Ein sicheres Home Office ist möglich

Das Arbeiten von zu Hause aus oder auch das mobile Arbeiten an Orten wie Cafés, Hotelterrassen und dergleichen war bis vor Kurzem in vielen deutschen Unternehmen weniger gerne gesehen. Die Corona-Krise hat diese Einstellung zwangläufig verändert.

Im Rahmen der Digital Business Days der Ebner Media Group hat com! professional sich am 25.11 mit drei Security-Experten über den besten Schutz für den Remote-Arbeitsplatz unterhalten. Vertreten waren in der von Alexandra Lindner moderierten Runde Clemens Alexander Schulz, Direktor für den Produktbereich Desktop Security bei Rohde & Schwarz Cybersecurity, Michael Veit, Technology Evangelist der Sophos GmbH und Stefan Vollmer, CTO von TÜV SÜD Sec-IT.

Als erstem Gefahrenpunkt beim Home Office wandte sich die Runde der Mischung von privater und geschäftlicher Nutzung auf einem Gerät zu. Unisono empfahlen die Experten dringend, diese beiden Bereiche streng voneinander zu trennen. Als Mittel der Wahl empfehlen sie abgeschottete Container. Dafür gebe es auch schon von den Herstellern der Geräte gute technische Lösungen. Am besten aber sei ganz klar, so Michael Veit, „Firmendaten möglichst nur auf Geschäftsgeräten zu verarbeiten oder wenn das nicht möglich ist, mit Konstrukten wie Terminal-Server oder Virtual Desktop Infrastructure zu arbeiten“.

Ähnlich Clemens Alexander Schulz: Er fordert von Unternehmen, auch im Kleinen, also etwa bei der Smartphone-Nutzung der Mitarbeiter, keine Abstriche in punkto Sicherheit zu machen und durch einen geschützten Zugang, etwa durch Containerisierung sicherzustellen, dass keine Daten abgegriffen werden können. Aber auch er konstatiert: „Die beste Sicherheit gewährleistet man, indem man ein dediziertes Geschäftsgerät zur Verfügung stellt“.

Viele Mitarbeiter, die im Zuge der Pandemie von heute auf morgen ins Home Office wechseln mussten, wurden mit einem Virtual Private Netwokr, kurz VPN, ans Firmennetz angebunden. Aber auch hier gilt es Sicherheitsprobleme zu beachten, wie Alexander Schulz berichtet: „Die meisten Lösungen machen diese Abschottung zwar gut, aber nur in dem Moment, in dem der Tunnel in Richtung des Unternehmens aufgebaut wird. Wo das noch nicht der Fall ist, besteht ein erhöhtes Restrisiko im Home Office“, so Schulz.

Auch plädiert er nachdrücklich für einen proaktiven Schutz, einen Allways-on-Schutz. Wo ein Rechner Netzwerk habe, sei auf jeden Fall ein VPN aufzubauen. „Das ist die höchste Stufe der Sicherheit, weil dann, wenn der VPN-Tunnel aufgebaut ist, mein Betriebssystem den Schutz des  starken gesicherten Firmennetzwerks genießt“.  Wer als Nutzer glaube, er sei schon sicher, weil er ein Firmengerät habe und er müsse den VPN-Tunnel nicht aufbauen, sei im Irrtum.

Neben VPN und Containerisierung sah die Expertenrunde die Multi-Faktor-Authentifizierung (MFA) als wichtiges Mittel für ein sicheres Home Office an. Beim Zugriff auf Anwendungen und Dienste beobachten die Experten auf breiter Front einen Umstieg auf Multi-Faktor-Authentifizierung (MFA). Dabei kommt neben das Passwort ein weiterer Faktor hinzu, den der Nutzer bei sich trägt wie ein Smartphone oder eine Smartcard.

Stefan Vollmer berichtete davon, dass MFA derzeit breit eingeführt werde und auch von Online-Services und Shopping-Plattformen beworben und gefordert werde, weil das den Account sicherer mache. Er betonte, dass man damit von der Passwortproblematik wegkomme. Wenn ein Nutzer jeden Monat sein Passwort ändern müsse, dann wähle er beim ersten Mal passwort123, beim nächsten Mal passwort1234 und so weiter. „Da bietet Multi-Faktor-Authentifizierung einen Riesen-Mehrwert“, so Vollmer.  Man habe das Passwort und zusätzlich noch einen zweiten, viel viel sichereren Faktor, den man am Körper trage. Vollmer sieht bei MFA auch kein grundsätzliches Komfortproblem mehr, das Nutzer abhalten müsste. Die Lösungen werden seiner Meinung nach im besser, das zeige sich etwa ganz gut im Banking-Sektor.  

