Sicherheit und Remote-Arbeit: Vom ungleichen Paar zum perfekten Doppel
Die Coronavirus-Pandemie hat uns gezeigt, wie effektiv ortsunabhängiges Arbeiten sein kann. Jedoch ließ sich auch erkennen, dass die Erfolge im Bereich Produktivität erhebliche Risiken in sich bergen.
Mit der Zunahme der Arbeit im Homeoffice schnellte auch das Potenzial für Cyberattacken empor. In einer Umfrage aus dem Jahr 2020 gaben 20% der Befragten an, dass sie sich seit Beginn der Pandemie schon einmal mit einer Sicherheitsverletzung als Folge eines mobil arbeitenden Mitarbeiters konfrontiert gesehen haben. Vierundzwanzig Prozent mussten darüber hinaus im Zuge der Lockdown-Maßnahmen unerwartete Kosten im Zusammenhang mit derartigen Vorfällen decken. Und wann immer die Arbeit im Homeoffice eine Datenschutzverletzung verschuldete, betrug laut dem IBM-Bericht über die Kosten einer Datenschutzverletzung 2021 die Rechnung im Anschluss durchschnittlich 1 Million US-Dollar mehr.
Aber die Revolution in Sachen Remote-Arbeit ist weiterhin in vollem Gang: CNBC berichtet dass laut einer gemeinsamen Studie von Indeed und Glassdoor nahezu 10% aller Online-Stellensuchen im September 2022 „Remote-Arbeit“ in irgendeiner Form erwähnten, was einen fast sechsfachen Anstieg im Vergleich zum September 2019, vor der Covid-19-Pandemie, darstellt. Arbeitgeber scheinen sich zu beeilen, diese Nachfrage zu decken: Das Magazin Human Resources Manager berichtet, dass Mitte 2021 bereits 9,1% aller untersuchten deutschen Stellenanzeigen ortsunabhängiges Arbeiten ausdrücklich anpriesen. Seit 2018 hat sich diese Zahl somit mehr als vervierfacht und Deutschland hat laut der Studie europaweit die Nase vorn.
Wie also können Unternehmen ihren Mitarbeitern die Freiheit des mobilen Arbeitens ermöglichen, ohne sie und sich selbst dabei einer Litanei von Cybersicherheitsrisiken auszusetzen? In diesem Artikel werden wir einige der größten Bedrohungen für sichere Remote-Arbeit sowie einige praxiserprobte Best Practices für deren Minderung genauer unter die Lupe nehmen.
Remote-Arbeit-Cybersicherheit: Definition und wichtige Überlegungen
Das Wichtigste zuerst: Was genau ist Remote-Arbeit-Sicherheit? Im Hinblick auf Cybersicherheit versteht man unter Sicherheit im Homeoffice eine Reihe von Strategien und Lösungen, mit denen die Risiken und Herausforderungen von ortsunabhängig arbeitenden Mitarbeitern identifiziert und gemanagt und die firmeneigenen Datenbestände geschützt werden können, wenn Mitarbeiter ihrer Tätigkeit außerhalb des Büros nachgehen. Anders ausgedrückt: Es handelt sich um Maßnahmen, um den Sicherheitsumkreis des lokalen Firmennetzwerks auf das Zuhause von Mitarbeitern – und darüber hinaus – auszuweiten.
Dennoch gilt es, eine Unmenge von Herausforderungen zu bewältigen.
Durch die Telearbeit werden die Bedrohungsgrenzen nicht nur weiter auf sämtliche Orte ausgeweitet, die die Mitarbeiter für das Verrichten ihrer Tätigkeit auswählen, sondern diese sehen sich darüber hinaus einer ganz neuen Gattung von Sicherheitsrisiken gegenüber. „Unsere Mitarbeiter müssen sehr viel aufmerksamer Dingen gegenüber sein, denen sie beim Arbeiten im Büro wenig Beachtung schenken müssen“, erklärte Nadya Bartol, Managing Director für BCG, im Gespräch mit Forbes. „Zum Beispiel: Wer steht hinter uns? Habe ich mein Gerät unbeaufsichtigt gelassen? Wie ist das von mir genutzte Netzwerk gesichert? Gestatte ich Familienmitgliedern, mein Gerät zu verwenden?“ Infolgedessen ist es unerlässlich, dass sowohl Unternehmen als auch Mitarbeiter eine völlig neue Einstellung in Bezug auf Cybersicherheit entwickeln.
