agcreativelab - stock.adobe.com
Home-Office: Die Sicherheitsbedenken bei Finanzunternehmen
Die flexiblere Arbeitswelt stellt IT-Teams vor Herausforderungen in Sachen Sicherheit. Übliche Schutzmechanismen greifen nicht mehr, oftmals ist eine Neuausrichtung erforderlich.
Die meisten Banken und Fondshäuser in Deutschland setzen künftig auf mehr Heimarbeit, so berichtete das Handelsblatt im Mai 2021. Seit die Arbeit im Home-Office schnell zum gern angenommenen Standard wurde, haben Unternehmen davon profitiert.
Sie haben Kosten eingespart und ihre Mitarbeiter fühlen sich im Home-Office wohl. Da laut Marktforschungsunternehmen Gartner mehr als 80 Prozent der Unternehmen dieses Arbeitsmodell weiterhin für mindestens einen Tag pro Woche anbieten wollen, wird also ein langfristiges Angebot von Home-Office in Verbindung mit einer erhöhten Flexibilität im Allgemeinen ein wichtiger Bestandteil des modernen Arbeitsansatzes sein.
Dennoch haben viele Unternehmen noch immer mit den damit verbundenen Konnektivitäts- und Sicherheitsrisiken zu kämpfen. Gerade für Banken und Versicherungen gelten besondere Sicherheits- und Compliance-Regelungen.
Eine neue Studie von Deloitte hat einen direkten Zusammenhang zwischen Telearbeit und neuen Angriffstechniken von Cyberkriminellen festgestellt. Dabei ist der Finanzsektor das zweithäufigste Ziel von Angriffen. Er ist eine der am stärksten regulierten Branchen, und Banken und Finanzunternehmen besitzen sensible Daten. Bösartige Akteure nutzen die jüngsten Veränderungen der Arbeitsmodelle als Gelegenheit, um weitere Angriffe in dieser Branche durchzuführen, wie im Juni 2021 auch das Handelsblatt berichtete.
Auf die Nutzer kommt es an
Eines der größten Sicherheitsprobleme, die das Home-Office mit sich bringt, ist der Betrug mittels Phishing. Zu Beginn der Pandemie nahmen Phishing-E-Mails in nur einem Monat um 667 Prozent zu. Auch die Verbraucherzentrale NRW berichtete schon im Juni 2020 über eine Zunahme von Phishing.
Wenn Mitarbeiter von zu Hause aus arbeiten, können sie leicht Opfer von bösartigen E-Mails, Links oder Dateien werden, bei denen sie normalerweise vorsichtiger wären. Viele Sicherheitsteams in Unternehmen haben Informationen zur Sicherheit im Büro an Mitarbeiter verteilt. Jetzt jedoch, wo die meisten Büros leer stehen, geraten diese Hinweise in Vergessenheit, denn man kann nicht einfach einen Kollegen gegenüber nach seiner Meinung zu einer E-Mail fragen.
Besonders während der Schulschließungen, als viele berufstätige Eltern sowohl mit der Arbeit als auch mit dem Heimunterricht jonglierten, wurden die vom Unternehmen zur Verfügung gestellten Arbeitsgeräte oft von mehreren Familienmitgliedern genutzt. Die Richtlinien hierzu variieren von Unternehmen zu Unternehmen.
Da die Daten in der Bank- und Finanzbranche jedoch sehr sensibel sind, kann ein unsicherer Umgang mit diesen im Home-Office katastrophale Folgen nach sich ziehen. Mit nur einem unbedachten Klick könnten wichtige Daten online freigegeben oder Hackern Zugriff auf die Systeme gewährt werden. Hacker bekämen so Zugriff auf Daten, ohne dass der Benutzer davon weiß.
Perimeter-basierte Tools passen nicht mehr ins Bild
Da Heimnetzwerke oftmals unbekannt und ungesichert sind, stehen IT-Teams hier vor einer neuen Herausforderung. Untersuchungen von Bitsight ergaben, dass fast die Hälfte der Unternehmen ein oder mehrere Geräte hat, die über ein Heimnetzwerk auf das Unternehmensnetzwerk zugreifen. Die Heimnetzwerke waren mit mindestens einer Malware infiziert. Böswillige Akteure könnten dieses Heimnetzwerk einfach infiltrieren und es nutzen, um Zugriff auf das Unternehmensnetzwerk und die darin befindlichen kritischen Ressourcen zu erhalten.
