Sicherheit beim Remote Workplace

Was lehrt uns Corona in Bezug auf die Informationssicherheit?

Mit dem Start des Lockdowns im März dieses Jahres wurden von einem Tag auf den anderen Heerscharen von Angestellten ins Home-Office verbannt. Hatte dies, etwa in Bezug auf den wegfallenden Arbeitsweg, für viele von uns durchaus angenehme Seiten, so stellten sich durch die ungewohnte Situation auch neue Herausforderungen, derer man sich vor Corona nur teilweise so richtig bewusst war. Viele von uns mussten mit dem Rest der Familie um den besten Arbeitsplatz für lange Videokonferenzen, die dafür benötigte WLAN-Bandbreite oder einfach um ein bisschen Ruhe feilschen. Für viele Unternehmen stellten sich jedoch noch ganz andere Fragen. Die Corona-Krise ist nämlich noch nicht vorbei. Viele von uns werden noch lange aus dem Home-Office arbeiten müssen oder dürfen und wenn wir dann irgendwann wieder häufiger im ÖV unterwegs sind oder uns in Co-Working Spaces aufhalten, treffen wir auf ähnliche Hürden wie im Home-Office.

Welche Herausforderungen stellen sich im Home-Office?

Unternehmen können den Zutritt zu ihren Büros in aller Regel gut schützen und dadurch sicherstellen, dass nur ihre Mitarbeitenden an den Firmengeräten arbeiten, eine sichere Netzwerkverbindungen genutzt wird, Telefongespräche in einem vertraulichen Umfeld geführt und Papierdokumente nach deren Gebrauch sicher entsorgt werden. Die Arbeitsplätze der Mitarbeitenden lagen diesen Frühling nun aber vom einen auf den anderen Tag ausserhalb dieses Kontrollbereichs, was Risiken hervorbrachte, an die mancher nicht gleich dachte, so etwa:

Für private Zwecke eingesetzte Firmengeräte
Gemäss dem Netskope Cloud and Threat Report vom August 2020 wurde mit dem Start des Lockdowns ein weltweiter Anstieg von rund 160% auf risikobasierte Webseiten und Applikationen (Gambling, Drugs, Adult Content, Shareware/Freeware etc.) verzeichnet. Im Bereich von Webseiten für über 18-jährige wurde gar ein weltweiter Anstieg von rund 600% registriert. Ein solches Verhalten ist das Paradies für Angreifer. Erst recht dann, wenn das Firmengerät zusätzlich noch von Familienmitgliedern genutzt wird, welche nicht über dieselbe Sensibilität wie die Mitarbeitenden verfügen.

Nutzung ungeschützter Netzwerke
Viele Privatpersonen nutzen WLAN-Verbindungen ohne spezielle Authentisierung- und Verschlüsselungsverfahren. Die Zugangspunkte sind ausserdem oft nicht mit den neusten Sicherheitsupdates versehen, eine Filterung zwischen dem Internet und dem Heimnetz fehlte in der Regel (keine Regel ohne Ausnahme!) gänzlich. Dadurch sind die im Heimnetz angeschlossenen Firmengeräte nur ungenügend vor Fremdzugriff geschützt.

Vertrauliche Gespräche an den falschen Orten
Telefongespräche und Videokonferenzen wurden teilweise an Orten geführt, wo der direkte Nachbar (bewusst oder unbewusst) mithören konnte. Regelmässige Pendler kennen dieses Phänomen von ihren vielen Zugfahrten, während derer man immer wieder ungewollt Informationen zugespielt bekommt, die nicht aus dem Unternehmensumfeld hätten rausgehen sollen. Im schlechtesten Fall können dadurch für das Unternehmen ernsthafte Risiken oder Wettbewerbsnachteile entstehen oder es kann auch zu Datenschutzverletzungen kommen.

Unkontrollierte Software-Installationen
Fühlten sich Mitarbeitende in der Ausübung ihrer Tätigkeiten eingeschränkt wurden Mittel und Weg gesucht um den Umstand zu beheben. Dies resultierte oft darin, dass im Internet nach den entsprechenden Anwendungen gesucht wurde, beispielsweise für den Austausch grosser Dokumente oder die Kollaboration mit anderen Personen.

Ungeschützte Papierdokumente
Vertrauliche Dokumente wurden im privaten Printer ausgedruckt, auf dem Esstisch deponiert und just gerade als ein Besucher kurz vorbeischaute. Zugegeben, während des Lockdowns hatten wir alle nicht viele Besucher, trotzdem besteht immer das Risiko, dass Informationen in die falschen Hände (oder Augen) geraten. Spätestens nach der Entsorgung via normale Altpapiersammlung sind Dokumente dann ganz ausserhalb der Kontrolle des Unternehmens.

