damit verbundenen Risiken. Wenn Sie klare Lösungen anbieten, können Sie diese wirksam auf potenzielle Bedrohungen, unangemessene Datenbewegungen und andere geschäftliche Zwecke überwachen.
  • Achtung vor Coronavirus-Phishing. Wie bei anderen großen Weltereignissen ist der Ausbruch von COVID-19 eine Chance für böswillige Akteure, von einfachen Betrügern bis hin zu staatlich unterstützten Hacker-Gruppen. Einzelpersonen und Unternehmen auf der ganzen Welt sind nun Zielscheibe von Phishing-Kampagnen, die die Angst vor dem Virus und den Mangel an zuverlässigen Informationen über den Ausbruch ausnutzen. Besonders wachsam sein sollten alle in Bezug auf Kommunikation, Hyperlinks, Anhänge oder Informationsanfragen, die im Zusammenhang mit dem Coronavirus stehen. Wenn Sie Ihre Mitarbeitenden entsprechend warnen, sinkt die Gefahr für sie selbst und das Unternehmen.

Informieren Ihrer Mitarbeitenden

Die oben genannten Punkte sind allesamt wichtige Bereiche, in denen Sie Ihren Mitarbeitenden Orientierungshilfen geben können. Tatsächlich ist aber eine klare und effektive Kommunikation einer der wichtigsten Schritte, die Sie in jedem Bereich unternehmen können. Selbst wenn Sie über einen klaren Plan und eine sichere Infrastruktur verfügen, kann es ohne klare Informationen passieren, dass Ihre Mitarbeitenden Fehler machen oder eigene (potenziell unsichere oder kontraproduktive) Maßnahmen in der Annahme ergreifen, dass Sie keinen Plan haben.

Stellen Sie nach Möglichkeit sicher, dass Ihre Mitarbeitenden mindestens eine Woche im Voraus klar und deutlich darüber informiert werden, welche Geräte sie benutzen dürfen, auf welche Dienste sie zugreifen können und wie dieser Zugriff erfolgen soll. Halten Sie sie über mögliche Änderungen auf dem Laufenden. Einige Mitarbeitende haben unter Umständen nicht den Zugang, den sie benötigen. Finden Sie eine Lösung, bevor diese kreativ werden! Wenn ein Zugang noch nicht eingerichtet ist, sollten Ihre Mitarbeitenden über die geplante Umsetzung informiert werden, damit sie entsprechend handeln können. Teilen Sie nach Möglichkeit auch mit, welche alternativen Lösungen in der Zwischenzeit zur Verfügung stehen.

Diese Art der Kommunikation betrifft nicht nur technische IT- oder Cybersicherheitsteams. Die Kommunikation mit Mitarbeitenden im Zusammenhang mit Remote-Zugriff sollte von Mitgliedern der Führungsebene überwacht werden. Die technischen Teams können zwar geeignete Lösungen und Anleitungen bereitstellen, aber diese Informationen müssen effektiv aufbereitet und verpackt werden, damit sie in klarer und einfacher Sprache, mithilfe einer geeigneten Methode und zu einem geeigneten Zeitpunkt vermittelt werden können. Wichtig ist auch, dass eine Anleitung oder Richtlinie von der Geschäftsleitung unterstützt wird. So stellen Sie die erforderliche Autorität und Klarheit sicher, damit die Mitarbeitenden die Ratschläge befolgen.

Soweit dies praktisch möglich ist, sollten Sie dafür sorgen, dass auch Dritte wie beispielsweise Kunden, die Zugang zu Ihrem Netzwerk benötigen, entsprechende Informationen erhalten. Daraus sollte etwa hervorgehen, wie die Dritten mit Ihnen in Kontakt treten können, wie sie Zugang zu relevanten Diensten und Infrastrukturen erhalten und was von ihnen in Bezug auf ihre eigene Sicherheit erwartet wird. Vergewissern Sie sich zunächst, dass Ihre Planung abgeschlossen ist und Ihre Anforderungen klar sind. Machen Sie dann deutlich, was Sie wollen. Ändert sich die Lage, überlegen Sie sich einen geeigneten Zeitpunkt, an dem Sie die Beteiligten auf den neuesten Stand bringen.

