Interview: COVID-19-Krise und die Sicherheit von Remote-Teams und Mitarbeitern„Ein moderner Sicherheitsansatz ist gefragt“
20. Mai 2020Die meisten Unternehmen haben sich bereits mit Sicherheitsmaßnahmen für Remote-Mitarbeiter befasst. Die Sicherheitsmaßnahmen reichen vom gesicherten, abgeschirmten Laptop und der obligatorischen VPN-Verbindung zum Unternehmensnetzwerk für den Zugriff auf kritische Systeme und Anwendungen bis hin zu einem eingeschränkten Zugriff oder ausschließlicher Offline-Nutzung. Allerdings haben sich die Bedingungen durch die aktuelle Pandemie verschärft, wie Igor Baikalov, Chief Scientist von Securonix, im Interview mit line-of.biz (LoB) verdeutlicht.
LoB: Der traditionelle Perimeter hat hetzutage ausgedient, es herrscht weniger Transparenz, Sicherheitsvorfälle haben schwerwiegendere Auswirkungen, und es entstehen potenziell unkalkulierbare Kosten. Welches sind die wichtigsten Sicherheitsprobleme, auf die Unternehmen achten sollten, wenn immer noch ein großer Teil der Belegschaft von zu Hause arbeitet?
Baikalov: Die wichtigsten Sicherheitsprobleme sind im Großen und Ganzen die gleichen, die sonst auch auftreten. Allerdings haben sich die Bedingungen verschärft. Der traditionelle Perimeter hat ausgedient, es herrscht weniger Transparenz, Sicherheitsvorfälle haben schwerwiegendere Auswirkungen, und es entstehen potenziell unkalkulierbare Kosten.
LoB: Was sind die wichtigsten Herausforderungen?
Baikalov: Die sichere Geschäftskommunikation: E-Mail, Chat, alle Arten von Kollaborations- und Videokonferenz-Tools, das Absichern des Datentransfers zu den Remote-Endpunkten, der Zugriff auf kritische Anwendungen außerhalb des Unternehmensnetzwerks sowie die Sicherheit für Remote-Endpunkte, denn diese werden häufig für private Zwecke genutzt und man verzichtet auf physische Sicherheitsmaßnahmen. Unternehmen sollten sich mit diesen Anforderungen allerdings schon vor Eintreten der aktuellen Situation auseinandergesetzt haben. Das ist aber vielfach nicht der Fall. Entweder, weil die Prioritäten anders gesetzt wurden, weil man zusätzliche Investitionen gescheut oder sich zu sehr auf zentralisierte Sicherheitskontrollen für das Unternehmensnetz verlassen hat.
LoB: Wenn sich der potenzielle Bedrohungsperimeter verlagert, brauchen wir dann einen grundlegend neuen Ansatz für die Netzwerksicherheit?
Baikalov: Unabhängig davon, ob wir vom Home Office, einem Kundenstandort, einer Niederlassung oder der Unternehmenszentrale sprechen, die sich entwickelnde Bedrohungslandschaft und die Aushöhlung des Netzwerkperimeters erfordern zwingend einen modernen Sicherheitsansatz. Das Zero Trust-Modell schließt implizites Vertrauen in Benutzer oder Geräte innerhalb oder außerhalb eines Unternehmensnetzwerks aus. Es erstreckt sich auf die Kommunikation und sogar die Datenintegrität. Zero Trust erfordert eine zuverlässige Authentifizierung und eine kontinuierliche Überprüfung des Zugriffs auf alle geschützten Ressourcen. Diese Architektur ist nicht billig und kein einmaliges Projekt – das Modell verlangt kontinuierliche Anstrengungen. Aber je früher sich ein Unternehmen auf die Reise begibt, desto weniger wird es selbst zum Ziel von Angriffen werden. Das gilt in Zeiten der Krise ganz genauso wie im normalen Unternehmensalltag.
LoB: Welche Rolle werden die Passwörter künftig spielen?