Diebstahl des Firmengerätes
Gemäss Bundesamt für Statistik wurden im Jahr 2019 in der Schweiz pro Tag rund 100 Einbruch- und Einschleichdiebstähle registriert. Neben Bargeld und Schmuck gehören elektronische Kleingeräte wie Mobiltelefone, Tablets und Notebooks zu den begehrtesten Artikeln von Einbrechern, wodurch automatisch auch die Firmengeräte einem Risiko ausgesetzt sind. Lässt sich der materielle Schaden in der Regel noch verkraften, wiegt der immaterielle Schaden durch verlorene Arbeitsleistung oder entwendete vertrauliche Daten für unseren Arbeitgeber wesentlich höher.

… und so weiter…
Die Liste liesse sich beliebig erweitern und soll aufzeigen, dass auch bei uns zuhause, d.h. in der für uns gewohnten und vermeintlich sicheren Umgebung vielerlei Gefahren lauern, welche berücksichtigt werden müssen. Viele dieser Risiken bestehen in ähnlicher Form auch an anderen Orten ausserhalb des Unternehmens, z.B. in Co-Working Spaces oder beim Arbeiten während dem Pendeln mit dem ÖV.

Wie können Firmengeräte und sensitive Informationen geschützt werden?

Mit Technologie allein lassen sich die beschriebenen Herausforderungen meist nicht meistern. Vielmehr empfiehlt sich ein mehrschichtiger Ansatz, bestehend aus einem Mix aus

• Aufklärung der Mitarbeitenden
• Organisatorischen Massnahmen
• Technischen Massnahmen

Damit können Sie Ihre Systeme und somit Ihre sensitiven Informationen wie mit einem Zwiebelschalen-Prinzip schützen.

Aufklärung der Mitarbeitenden
Sicherheit beginnt in unseren Köpfen. Rufen Sie deshalb ein Security Awareness Programm ins Leben, mittels welchem Sie ihre Mitarbeitenden über die Gefahren im Home-Office, in Co-Working Spaces und im öffentlichen Verkehr aufklären können. Erklären Sie ihnen, wo welche Gefahren lauern, wie man sie erkennt und wie man sich in den entsprechenden Situationen verhalten soll. Hilfreich kann dabei ein Aufkleber auf dem Gerät mit einer Telefonnummer für die Notfall-Hotline sein.

Zu einem Security Awareness Programm gehört auch, dass Sie Ihre Mitarbeitenden auf das Thema gefälschter E-Mails (Phishing, CEO Fraud etc.) sensibilisieren, wie solche E-Mails erkannt werden können und wie man sich verhalten soll. Strotzten solche Mails in der Vergangenheit noch vor Rechtschreib- und Grammatikfehler, werden sie heute immer raffinierter aufgesetzt und für den Einzelnen weniger gut erkennbar. Das bedingt, dass wir alle unsere Sinne noch mehr schärfen müssen. Hierfür bieten sich durch das eigene Unternehmen initiierte Phishing-Kampagnen an, um die Mitarbeiter im Umgang mit solchen Mails zu trainieren.

Generell gilt: Je besser Ihre Mitarbeitenden informiert und geschult sind, desto sicherer wird deren Arbeitsverhalten. Bedenken Sie aber, dass eine einmalige Schulung nur wenig nachhaltig ist, erst die Repetition bringt den wirklichen Erfolg. Sie würden auch nie von einem Hobbyläufer erwarten, dass er nach einem einmaligen Lauftraining am New York Marathon teilnimmt.

Organisatorische Massnahmen
Zu den organisatorischen Massnahmen gehört ein klares Weisungswesen. Solange Dinge nicht eindeutig geregelt sind, verhalten wir Menschen uns so, wie wir es für richtig erachten. Dies entspricht jedoch nicht immer dem, wie es die Unternehmensführung eigentlich haben möchte. Ist in Ihrem Unternehmen etwa klar geregelt, dass Mitarbeitende beim Verlassen des Arbeitsplatzes (unabhängig davon ob im Büro, bei einem Kunden oder zu Hause) ihren Arbeitsplatz sperren müssen? Ist jedem Mitarbeitenden bewusst, dass nur er selbst mit seinem Benutzeraccount arbeiten darf, dass er sein Passwort oder den entsperrten PC auch nicht einem Familienmitglied überlassen darf? Ist geregelt, wie im Home-Office Papierdokumente mit sensitivem Inhalt entsorgt werden müssen? Verfügt Ihr Unternehmen über eine Datenklassifizierung und kennen die Mitarbeitenden diese?

Idealerweise belassen Sie es nicht bei den trockenen und langweiligen Weisungen, sondern unterstützen Ihre Mitarbeitenden mit Umsetzungshilfen wie Checklisten, Vorlagen sowie klaren und idealerweise automatisieren Prozessen.