Planung für den „Worst Case“

Jeder Experte für Cybersicherheit weiß: Niemand ist je absolut sicher vor einem böswilligen Angriff. Betrachtet man die erhöhte Gefährdung durch die Arbeit im Homeoffice zusammen mit der Ungewissheit und dem kurzen Zeitfenster für Reaktionen auf die sich verändernde Coronavirus-Lage, steigt dieses Risiko noch weiter.

Wenn Sie über wirksame Cyber-Incident-Strategien, ein gutes Krisenmanagement und/oder Business-Recovery-Pläne verfügen, ist es wichtig, diese im Hinblick auf Ihre neue Betriebsumgebung zu überprüfen. Können Sie auf alle Geräte zugreifen, die Sie zum Testen oder Zurücksetzen benötigen? Werden Ihre Daten noch immer rückgesichert? Können Ihre Benutzer Phishing oder andere Anzeichen für Cybervorfälle noch immer wirksam melden? Wie halten Sie die Kommunikation zwischen den Krisenmanagern aufrecht, falls alle Notebooks und Smartphones von Ransomware befallen sind? Wenn Sie Ihren Plan noch nicht getestet haben, ist jetzt vielleicht nicht der richtige Zeitpunkt dafür. Haben aber zumindest alle diesbezüglich relevanten Mitarbeitenden ein klares Verständnis des Plans und welche Veränderungen die aktuelle Situation mit sich bringt?

Wenn Sie noch über keine Pläne verfügen, haben Sie wahrscheinlich im Moment nicht die Zeit, sie umfangreich zu entwickeln. Sie sollten sich aber zumindest mit einigen Basics auseinandersetzen: Wissen Sie, wo Ihre wichtigsten Daten gespeichert sind? Wissen Sie, welche Dienste für Ihr Unternehmen überlebenswichtig sind? Verfügen Sie über Backup-Kommunikationskanäle, unabhängig von Ihrem Netzwerk? Verfügen Sie über ähnlich getrennte und regelmäßig aktualisierte Datensicherungen?

Vor allem in der aktuellen Situation – wer wird in einer Krise gebraucht, um entsprechend reagieren zu können? Wer muss noch informiert werden? Wie erfolgt die Abstimmung untereinander und wer springt ein, wenn das Reaktionsteam eine Pause braucht?

Weitere Entwicklung

Wie bereits erwähnt, verändern sich die weltweite Lage und die Empfehlungen der Regierungen sehr schnell. Nach einiger Zeit werden Unternehmen wahrscheinlich die Chance haben, weitere Maßnahmen zu ergreifen und sich besser an die neue Situation anzupassen – oder aber neue Ereignisse zwingen sie erneut zur Reaktion. Unabhängig davon sollten Sie Folgendes im Hinterkopf behalten:

  • Cybersicherheit sollte ein fester Bestandteil Ihrer IT- und Geschäftsplanung sein, nicht etwas, das nachträglich ergänzt wird, wo es unter Umständen unwirksam ist oder im Weg steht.
  • Behalten Sie immer den Wert Ihrer schutzbedürftigen Daten, Vermögenswerte und Services im Blick.
  • Betrachten Sie Ihr Netzwerk oder Ihr Unternehmen immer als Ganzes. Sorgen Sie dafür, dass Ihre Verteidigung keine Lücken aufweist und keine legitimen Geschäftsanforderungen versehentlich blockiert werden.
  • Kommunizieren Sie mit Ihren Mitarbeitenden. Machen Sie klare, verständliche Ansagen und achten Sie darauf, dass die Informationen fundiert und verbindlich sind – und erklären Sie, wie sich die Arbeit effektiver bewerkstelligen lässt.
  • Über den Autor
Ihr Vorname
Ihr Nachname
Länderauswahl
E-Mail-Adresse
Invalid Captcha
 

Weitere Artikel