Diese Tatsache in Kombination mit fahrlässigem Verhalten von Mitarbeitern kann die potenzielle Angriffsfläche von Unternehmen dramatisch ausweiten und mobil arbeitende Mitarbeiter zu unwissentlichen und umso effektiveren Komplizen bei Sicherheitsverletzungen machen. Eine Eine Studie der University of Central Florida aus dem Jahr 2020 fand heraus, dass der Hauptgrund für die Nachlässigkeit von Mitarbeitern die Frustration darüber war, dass sie Zugriff auf etwas für die Erfüllung ihrer Aufgaben Notwendiges nehmen wollten und Sicherheitsprotokolle dies erschwerten. Aus diesem Grund sollten Cybersicherheitspraktiken einen maximalen Schutz vor Bedrohungen sowie geringe oder keine Beeinträchtigungen des Benutzererlebnisses oder der Benutzerzufriedenheit gewährleisten.
Von Phishing zu Dateitransfer: Die größten Sicherheitsrisiken beim mobilen Arbeiten
1. Phishing-Versuche
In diesem Blog haben wir bereits unzählige Male das Thema Phishing behandelt – von den Gefahren von Clone-Phishing- und Spear-Phishing-Attacken bis hin zu den Schritten, die Sie befolgen sollten, wenn Sie auf einen Clone-Phishing- und Spear-Phishing-Attacken bis hin zu den Schritten, die Sie befolgen sollten, wenn Sie auf einen Phishing-Link geklickt . Hier eine kurze Zusammenfassung: Laut dem Gabler Wirtschaftslexikon versteht man unter Phishing, „dass Daten von Internetnutzern bspw. über gefälschte Internetadressen, E-Mails oder SMS abgefangen werden. Die Absicht ist, persönliche Daten zu missbrauchen und Inhaber von Bankkonten zu schädigen. Der Begriff Phishing ist angelehnt an fishing (engl. für Angeln, Fischen) in Verbindung mit dem P aus Passwort, bildlich gesprochen das Angeln nach Passwörtern mit Ködern. Begriffstypisch ist dabei die Nachahmung des Designs einer vertrauenswürdigen Website.“
Phishing-Attacken beginnen oftmals mit einer E-Mail, die ein gewöhnliches Rundschreiben von einem Unternehmen zu sein scheint, das den Empfänger um die Aktualisierung oder Bestätigung seiner persönlichen Informationen in einer Antwort auf die Nachricht oder auf der Webseite des Unternehmens bittet, erklären FBI-Experten. Auf den ersten Blick mögen die E-Mail-Adresse bekannt und die Nachricht authentisch genug erscheinen, um den Empfänger dazu zu bewegen, der Bitte Folge zu leisten. Sobald dieser jedoch auf den Link in der E-Mail klickt, landet er auf einer gefälschten Webseite, deren einziger Zweck darin besteht, sensible Informationen zu stehlen oder bösartige Software zu verbreiten.
2. Unverschlüsselter Dateitransfer
Die von der Pandemie angespornte Verwendung cloudbasierter Tools für die Zusammenarbeit hat eine wichtige Rolle dabei gespielt, die Produktivität plötzlich im Homeoffice arbeitender Teams sicherzustellen. Laut Gartners "Digital Worker Experience"-Umfragenutzten nahezu 80% aller Arbeiter im Jahr 2021 Tools für die Zusammenarbeit – ein sprunghafter Anstieg von 44% im Vergleich zu den Zahlen vor der Pandemie. Jedoch können Lösungen ohne angemessene Verschlüsselungsprotokolle zum Schutz der Daten während der Übertragung an cloudbasierte Anwendungen und Speicher (oder von ihnen ausgehend) zu Datenschutzverletzungen, Datendiebstahl oder Erpressersoftwareangriffen führen – und somit zu Geschäftseinbrüchen, Umsatzeinbußen und zum Verlust des Kundenvertrauens.