Technische Massnahmen
Zu einem vollständigen Schutzkonzept gehört die Umsetzung technischer Massnahmen:

• Die Endgeräte müssen mit den aktuellsten Security Patches versehen sein. Es gibt zu viele negative Beispiele, in welchen Angreifer schon lange bekannte Sicherheitslücken ausgenutzt und so Unternehmen einen grossen Schaden zugefügt haben.
• Jedes Endgerät sollte mit einem aktuellen Malware und Zero Day Schutz versehen sein.
• Stellen Sie sicher, dass Verbindungen zu Ihrem Datacenter und zu Cloud Services ohne Zutun des Mitarbeitenden gesichert sind. Im Mindesten bedeutet dies, dass vom Home-Office aus automatisch eine VPN-Verbindung ins Unternehmen aufgebaut wird und der weitere Zugriff auf Ressourcen über diesen gesicherten Tunnel erfolgt. Modernere Ansätze ermöglichen einen direkteren Zugriff auf Cloud Services ohne Umweg übers zentrale Rechenzentrum, ohne dabei den bestmöglichen Schutz ausser Acht zu lassen.
• Nutzen Sie die Möglichkeit von Diskverschlüsselung. Bei einem Diebstahl des Gerätes sind so die gespeicherten Daten vor Fremdzugriff geschützt.
• Damit Sie durch einen Diebstahl Ihre Daten nicht verlieren, sollten Daten nicht nur lokal auf dem Endgerät gespeichert sein, sondern automatisch und ohne Zutun des Anwenders an einen zentralen Ort synchronisiert werden.
• Schwache und mehrfach verwendete Passwörter sind einfache Hürden für einen Angreifer. Konfigurieren sie deshalb eine Passwort Policy, welche die Nutzung einfacher und kurzer Passwörter verunmöglicht. Moderne Ansätze gehen den Weg von Passphrases mit mehreren Worten, so dass ein langes Passwort entsteht, das sich die Benutzer einfach merken können. Die aus Security-Optik beste Variante für die Freischaltung eines Accounts ist der konsequente Einsatz von Multifaktor Authentication mittels eines zweiten Faktors (z.B. Authenticator App auf dem Smartphone). Der Einsatz des zweiten Faktors verunmöglicht es einem Angreifer, sich mit gestohlenen Passwörtern bei einem Account anzumelden.
• Konfigurieren Sie eine automatische Sperrung des Bildschirmes nach einer gewissen Zeit. So ist sichergestellt, dass nach Verlassen des Arbeitsplatzes der Zugang ins Netz nicht zu lange exponiert ist, sollte das Sperren des Arbeitsplatzes einmal vergessen werden.
• Schränken Sie die Vergabe lokaler Administrationsrechte auf den Endgeräten ein. Es gibt keinen Grund, dass ein Benutzer solche Rechte haben muss. Benötigt ein Mitarbeitender eine neue Anwendung (z.B. für die Kollaboration mit einem Externen), dann muss diese vom Unternehmen entweder via Software Deployment verteilt oder auf einem Unternehmensportal zur Verfügung gestellt und ohne persönliche lokale Administrationsrechte des Mitarbeitenden installiert werden können.
• Überwachen und unterbinden Sie den Zugriff auf risikobehaftete Cloud-Services (z.B. durch den Einsatz eines sogenannten Cloud Access Security Brokers, CASB) und stellen Sie stattdessen Ihren Mitarbeitenden sichere und moderne Arbeitsumgebung zur Verfügung. Gehen Sie diesen Schritt nicht, besteht die Gefahr, dass sich neben der kontrollierten IT eine Schatten-IT aufbaut, welche sich nur schwer in den Griff bekommen lässt und zum Sicherheitsrisiko für Ihr Unternehmen werden kann.

Fazit

Die absolute Sicherheit gibt es nicht. Mit mehreren unterschiedlichen Verteidigungslinien und Massnahmen lassen sich aber Risiken minimieren. Beziehen Sie Ihre Mitarbeitenden in die IT-Bedürfnisanalyse und in den Sicherheitsprozess mit ein und nutzen Sie heute verfügbare Technologien, um Ihren Mitarbeitenden eine sichere und zeitgemässe Arbeitsumgebung zur Verfügung zu stellen. Durch ein positives Anwendererlebnis stellt sich bei Ihren Mitarbeitenden eine hohe Zufriedenheit ein, welche sich auch auf Ihre Kunden und dadurch auf Ihren langfristigen Erfolg als Unternehmen überträgt.

Gerne zeigen wir Ihnen im Rahmen eines Inspire Workshops auf, wie ein moderner und sicherer Arbeitsplatz im Jahr 2020 aussehen sollte und welche Schritte Sie gehen können, damit auch Ihr Unternehmen von der Digitalisierung profitieren und die Herausforderungen, wie wir sie im Lockdown alle erlebt haben, meistern kann.

Mehr zum Thema Schatten-IT und Modern Workplace erfahren Sie hier.