Baikalov: Passwortbasierte Authentifizierung ist gar nicht so schlecht. Man sollte sie nur nicht zur alleinigen Authentifizierungskontrolle benutzen. Eine richtig implementierte Passwortrichtlinie, die lange, leicht zu merkende Passphrasen anstelle von lächerlichem Kauderwelsch ermöglicht und unnötige, häufig erforderliche Passwortänderungen, sichere Hashes und deren Speicherung eliminiert, trägt wesentlich dazu bei, den ersten der drei Eckpfeiler der Multi-Faktor-Authentifizierung zu etablieren: etwas, das man weiß, etwas, das man hat, und etwas, das man ist. Im Umfeld der mobilen Sicherheit sind die beiden übrigen kein Hexenwerk. Hier greifen biometrische Authentifizierungsmethoden für den Zugriff auf das Gerät und eine sichere Gerätesignatur zur Bestätigung des rechtmäßigen Besitzes. Out-of-Band-Authentifizierung über ein Einmalpasswort (OTP), das entweder per Text- oder Sprachnachricht gesendet wird, verstärkt diesen Sicherheitsansatz. Darüber hinaus stehen Lösungen zur Verfügung, mit denen man Kontextinformationen wie den Standort des Geräts, die Konfiguration und Verhaltensmerkmale in die Analyse einbeziehen kann, um unberechtigte Zugriffsversuche zu erkennen. Es gibt eine Reihe von tauglichen Optionen, um den Authentifizierungsprozess abzusichern, und keine Entschuldigung für ein sicherheitsbewusstes Unternehmen, sie nicht zu anzuwenden.
LoB: Was schadet dann dem Ruf von Passwörtern?
Baikalov: Ganz klar der Missbrauch im Verbrauchersegment: Im Kampf um Marktanteile verwenden viel zu viele Unternehmen wissentlich ein zweitklassiges Authentifizierungssystem. Argumentiert wird dem ach so hoch geschätzten Verbraucher, dem man keine Unannehmlichkeiten zumuten will. Ähnlich der anhaltenden Chip-und-Pin-Kontroverse im Kreditkartenbereich. Für Unternehmen ist das eine kalkulierte Entscheidung zwischen Sicherheitsrisiko und Gewinn. Hauptleidtragende sind die Verbraucher, also diejenigen, auf die man sich so gerne beruft. Und zwar gleich in zweierlei Hinsicht. Zum einen kämpfen Konsumenten mit dem Verlust persönlicher Informationen als Resultat einer nicht enden wollen Kette von Verstößen, zum anderen tragen sie höhere Gebühren, die „dank“ dieser Geschäftspraktiken ebenfalls auf die Verbraucher abgewälzt werden.
LoB: Wer ist für die Sicherheit eines Netzwerks verantwortlich, dass sich bis ins Home Office eines Arbeitnehmers erstreckt?
Baikalov: Verantwortlich sind das Unternehmen und der einzelne Mitarbeiter in einem Remote-Working-Umfeld. Der Standort ist dabei irrelevant. Das Unternehmen ist für die Bereitstellung von Tools und Mitteln für die sichere Kommunikation und den Schutz der Rechner verantwortlich, während der Mitarbeiter für die Einhaltung der Sicherheitsrichtlinien und die Sicherung der lokalen Arbeitsumgebung verantwortlich ist, sei es für das Home Office oder sei es an einem öffentlichen Ort.
LoB: was gehört für Sie zu den Aufgaben des Mitarbeiters ?
Baikalov: Die physische Sicherung eines Laptops oder eines anderen für geschäftliche Zwecke verwendeten Geräts vor Diebstahl und unbefugter Verwendung. Zudem die sichere Kommunikation mit Geschäftssystemen, wie etwa VPN für interne und HTTPS für den Zugriff auf externe Anwendungen. Dazu kommen noch die Sicherheitskontrollen für die Endpunkte wie Antivirus und lokale Firewall aktiv und auf dem neuesten Stand zu halten sowie bei allen Online-Aktivitäten auf empfohlene Cybersicherheitsmethoden zu achten. Gerade weil einige der Anforderungen für nicht-technisches Personal nicht unbedingt einfach umzusetzen sind, muss jede Firma für entsprechende Schulungen und Unterstützung sorgen. Nicht nur in Krisenzeiten. (rhh)