3. Nicht gesichertes WLAN
Im Idealfall ist Ihr Firmen-WLAN ein sicherer Hafen für Nutzer, die auf die entscheidenden Systeme und Ressourcen des Unternehmens zuzugreifen versuchen. Das WLAN des Internetcafés ums Eck? Eher weniger. Das kann für Mitarbeiter, die das WLAN auf ihren Geräten auch nach dem Verlassen des Hauses aktiviert lassen, katastrophal enden, da es böswilligen Individuen gestattet, ihre vertrauenswürdigen Netzwerke zu identifizieren und zu fälschen. Ganz zu schweigen von denjenigen Nutzern, die automatisch eine Verbindung zu in Reichweite verfügbaren Netzwerken herstellen, ohne dies zu hinterfragen, betonte NuData VP Robert Capps gegenüber CPO Magazine. Und das sind sage und schreibe zwei Drittel aller Personen.
4. Mangelhafte Cybersicherheitshygiene
Das Versenden vertraulicher Arbeitsdateien über ungesicherte Kommunikationskanäle; die Verwendung schwacher, leicht zu erratender oder wiederverwendeter Passwörter; das Herunterladen sensibler Informationen auf ein nicht abgesichertes privat genutztes Gerät: All dies sind nur einige von vielen Wegen, auf denen unangemessene Sicherheitsgewohnheiten und eine mangelhafte Sicherheitskultur einen Mitarbeiter schlagartig zu einer Insider-Bedrohung machen können. An dieser Stelle sollte angemerkt werden, dass „123456“ weiterhin das am häufigsten verwendete Passwort in 43 der 50 Länder ist, die in der jährlich von Nordpass ausgeführten Studie zu den 200 am häufigsten verwendeten Passwörtern analysiert wurden.
Sichere Remote-Mitarbeiter: Best Practices, um die Sicherheit im Homeoffice anzukurbeln
1. Verschlüsseln, verschlüsseln und nochmals verschlüsseln
Wie wir bereits in einem früheren Beitrag ausführten, ist die At-Rest- und In-Transit-Verschlüsselung von Informationen eine der Säulen von Cybersicherheit für Unternehmen. Sie gewährleistet die Vertraulichkeit der Daten, indem die Inhalte einer Nachricht kodiert werden; die Authentifizierung, indem die Herkunft der Nachricht bestätigt wird; die Integrität, indem nachgewiesen wird, dass sie seit dem Senden unverändert geblieben ist, sowie die Unleugbarkeit, indem Sender nicht abstreiten können, dass sie die Nachricht gesendet haben, erklärt TechTarget. Aber Sie können dem noch eins draufsetzen.
Der Goldstandard für sichere Kommunikation, Ende-zu-Ende-Verschlüsselung, verschlüsselt Nachrichten, bevor diese versendet werden, und entschlüsselt sie erst nachdem sie auf dem Gerät des Empfängers angekommen sind mittels zufällig generierter Verschlüsselungscodes. Das bedeutet, dass niemand zwischen den Endpunkten die Daten lesen oder modifizieren kann. In Branchen, in denen nur das Sicherste sicher genug ist, wie im Gesundheitswesen oder in der Rechtsbranche, ist diese Methode quasi unschlagbar.
2. „Mehr als nur ein Passwort“: Nutzen Sie MFA
Multi-Faktor-Authentifizierung (MFA), 2-Stufen-Verifizierung und Zwei-Faktor-Authentifizierung (2FA) beziehen sich auf ein und dasselbe: nämlich einen mehrschichtigen Ansatz zur Sicherung von Daten, privat oder geschäftlich, wenn Nutzer auf Online-Konten, Anwendungen oder VPNs Zugriff nehmen.
