Mitarbeitenden stehen wieder alle Möglichkeiten offen – es gibt keinen Grund mehr dafür, dass sie verpflichtend zuhause arbeiten müssen, sondern optional ist nun auch die Rückkehr in das Büro möglich. Doch freuen sich alle tatsächlich darauf? Antworten darauf, wo und wie Menschen zukünftig arbeiten möchten, finden sich in der, kürzlich vom Fraunhofer IAO, veröffentlichten Studie. Unter anderem wurde von den Forschenden herausgefunden, dass sich Mitarbeitende – altersunabhängig – tendenziell eher für die Beibehaltung des Homeoffice entscheiden, wenn sie in kleineren Unternehmen, also bis 25 Angestellte, oder aber in großen mit mehr als 250 Angestellten arbeiten.
Während es also kein klares Votum für oder gegen die Arbeit im Büro gibt, zeichnet sich jedoch eines deutlich ab – die Einstellung bezüglich Geschäftsreisen hat sich erheblich verändert: lediglich zwei Prozent der Befragten gab an, dass sie zukünftig mehr als zehn Tage im Monat unterwegs sein wollen. Dies lässt sich aufgrund der technischen Möglichkeiten sehr gut realisieren ebenso wie die Verwirklichung des Konzepts standortungebunden als „Digitaler Nomade“ zu arbeiten.
Insgesamt lassen diese Fakten die Schlussfolgerung zu, dass Unternehmen sich zukünftig darauf einstellen müssen, dass sie ihren Mitarbeitenden alle Alternativen bieten müssen: Neben einer – auch technologisch – attraktiv gestalteten Büroumgebung ebenso die Möglichkeiten zur hybriden Arbeitsweise oder eben komplett Home-Office.
Was diese Umstellung für die IT-Sicherheit bedeutet und wie sich Unternehmen entsprechend darauf einstellen müssen erklärt Patrizio Ziino im aktuellen Blogbeitrag.
1. Frage: Es scheint so, als wollten sich Mitarbeitende nicht mehr unbedingt festlegen, welchen Arbeitsort sie präferieren. Was bedeutet das für die Unternehmen?
PZ: Die Forderung nach Flexibilität stellt die IT-Experten in den Unternehmen allgemein vor einige Herausforderungen. Auf der einen Seite sind sie dazu aufgefordert, die IT-Umgebung so zu gestalten, dass ein bedarfsorientiertes Arbeitsumfeld geschaffen wird – übrigens zuhause ebenso wie im Büro – um darüber eine positive Mitarbeitererfahrung sicherzustellen. Auf der anderen Seite erfordert diese – noch komplexere – Infrastruktur einen erhöhten Aufwand in Bezug auf die IT-Sicherheitsmaßnahmen.
Im Klartext bedeutet dies, dass mit unterschiedlichen – auch privaten – Endgeräten ein konsistenter sowie zuverlässiger Zugriff auf alle Ressourcen beziehungsweise Anwendungen gewährleistet werden muss bei gleichzeitig höchstmöglicher IT-Sicherheit. Diese Anforderungen lassen sich jedoch nicht unbedingt einfach realisieren, da bedingt durch die Heimarbeitsplätze zusätzliches Gefährdungspotential entsteht. Zum Beispiel kann dort, insbesondere in Mehrfamilienhäusern, die Infrastruktur aufgrund der vergrößerten physikalischen Angriffsfläche ein höheres Risiko darstellen. Durch schlecht konfigurierte Router / WLAN-Access Points ist die Verwundbarkeit dort deutlich höher als im professionellen Unternehmensumfeld.
2. Immer häufiger ist zu hören, dass Perimeter-Sicherheit nicht mehr ausreicht und stattdessen neue Konzepte wie Zero Trust hermüssen. Was steckt dahinter?
