ClickCount-Tag
https://ad13.adfarm1.adition.com/redi?sid=4306557&gdpr=${GDPR}&gdpr_consent=${GDPR_CONSENT_39}&kid=6481691&bid=19736518
Wie planen Unternehmen ihre digitale Zukunft? War ein Umdenken in Richtung Homeoffice bzw. Fernwartung längst überfällig? Dies sind Fragen, die sich durch die Covid-19-Pandemie relativ schnell von selber beantwortet haben. Doch gleichzeitig stieg auch die Gefahr von Cyberattacken.
Wie man dem am geschicktesten begegnet und wo sie Schwächen vieler liegen weiß Uwe Gries, Country Manager DACH bei Stormshield im Gespräch mit Stephanie Englert.
IoT 4 Industry&Business: Wie sieht Stormshield den, auch durch Corona, angestoßenen Entwicklungsschub in Richtung Digitalisierung?
Uwe Gries: Die Gesundheitskrise hat von einem Tag auf den anderen Millionen Beschäftigte zur Telearbeit gedrängt, mit einer explosionsartigen Zunahme der Nachfrage nach Fernzugang und VPN. Die Reaktion der Organisationen war nicht einheitlich und zweifellos kein Ergebnis einer durchdachten digitalen Entwicklungsstrategie der Unternehmen, sondern eine Handlung aus einer Notsituation heraus, und als solche ist sie auch zu werten.
IoT: Inwiefern?
Gries: Zum Teil wurden hausinterne Sicherheitsrichtlinien abgebaut oder verändert, um schnellstmöglich für mehr Fernzugriffe zu sorgen, ohne übliche IT-Sicherheitsverfahren zu befolgen und ohne davor eine Risikoanalyse durchführen zu können. Allein in den letzten beiden Märzwochen verzeichnete etwa unser technischer Support einen 30-prozentigen Anstieg der Anfragen von Netzwerk- und Systemadministratoren, die über Nacht Fernzugriffe einrichten mussten.
Zum Teil vergingen hingegen Wochen, bis die Mitarbeiter überhaupt auf die Unternehmensressourcen von zu Hause aus zurückgreifen konnten, was vermehrt zum Einsatz von nicht per Sicherheitsrichtlinie genehmigten Plattformen für den Informationsaustausch führte. Doch dem anfänglichen Chaos zum Trotz sind wir der Meinung, der vermehrte Rückgriff auf Telearbeit und Fernwartung könnte den Weg für einen Paradigmenwechsel geebnet haben. Es bleibt allerdings noch abzuwarten, ob sich die vielerorts zögerlich eingeführte neue Arbeitspraxis etablieren wird.
IoT: Sind bei Unternehmen, die vielleicht unvorbereiteter und einhergehend auch unvorsichtiger in die Telearbeit gestoßen wurden, denn wirklich mehr Zwischenfälle zu verzeichnen?
Gries: Die geringere Wachsamkeit und digitale Verunsicherung kamen bekanntermaßen Cyberkriminellen zugute, besonders bei Organisationen, in denen Telearbeit noch nie oder nur selten durchgeführt wurde. Sowohl in der öffentlichen Verwaltung, im Gesundheitswesen wie auch im Industrieumfeld wurden die IT-Systeme auf eine besonders harte Probe gestellt. Und ihre digitale Anfälligkeit zeigte sich deutlich, hierzulande wie International mit bedeutsamen Cybersicherheitsvorfällen: Die Covid-19-Epidemie hat branchenübergreifend infrastrukturelle Mängel ans Tageslicht treten lassen, schließlich wurden die Sicherheitslücken der Unternehmen in die Wohnungen der einzelnen Mitarbeiter getragen – und umgekehrt.
Zudem wurden „Versprechen“ von Seiten der Cyberkriminellen, in der Covid-19-Zeit auf Attacken zu verzichten, nicht eingehalten. Es gab daher abertausende Phishing-Mails mit Corona als Hauptthema und etliche Angriffe, die sich Schlupflöcher ins Unternehmensnetz aufgrund der unbedachten Öffnung von Ports zunutze machten.