MFA-fähige Online-Dienste bitten um eine Kombination von zwei oder mehr Authentifizierungsmerkmalen zur Bestätigung der Nutzeridentität, einschließlich etwas, das Sie kennen (z. B. eine PIN oder ein Passwort), besitzen (z. B. eine Bestätigungs-SMS, die an Ihr Handy gesendet wurde) oder ein persönliches Merkmal ist (z. B. Fingerabdruck oder Gesichtsform).
Multi-Faktor-Authentifizierung kann das Risiko eines kompromittierten Passworts, eines Identitätsdiebstahls und einer Kontoübernahme drastisch senken. Denn selbst wenn einer der Faktoren geknackt werden sollte, greift ein anderer, um die Attacke abzuwenden.Laut Microsoft können die Risiken um bis zu 99,9% gemindert werden.
3. Aktualisieren Sie Ihre Strategie zur Verhinderung von Datenverlusten
Die Prävention vor Datenverlusten (Data Loss Prevention, DLP), auch als Verhinderung von Datenschutzverletzungen oder Datenexfiltration bezeichnet, hilft Unternehmen mittels automatisierter Richtlinienvollstreckung, ihre wichtigen Datenbestände vor Verlusten, Diebstahl, Missbrauch oder unbefugten Zugriffen zu schützen. Das Interesse an DLP-Tools erreichte ungeahnte Höhen während der Pandemie: 90% aller Unternehmen implementierten 2021 wenigstens eine Form integrierter DLP, im Vergleich zu 50% im Jahr 2017, laut einer Schätzung von Gartner. Kein Wunder: Endpoint-, Netzwerk- und Cloud-DLP-Lösungen können IT-Teams den dringend benötigten Einblick in alle Aktivitäten rund um wichtige Datenbestände bieten und Compliance selbst mit den strengsten Datenschutzgesetzen stärken.
4. Machen Sie Mitarbeiter zu Ihrer vordersten Verteidigungslinie
In dem oben erwähnten Bericht von Malwarebytes Labs aus dem Jahr 2020 gaben 44% der Befragten an, dass sie für ihre Mitarbeiter keine Cybersicherheitsschulungen in Bezug auf die potenziellen Bedrohungen im Homeoffice und Best Practices für Remote-Arbeit-Sicherheit, wie die Sicherung von Heimnetzwerken mit starken Passwörtern oder die Aufbewahrung von Geräten außerhalb der Reichweite unbefugter Nutzer, anbieten. Wenn derartige Maßnahmen übersehen werden, kann ein Arbeitsplatz schnell zu einem Garten mit „low-hanging fruit“ (zu Deutsch: niedrig hängenden Früchten) für böswillige Individuen werden.
Stellen Sie daher sicher, dass Sie Ihre mobil arbeitenden Mitarbeiter schulen und über die Herausforderungen, Verantwortlichkeiten und Risiken, die mit ortsunabhängiger Arbeit einhergehen, auf dem Laufenden halten. Es ist ebenfalls eine gute Idee, regelmäßige E-Mails mit Cybersicherheitstipps für Mitarbeiter zu versenden, einschließlich Erinnerungen daran, ihre Passwörter periodisch zu ändern, ihr heimisches WLAN zu sichern, nach verdächtigen Nachrichten Ausschau zu halten, ein VPN zu verwenden, verfügbare Software-Updates zu installieren, Arbeitsdateien auf verschlüsselten Laufwerken zu speichern usw.
Machen Sie es offiziell: Wesentliche Sicherheitsrichtlinien für Remote-Arbeit
Eine klare Strategie für Remote-Arbeit ist nicht nur wichtig, um Nutzern dabei zu helfen, Aufmerksamkeit walten zu lassen und sich von den inhärenten Risiken des ortsunabhängigen Arbeitens fernzuhalten, sondern auch, um Sicherheitsteams dazu zu befähigen, die Nutzer effektiv bei diesem Unterfangen zu unterstützen. Hier nennen wir Ihnen einige der Grundregeln, die in jedem Regelwerk zu Sicherheit im Homeoffice enthalten sein sollten.