PZ: Mittlerweile nutzen Cyberkriminelle die aktuellen Angriffsvektoren, indem sie es schaffen über Angestellte – die nicht im Unternehmen sondern an ihrem Heimarbeitsplatz sind – einen Zugriff auf deren erlaubten Zugang über VPN und Firewall in das Unternehmen zu erhalten.
Denn darin liegt die Krux: Durch Perimeter-Sicherheit sind die internen IT-Systeme nicht ausreichend geschützt, da in diesem Sicherheitskonzept lediglich die externe Kommunikation als gefährlich eingestuft ist. Internen IT-Entitäten wird hingegen vertraut, ohne dass hier eine Überprüfung stattfindet. Insbesondere im Hinblick auf die vielfachen Gefahren der aktuellen Angriffsvektoren hat dieses Konzept einen großen Nachteil: Sobald Cyberkriminelle es geschafft haben, in das Netzwerk einzudringen stehen kaum noch Sicherheitsmaßnahmen zur Verfügung, mit denen gegen diese Angriffe vorgegangen werden kann.
Zero Trust ändert dieses Paradigma. Von daher ist, mit einem ganzheitlichen Blick auf die Cyber-Sicherheit – also unter Einbeziehung des Sicherheitsbedarfs sowohl im Unternehmen als auch bezüglich externer Arbeitsumgebungen – das Konzept Zero Trust positiv zu bewerten. Denn dieses basiert auf dem Prinzip, dass allgemein keiner IT-Entität – also weder einer IT-Anwendung oder -Infrastruktur noch dem Nutzer oder IT-Dienst – innerhalb oder außerhalb des Netzwerks vertraut werden kann. Mit anderen Worten, die gesamte Kommunikation zwischen den IT-Entitäten wird kontrolliert, reglementiert sowie auf Angriffsversuche untersucht und diese müssen sich jeweils gegenseitig authentifizieren. Damit ist es möglich, die aktuelle Angriffsfläche deutlich zu reduzieren.
3. Verlangt dies umfassende Veränderungen?
PZ: Ja, Zero Trust ist ein strategisches Konzept. Das bedeutet, die Einführung muss gut vorbereitet sein und verlangt eine methodische Vorgehensweise. Denn im Zuge der Umsetzung ist notwendig alles umfassend abzuarbeiten. Hierzu gehört unter anderem etwa, dass alle IT-Systeme identifiziert sowie die einzuführenden Regeln und Umsetzung der Cyber-Sicherheitsmechanismen definiert werden.
Im Sinne eines ganzheitlichen Konzepts ist jedoch auch essenziell, alle weiteren Sicherheitsrisiken – etwa die Nutzung nicht-autorisierter Anwendungen, also die im Home-Office teilweise von Mitarbeitenden gern genutzte Schatten-IT – aufzudecken und hierfür sichere Alternativen einzuführen.
4. Was können Unternehmen tun, um kurzfristig bereits mehr im Sinne von Cyber-Sicherheit zu tun?
PZ: Neben solchen zukunftsorientierten und daher notwendigen Veränderungen können Unternehmen aber auch sehr kurzfristig Dinge umsetzen, um Angriffsflächen zu reduzieren und die eigene Widerstandskraft erhöhen. Ein kleiner Teilaspekt hierbei ist zum Beispiel die Einführung einer konsequenten Regelung bezüglich sicherer Passwörter. Denn schwache Passwörter sind, das belegen verschiedene Studien, der Hauptgrund für erfolgreich durchgeführt Angriffe.
Daneben lässt sich auch mit einigen weiteren IT-Sicherheitsmaßnahmen die Wahrscheinlichkeit eines erfolgreichen Angriffes sowie daraus resultierende potenzielle Schäden reduzieren. Insbesondere im Hinblick auf die aktuelle Situation sollten Unternehmen jetzt überprüfen, wo mögliche Schwachstellen sind, die kurzfristig zu beheben sind.
Dabei unterstützen wir Sie gerne und haben zu diesem Zweck eine Checkliste erstellt, die hier heruntergeladen werden kann. Checkliste
