Home-Office: Identity Security essenziell für sicheres Arbeiten

Im hektischen Umstieg auf Fernarbeit im Home-Office oftmals Sicherheits- und Compliance-Lücken aufgetan

[datensicherheit.de, 28.09.2021] In seiner aktuellen Stellungnahme geht Volker Sommer, „Area VP DACH“ bei SailPoint, auf die vor Kurzem erschienene Studie des Kriminologischen Forschungsinstituts Niedersachsen (KFN) ein – diese zeigt demnach, dass sich die aktuelle „Pandemie“ und die vermehrte Nutzung von „Remote Work“ häufig negativ auf die IT-Sicherheit in Unternehmen auswirkt. Für ihre Erhebung habe diese Forschungseinrichtung mit Sitz in Hannover mehr als 600 Betriebe im Zeitraum Juli bis September 2020 befragt.

Foto: SailPoint

Volker Sommer: 60 Prozent der Unternehmen mussten innerhalb eines Jahres auf mindestens einen Cyber-Angriff reagieren…

Trotz Rückkehr aus Home-Office Sorgen hinsichtlich Cyber-Angriffen

„Hier gaben 60 Prozent an, dass sie innerhalb eines Jahres auf mindestens einen Cyber-Angriff reagieren mussten. Mit Blick auf die Zukunft erwarten viele Entscheider in den befragten Unternehmen eine weiterhin angespannte Lage im Bereich IT-Security – auch wenn viele Beschäftigte mittlerweile wieder in die Büros zurückkehren“, berichtet Sommer. Über die Hälfte der Firmen habe das Risiko eines ihrem Betrieb großen Schaden zufügenden Cyber-Angriffs in den nächsten zwölf Monaten als „sehr hoch“ oder „eher hoch“ eingeschätzt.

Keinen ausreichenden Vorlauf für Home-Office-Sicherheitsaspekte gehabt

Die Erkenntnisse des KFN seien besorgniserregend, aber nicht unbedingt überraschend. Zum einen hätten viele Unternehmen zur Zeit des „Pandemie“-Ausbruchs im Frühjahr 2020 angestrengt daran gearbeitet, ihren Geschäftsbetrieb am Laufen zu halten, und hätten kaum Zeit gehabt, sich intensiv mit dem Umstieg auf „Remote Work“ und den damit verbundenen Sicherheitsrisiken zu beschäftigen. Im hektischen Umstieg auf Fernarbeit hätten sich hier oftmals Sicherheits- und Compliance-Lücken aufgetan. Zum anderen habe die Krise Cyber-Kriminellen massiv in die Karten gespielt – „und sie konnten die allgemeine Verunsicherung und die Sorgen der Bevölkerung für sich nutzen, um neue Angriffstaktiken auszuführen“.

Nicht Home-Office per se Gefahr für IT-Sicherheit – sondern Schwachstellen

Gerade „Remote Work“ sei hierzu genutzt worden und zum Anfang des „Lockdown“ 2020 hätten sich etwa Phishing-Mails mit Betreffzeilen wie „Habe Sie im Büro nicht erreicht – bitte um Antwort“ oder „Ihre Testresultate“ gehäuft. So habe auch die Studie „The Cybersecurity Pandora’s Box of Remote Work“ aus dem Herbst 2020 gezeigt, dass ganze 46 Prozent der befragten Unternehmen in Deutschland innerhalb der vorherigen sechs Monate sehr stark von Phishing-Attacken betroffen gewesen seien. Auch gut anderthalb Jahre nach Beginn der „Pandemie“ wüssten Kriminelle diese Situation für sich zu nutzen und die Cybercrime-Lage bleibe angespannt. „Insgesamt ist hier allerdings wichtig zu betonen, dass nicht ,Remote Work‘ an sich eine Gefahr für die IT-Sicherheit darstellt, sondern die Schwachstellen im Bereich IT-Security und Compliance, die sich durch den Umstieg offenbarten“, betont Sommer.