IoT: Welche „Lehren“ werden hieraus nun gezogen?
Gries: Wir haben nicht den Eindruck gewinnen können, dass bislang die Unternehmen so richtig verstanden hätten, welche Chance zur Erneuerung obsoleter Infrastrukturen und zur Verstärkung der eigenen Cyberresilienz diese Situation geboten hat. Ebenso wenig glauben wir, dass diese Chance zur Weiterentwicklung überhaupt wahrgenommen wird.
Jüngste Studien bestätigen, dass in etwa 40 % der europäischen Unternehmen IT- und Cybersicherheitsinvestitionen kurz bis mittelfristig eingefroren hätten, um zumindest teilweise die Verluste durch Corona zu kompensieren. Andere Erhebungen zeigen jedoch, dass Zusatzinvestitionen im Bereich VPN und Datenverschlüsselung getätigt würden. Wir wollen hoffen, dass man ab sofort die Absicherung der Unternehmensinfrastruktur wie der Daten als ganzheitlichen Wachstumsprozess betrachtet und ggf. neue Maßnahmen nach dem Prinzip der „Security by Design“ ergriffen werden.
IoT: Seit kurzem sprechen Unternehmen und vereinzelt ganze Länder von einer Rückkehr der Mitarbeiter an den Arbeitsplatz im Office. Hat die Pandemie nun doch keinen Change in der Arbeitsdenkweise hervorgerufen oder reichen die infrastrukturellen Kapazitäten und Sicherheitsvorkehrungen für eine derart große Summe an Telearbeitsplätzen einfach nicht aus?
Gries: Die rosigen Erwartungen aus dem Sommer haben sich leider in der Form nicht bewahrheitet, die Zahlen steigen überall erneut. Doch haben sich viele Unternehmen in ganz Europa branchenübergreifend von der vermeintlichen „Ruhephase“ nicht beirren lassen und auf unbefristete Zeit Schichten unter den Mitarbeitern eingeführt, damit – wenn überhaupt – deutlich weniger als 50 % der Belegschaft gleichzeitig in der Firma anwesend sind.
Zu diesem Zweck wurden die (fast überall) anfangs knappen infrastrukturellen Kapazitäten erweitert und entsprechende Sicherheitsrichtlinien vorgesehen. Dort, wo die Präsenzkultur am Arbeitsplatz hingegen am stärksten ist, nehmen die Organisationen das Risiko von gezielten Schließungen und Einzelquarantänen in Kauf. Der Rückgriff auf Telearbeit (falls überhaupt möglich) wird immer noch als „Notmaßnahme“ und nicht als Garant für die Geschäftskontinuität gesehen. Die Unterschiede zwischen beiden Ansätzen sind sehr markant und führen auch zu einer unterschiedlichen Auffassung der einzuleitenden Cybersecurity-Maßnahmen.
IoT: Was müssen Telearbeiter/ Unternehmen in Bezug auf Datenverschlüsselungen besonders beachten?
Gries: Je minimaler die Auswirkung jeder eingeführten Cybersecurity-Maßnahme für den Mitarbeiter, desto erfolgreicher deren Implementierung. Das gilt auch für die Datenverschlüsselung. Diese darf keineswegs Arbeitsprozesse belasten, muss für den Mitarbeiter transparent, schnell und zuverlässig sowie unabhängig vom Dokumenttyp, vom Gerät (Tablet, Smartphone, Laptop, Desktop-PC) oder vom Anbieter des eingesetzten Cloud-Services erfolgen und eine vertrauenswolle Zusammenarbeit unter Projektmitarbeitern gestatten. Zusätzliche Funktionen wie die Anzeige von Alarmen bei kritischen Ereignissen und die Möglichkeit, die – von den Daten getrennt gespeicherten – privaten Schlüssel über einen Zwangsabruf in Echtzeit zurückzurufen und die entschlüsselte Anzeige der Daten je nach Aufenthaltsort des Mitarbeiters zu unterbinden, runden den zu evaluierenden Leistungsumfang der Verschlüsselungslösung ab.