- Akzeptierbare Nutzung: definiert, was in Bezug auf die Verwendung von IT-Equipment und Ressourcen zu tun und zu lassen ist, um das Risko von Cyberattacken einzudämmen – einschließlich der Konsequenzen bei Nichteinhaltung der Regeln.
- Reaktion auf Datenschutzverletzungen: enthält Tools und Protokolle für die Erkennung von und den Umgang mit Datenschutzverletzungen – im Büro und darüber hinaus – auf zeitnahe, koordinierte und effiziente Weise.
- Remote-Zugriff: gibt Hinweise dazu, wie man sich von ungesicherten Standorten wie öffentlichen Plätzen und Heimnetzwerken aus in das interne Firmennetzwerk einwählen kann.
- Nutzeridentifizierung, -authentifizierung und -autorisierung: definiert den Prozess der Identitätsbestätigung von Nutzern, die auf Firmenressourcen oder -anwendungen zuzugreifen versuchen.
So kann Tresorit helfen, die Sicherheit beim mobilen Arbeiten aufrechtzuerhalten
Als Ende-zu-Ende-verschlüsselte Content Collaboration Platform unterstützt Tresorit Sie dabei:
- Die Cloud mit E2EE zu einem sichereren Ort zu machen
Jede Datei und relevante Metadaten auf den Geräten unserer Nutzer werden mit zufällig generierten Verschlüsselungscodes verschlüsselt. Der Zugriff auf sie ist nur mithilfe des einzigartigen Entschlüsselungscodes eines Nutzers möglich, den niemand sonst – nicht einmal Tresorit – kennt. Das bedeutet, dass niemand die Inhalte der Dateien lesen könnte, selbst wenn unsere Server kompromittiert werden würden.
- Den Zugriff zu sichern und einzuschränken
Entscheiden und kontrollieren Sie, welche Geräte Zugriff auf welche Dateien nehmen und von wo aus Nutzer sich in ihrem Firmenkonto anmelden können, um geschäftskritische Dokumente zu schützen. Verwalten Sie Dateien und Ordner auf differenzierte Weise, um sicherzustellen, dass ausschließlich diejenigen Nutzer Zugriff auf sie haben, die diesen benötigen. Beschränken Sie Downloads oder sperren Sie den Zugriff jederzeit.
- Die Kontrolle über Ihre Daten zu wahren
Implementieren Sie Datenschutzmaßnahmen, einschließlich der Kontrolle, wer Zugriff auf welche Daten hat, dem Protokollieren von Dateiaktivitäten und dem Festlegen interner Sicherheitsrichtlinien zur Datenverwaltung. Dateiinhalte können nicht verändert werden, ohne dass Sie darüber Kenntnis haben – dank kryptografischer Authentifizierung, die auf alle verschlüsselten Daten in Form von HMAC oder AEAD angewendet wird.
- Unternehmenssicherheitsrichtlinien festzulegen und geltend zu machen – alles an einem Ort
Stellen Sie sicher, dass alle in Ihrem Team am selben Strang ziehen, was die Verwendung entscheidender Datensicherheitstools und -prozesse betrifft. Wenden Sie Richtlinienprofile an, einschließlich 2-Stufen-Verifizierung, IP-Filter, zeitlicher Beschränkungen und Richtlinien für den Datentausch; erstellen Sie verschiedene Richtlinien für jedes Profil und bearbeiten Sie diese jederzeit – alles über eine einzige Benutzeroberfläche.
- Anhänge automatisch in Gmail und Outlook zu verschlüsseln
Ermöglichen Sie Ihren Teams, effizient zu arbeiten und verschlüsselte E-Mails zu senden, indem Sie Tresorit mit Google Workspace oder Azure Active Directory und Office 365 integrieren. Die Add-ons bieten eine schnelle und einfache Möglichkeit für Nutzer, unter Verwendung ihrer bereits vorhandenen E-Mail-Adressen riskante E-Mail-Anhänge durch verschlüsselte Links zum Teilen und passwortgeschützte Dateien zu ersetzen.