Mitarbeitergeräte: Tickende Zeitbomben nach dem Home-Office

Wechsel vieler Mitarbeiter in das Home-Office zu Beginn der „Corona“-Kontaktbeschränkungen oft überhastet

[datensicherheit.de, 01.09.2020] Der Wechsel vieler Mitarbeiter in das Home-Office zu Beginn der „Corona“-Kontaktbeschränkungen sei oft überhastet vonstatten gegangen. Die Gefahr bestehe nun, dass bei Rückkehr ins Unternehmen mit Schadcode infizierte Geräte die Sicherheit des Netzwerks beeinträchtigen könnten, warnt Nicolas Casimir, „EMEA CISO“ bei Zscaler.

Foto: Zscaler 2020

Nicolas Casimir: Bei Rückkehr der Mitarbeiter ins Unternehmen drohen mit Schadcode infizierte Geräte die Sicherheit des Netzwerks beeinträchtigen!

Mitarbeiter könnten Logische Bomben in den Betrieb einschleppen

Casimir erläutert: „In der IT-Sicherheit ist eine ‚Logic Bomb‘ ein schädlicher Code, der in eine Software oder ein System eingeschleust wird und dessen Funktion nur dann ausgelöst wird, wenn bestimmte Bedingungen erfüllt sind. Diese ‚Zeitbomben‘ werden von Viren, Würmern, Trojanern und Ransomware eingesetzt, um den Schaden im Unternehmensnetz zu maximieren und eine frühzeitige Entdeckung zu vermeiden.“ Ein solcher Angriff im Herzen des Netzwerks habe größere Folgen als ein Angriff auf einen Home-Office-Arbeitsplatz.

Heimisches Netzwerk der Mitarbeiter in der Regel schlechter abgesichert als ein Unternehmensnetzwerk

Die „Corona“-Krise habe die perfekten Voraussetzungen für Cyber-Kriminelle geschaffen, um diesen Angriffsmechanismus ins Auge zu fassen: „Tausende Angestellte wechselten mit Beginn der Kontaktbeschränkungen zum Arbeiten an den heimischen Schreibtisch und nutzten tragbare Geräte und häufig VPN-Zugänge, um von dort arbeiten zu können. Die Computer und Smartphones sind dabei im heimischen Netzwerk angemeldet, das in der Regel schlechter abgesichert ist, als ein Unternehmensnetzwerk und damit ein leichteres Ziel für Cyber-Kriminelle darstellt.“

Viele Mitarbeiter mussten auf private Geräte zugreifen

Hinzu kommt laut Casimir, dass viele Angestellte auf private Geräte hätten zugreifen müssen, weil ihre Unternehmen nicht genügend Laptops zur Verfügung hätten stellen können. Potenziell lauerten also Hundertausende „Dirty Devices“ darauf, endlich in das Unternehmensnetzwerk gebracht zu werden. Die Angreifer müssten die vielen tragbaren Geräte lediglich mit ihrem Schadcode infiltrieren und darauf warten, „dass die betroffenen Mitarbeiter ins Büro zurückkehren und das Gerät dort mit dem Unternehmensnetzwerk verbinden“. In diesem Moment könne die „Logic Bomb“ detonieren und ihren weiteren Angriff im Herzen des Netzwerks starten.

Strategie zum Umgang mit der Bedrohung entwerfen, bevor Mitarbeiter wieder regelmäßig ins Büro zurückkehren!

„Unternehmen müssen also dringend eine Strategie entwerfen, wie sie mit dieser Bedrohung umgehen wollen, bevor alle Mitarbeiter wieder regelmäßig ins Büro zurückkehren“, rät Casimir. Der wichtigste Grundsatz aller Überlegungen sollte sein: „Traue keinem Gerät, dass außerhalb des Unternehmens im Einsatz und mit fremden Netzwerken verbunden war.“ Vor der erstmaligen Verbindung mit dem Firmennetzwerk sollte jedes Gerät überprüft, aktualisiert und mit neuen Passwörtern versehen werden. Zudem sollte sämtliche Software darauf auch künftig nur in Versionen installiert sein, „die als stabil gelten und vom Unternehmen freigegeben wurden“. Dies seien die wichtigsten kurzfristig anwendbaren Handlungsempfehlungen aus dieser Home-Office-Zeit.

Telearbeit erzwingt Ausweitung der Sicherheitsinfrastruktur über klassischen Netzwerkperimeter hinaus bis zum Mitarbeiter im Home-Office

„Mittelfristig empfiehlt sich ein Umdenken. Durch die Telearbeit ist es angeraten, dass die Sicherheitsinfrastruktur über den klassischen Netzwerkperimeter hinaus ausgeweitet wird“, so Casimir. Der neue Perimeter sei tatsächlich „jeder einzige Anwender, eine Anwendung, auf die zugegriffen wird und das dafür eingesetzte Gerät“. Um den Security-Status von Netzwerken in der heutigen Situation zu erhöhen, Sicherheitsprobleme mit mobilen Geräten zu vermeiden und Verwaltungsaufwand für Rückkehrer ins Büro zu reduzieren, empfehle sich der Umstieg auf ein „Zero Trust“-Konzept. Mit einem solchen Ansatz erhalte jedes Gerät nur direkten Zugriff auf bestimmte Anwendungen auf Basis einer autorisierten User-Identität. Die übrige Netzwerkstruktur bleibe verwehrt und sogar völlig unsichtbar, was die laterale Ausbreitung von Hacker-Angriffen und Malware im Netz unmöglich mache.

Corona-Krise: Hohe Wahrscheinlichkeit der Infektion von Mitarbeiter-Geräten

Die Malware-Gefahr in der Situation der Kontaktbeschränkung sei real. Sicherheitsforscher des „Zscaler ThreatLabZ“-Teams fanden laut Casimir heraus, „dass Attacken, die einen ,Corona‘-Bezug hatten, von Januar bis April um 30.000 Prozent zunahmen. Allein im März entdeckten sie 380.000 Angriffe – im Unterschied zu lediglich 1.200 im Januar.“ Die Wahrscheinlichkeit sei also hoch, „dass einige mobile Geräte – private und geschäftliche – infiziert wurden“. Diese seien „tickende Zeitbomben“, so Casimirs Warnung.

Weitere Informationen zum Thema:

zscaler, Deepen Desai, 23.04.2020
30,000 Percent Increase in COVID-19-Themed Attacks

datensicherheit.de, 18.04.2020
Zscaler: Warnung vor Fake-VPN-Seiten zur Verbreitung von Infostealer-Malware