Dies ist besonders bedenklich, wenn die sonst üblichen Kontrollen möglicherweise nicht mehr greifen. Zu Beginn der Pandemie waren die bewährten VPNs, auf die sich viele Unternehmen zuvor für den Netzwerkzugang verlassen hatten, nicht für den plötzlichen Anstieg der Nachfrage gerüstet. Die IT-Teams hatten nicht mehr genug Lizenzen, um die gesamte Belegschaft täglich zu versorgen, und die Skalierung stellte eine Belastung für die Bandbreite dar. Wenn der Auftrag des Managements lautete, „alle so schnell wie möglich online zu bringen“, mussten die Teams möglicherweise ihre Disaster-Recovery-Pläne über Bord werfen und auf einige Sicherheitskontrollen verzichten, um die Produktivität in der Übergangsphase und später im Home-Office aufrechtzuerhalten.
„Eines der größten Sicherheitsprobleme, die das Home-Office mit sich bringt, ist der Betrug mittels Phishing.“
Paul Baird, Qualys
Die Arbeit im Home-Office gestaltet die Arbeit zwar flexibler, aber 53 Prozent der Arbeitnehmer haben das Gefühl, dass sie den ganzen Tag über erreichbar sein müssen (CIPD 2021). Infolgedessen haben Sicherheitsüberwachungssysteme zur Analyse des Benutzerverhaltens, um Anomalien zu erkennen und Verstöße aufzudecken, nun Mühe, Schritt zu halten.
Die Anmeldung zu unregelmäßigen Zeiten, von unbekannten Orten aus oder mit neuen Anwendungen kann zu Fehlalarmen und Ermüdungserscheinungen führen. Dies wirkt sich auch auf die Sicherheitsteams aus, von denen sich 60 Prozent von der Menge der Alarme überfordert fühlen und fast die Hälfte (43 Prozent) Schwierigkeiten hat, Prioritäten zu setzen und effektiv auf Alarme zu reagieren (Forrester 2021).
Andere traditionelle Sicherheits-Tools, wie solche, die Endpunkte überwachen und Assets in Bezug auf das Netzwerk inventarisieren, könnten nun persönliche Daten und Geräte erfassen, die auch das Heimnetzwerk des Mitarbeiters nutzen. Dies stellt IT- und Sicherheitsteams vor das Dilemma, ein ethisches Gleichgewicht zwischen Unternehmenssicherheit und individueller Privatsphäre zu erreichen. Moderne Lösungen ermöglichen mit einem agentenbasierten Ansatz eine genauere Kontrolle darüber, wer, was und wann gescannt wird. Das stellt sicher, dass Sicherheitsteams nur scannen und sehen können, was sich auf dem Rechner befindet, auf dem der Agent installiert ist.
Neuausrichtung auf die heutige Bedrohungslandschaft
In Deutschland wurde die Home-Office-Pflicht zwar beendet, aber die Arbeit im Home-Office wird langfristig Thema ein Thema sein. Aus diesem Grund ist jetzt ein guter Zeitpunkt zur Neubewertung der Sicherheitslage. Insbesondere die grundlegenden Cyberhygienemaßnahmen, die nach den turbulenten Ereignissen des Jahres 2020 auf der Strecke blieben.
Herkömmliche Ansätze erforderten eine perimeterbasierte Sicherheit mit Fokus auf On-Premises, aber Cloud-basierte Lösungen bieten nun eine weitaus größere Unterstützung für IT- und Sicherheitsteams, um sowohl Remote- als auch On-Premises-Endpunkte zu schützen. Diese neuen Tools stellen über das Internet eine direkte Verbindung zur Cloud her, anstatt dass große Mengen an Datenverkehr durch VPN-Gateways fließen müssen, was zu Verzögerungen bei der Implementierung wichtiger Patches oder Software-Updates führt.
Diese Lösung ist jedoch mehr als nur Technologie, und die Menschen hinter den Bildschirmen sollten nicht vergessen werden. Re-Investitionen in Security-Awareness und Cybersecurity-Schulungen sind heute wichtiger als je zuvor. Seit dem ersten Auftreten von Covid-19 hat sich viel verändert, weshalb eine erneute Schulung zur Bekämpfung der heutigen Bedrohungslandschaft unerlässlich ist.
Anstelle eines einstündigen Webinars oder eines umfangreichen schriftlichen Handbuchs nutzen die effektivsten Schulungen Humor und relevante Beispiele aus dem täglichen Leben, um sicherzustellen, dass sich die Mitarbeiter an Best Practices erinnern und diese befolgen, egal von wo aus sie arbeiten.
Über den Autor:
Paul Baird ist Chief Information Security Officer bei Qualys.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