IoT: Punkto Datensicherheit: Was ist besonders zu beachten, auch in Hinblick darauf, dass mehrere, verschiedene Geräte gleichzeitig benutzt werden?
Gries: Wir bei Stormshield halten es für unangebracht, Mitarbeiter mit Geräten auszustatten, die ihre Aktivitäten auf invasive Weise überwachen, wo deren Zeitkarte nach dem Login ins Unternehmensnetz gestempelt und deren Produktivität an Serverlogs gemessen wird. Aufgrund der Vielzahl der (auch privaten) Geräte, die Mitarbeiter zu Hause einsetzen, ist es notwendig, Zero-Trust-Modelle in Erwägung zu ziehen. Darunter fallen sowohl eine transparente Ende-zu-Ende-Verschlüsselung der Daten unabhängig von der verwendeten Speicherplattform und der Verwendung von VPNs als auch der eingeschränkte Zugriff auf Netzwerkressourcen, der für einen bestimmten Benutzer aufgrund seiner Rolle, des verwendeten Gerätes, des Arbeitsortes und der eingesetzten Anwendung zu festgelegten Zeiten autorisiert werden sollte.
Diese Faktoren würden es ermöglichen, den Zugriff, die Verarbeitung und die Weiterleitung sensibler Daten sowie die Privatsphäre der Benutzer zu schützen, indem Arbeitszeiten klar abgegrenzt und die Nutzung von Privatgeräten und -plattformen eingeschränkt werden, die nicht durch die hausinterne Sicherheitspolitik abgedeckt sind. Die Legitimität des gesamten Datenflusses sollte zudem gründlich überprüft und der Datenverkehr im Fall von Anomalien in Echtzeit unterbunden werden. Mit diesem Modell kann jede Organisation bestimmen, wer genau worauf, wie und wann Zugriff hat, und Daten sowie die gesamte Infrastruktur absichern.
IoT: Bieten denn Cloud-Lösungen die Sicherheit, die Unternehmen benötigen?
Gries: Cloud-Lösungen waren in der akuten Lockdown-Phase eines der am meisten genutzten Werkzeuge für die Gewährleistung der Geschäftskontinuität. Doch allgemein besteht ein großer Unterschied zwischen privaten Cloud-Diensten und öffentlichen SaaS-Anwendungen und Cloud-Plattformen. Erstere sind meistens mit unternehmenseigenen Cybersecurity-Lösungen geschützt. Bei Cloud-Plattformen muss man eine weitere Unterteilung vornehmen: Es gibt solche, die Unternehmen gewidmet und deshalb durch Service-Level-Agreements und vom Provider gestellte Sicherheitslösungen abgesichert sind, und solche für den privaten Gebrauch. Da letztere leicht und schnell zugänglich und bedienbar sind, wurde sehr oft in der Not darauf zugegriffen, ohne Rücksicht auf die Sicherheitsrichtlinien des Unternehmens.
„Cloud-Lösungen waren in der akuten Lockdown-Phase eines der am meisten genutzten Werkzeuge für die Gewährleistung der Geschäftskontinuität.“
Firmen, die von den Vorteilen einer flexiblen IT-Infrastruktur mittels Cloud-Lösungen profitieren möchten, sollten zum Schutz der eigenen Daten das Schatten-IT-Phänomen weitestgehend unterbinden. Ein weiteres Element muss zudem berücksichtigt werden: Durch die Abschaffung des Privacy-Shield-Abkommens zwischen der EU und den USA ist die Nutzung von Cloud-Services aus Übersee besonders kritisch, auch im Hinblick auf die mögliche Verhängung von Geldstrafen durch die zuständigen Behörden.
>>> Gerade in Zeiten von Corona ist auch Deep Fake immer wieder Thema. Lassen Sie hier Teil 2 des Interviews.
>>> Das Interview erscheint in unserer Ausgabe 02/2020 von IoT 4 Industry & Business (30. Oktober 2020) – Dieses und alle ePaper können Sie hier kostenlos und ohne Registrierung online lesen.