Mitarbeiter im Home-Office auf gleichem IT-Security-Niveau wie auf dem Firmengelände

„Doch was können Unternehmen konkret tun, um sicherzugehen, dass ihre Mitarbeiter Zuhause über das gleiche IT-Security-Niveau verfügen wie auf dem Firmengelände?“ Grundsätzlich stehe in Zeiten, in denen Angestellte von überall aus arbeiten könnten, der Schutz von digitalen Identitäten im Vordergrund. „Denn: Cyber-Kriminelle dringen nicht mehr über den Netzwerk-Perimeter in Unternehmen ein. Stattdessen haben sie es auf Benutzer wie Mitarbeiter, Auftragnehmer, Lieferanten und sogar Software-Bots abgesehen.“ Ist ein Benutzerkonto erst einmal kompromittiert, könnten Eindringlinge unter Umständen auf eine Vielzahl von geschäftskritischen Daten zugreifen. Aus diesem Grund seist es wichtig, „dass Benutzer nur über die Berechtigungen verfügen, die sie für ihre Arbeit wirklich benötigen“, unterstreicht Sommer.

Nicht nur im Home-Office: Sensible Unternehmensinformationen jenen vorbehalten, welche sie kennen müssen

Hierfür komme das Konzept der „Identity Security“ ins Spiel: „,Identity Security‘ bedeutet heute, dass ein mehrschichtiger Ansatz sowohl für die Anwendungen als auch für die sensiblen Daten in den Hunderten, wenn nicht Tausenden von Applikationen, die ein typisches Unternehmen verwendet, gewählt werden muss.“ Nur qualifizierte Mitarbeiter hätten Zugang zu bestimmten Technologien und den darin enthaltenen Geschäftsdaten. Solche Schutzmaßnahmen gewährleisteten, „dass Betriebe die sensibelsten Unternehmensinformationen denjenigen vorbehalten können, die sie kennen müssen“.

Home-Office muss kein Horror-Szenario sein

Da IT-Abteilungen moderner Betriebe gerade heute im Zuge von „Remote Work“ Probleme hätten, den Überblick über alle im Betrieb befindlichen Identitäten zu behalten, hätten sich in der Praxis Lösungen aus dem Bereich „Identity Security“ bewährt, bei denen sich Zugriffskontrollen mithilfe von Künstlicher Intelligenz (KI) und „Machine Learning“ zentral verwalten und steuern ließen.
Vorteile wie die zentrale Verwaltung von Zugriffsrichtlinien, die Automatisierung der Bereitstellung und Aufhebung des Zugriffs für Mitarbeiter und die 24/7-Selbstverwaltung von Zugriff und Passwörtern ermöglichten es Firmen somit, agil und sicher zu agieren. Sommers Fazit: „Sind Unternehmen bezüglich des Schutzes ihrer digitalen Identitäten gut aufgestellt, ist ,Remote Work‘ kein Horror-Szenario, sondern Betriebe und Mitarbeiter sind maximal geschützt und der jeweilige Arbeitsort wird zweitrangig.“

Weitere Informationen zum Thema:

KfN Kriminologisches Forschungsinstitut Niedersachsen, Arne Dreißigacker & Bennet von Skarczinski & Gina Rosa Wollinger, 2021
FORSCHUNGSBERICHT Nr. 162: Cyberangriffe gegen Unternehmen in Deutschland / Ergebnisse einer Folgebefragung 2020

SailPoint, 2020
The Cybersecurity Pandora’s Box of Remote Work

datensicherheit.de, 31.05.2021
3 Jahre DSGVO – auch im Home-Office Datenschutz einhalten / Citrix nimmt Stellung zum Jahrestag der DSGVO

datensicherheit.de, 15.04.2021
BSI: Home-Office vergrößert Angriffsfläche für Cyber-Kriminelle / Ergebnis einer repräsentativen BSI-Umfrage unter 1.000 Unternehmen und Betrieben am 15. April 2021 vorgestellt

datensicherheit.de, 15.03.2021
Home-Office: IT-Security grundlegend zu überdenken / Für IT-Security-Verantwortliche fühlt sich abrupter Wechsel in vollständigen Remote-Betrieb wie Umzug in den Wilden Westen an