Michael Veit wiederum hob als besonderen Vorteil von MFA hervor, dass diese Methode den Angriffsvektor Passwortdiebstahl „austrocknet“. Der Angreifer könne ein gestohlenes Passwort nicht wie bisher mehrfach verwenden. MFA, forderte Veit deshalb, „soll für alle Dienste, erst recht für Administratoren Standard sein“. Für Veit steht MFA zudem für einen klaren Trend in Richtung Zero Trust Networking nach dem Motto: „Vertraue niemanden. authentifiziere alles.“

Clemens Alexander Schulz ergänzte, dass es bei MFA wichtig sei, darauf zu achten, als zweiten Faktor etwas zu verwenden, bei dem der Nutzer merke, wenn es ihm geklaut werde, also etwa ein Hardware-Token oder eine Smartcard. Gerade das sei ein wichtiger Vorteil von MFA im Vergleich zum Passwort: „Wenn einem Mitarbeiter das Passwort geklaut wird, kriegt er das ja nicht mit“.

Einig war sich die Runde in der Einschätzung über die größte Schwachstelle im Security-Konstrukt eines Unternehmens. Clemens Alexander Schulz konstatierte etwa: „Das Hauptproblem im Bereich Sicherheit ist der Faktor Mensch“. Der Mitarbeiter könne trotz aller technischen Maßnahmen immer noch sehr viel anrichten, sei es durch Klick auf eine malware-verseuchte Website, sei es durch Phishing-Mails. Gerade da sehen die Experten im Home Office erneut eine erhöhte Gefährdung.

 Die immer besser gemachten Phishing-Mails tarnen sich zum Beispiel als Einladung zu einem Personalgespräch. „Im Home Office hat man aber nicht mehr den Kollegen neben sich am Schreibtisch, den man fragen kann, ob auch rt die komische Mail von der Personalverwaltung bekommen hat“, erklärt Michael Veit. Er empfiehlt als wichtigste Maßnahme gegen Social-Engineering-Angriffe regelmäßige Awareness-Schulungen.

Nur einmal im Jahr die Mitarbeiter zusammenzurufen, reiche keinesfalls aus. Bei Sophos gibt es Veit zufolge schon seit fünf Jahren eine besondere Sensibilisierungsmaßnahme: Die Mitarbeiter erhalten alle zwei, drei Wochen gut gemachte Phishing-Mails von der eigenen IT-Abteilung, um zu sehen, ob sie darauf hereinfallen. „Wenn man weiß, dass solche Mails kommen, schaut man sich Mails ganz genau an, bevor man draufklickt“, so Veit.

Clemens Alexander Schulz wiederum plädierte auch beim Thema Social Engineering für proaktive Lösungen. Die würden es schon vom Konzept her unmöglich machen, dass der Nutzer Schaden anrichten und das ganze Unternehmensnetz infizieren könne, etwa in dem er auf eine verseuchte Website klicke.

Ähnlich Michael Veit. Er berichtete in der Expertenrunde von einer in den vergangenen zwei, drei Jahren zu beobachtenden  Veränderung im Sicherheitsdenken. Die DSGVO schreibe vor, dass Daten nach dem Stand der Technik geschützt werden müssen. Stand der Technik sei heute aber nicht mehr Antivirus-Lösung und Firewall, sondern ein proaktiver, ganzheitlicher Ansatz namens Endpoint Detection Response (EDR). Diese Lösungen laufen Veit zufolge auf Workstations und Server und beziehen auch andere Datenquellen mit ein, um zu erkennen, ob ein Hacker im Netzwerk unterwegs sei, noch bevor er Daten verschlüsselt oder gestohlen habe.

Zum Abschluss zogen die Security-Experten ein insgesamt optimistisches Fazit. Sicherheit auch und gerade im Home Office sei möglich. Es gebe gute Lösungen und Konzepte von VPN bis MFA.

Stefan Vollmer zufolge hat die Pandemie gezeigt, dass die deutschen Unternehmen digital gar nicht so schlecht aufgestellt sind, auch in punkto Sicherheit. Allerdings sollten sie an diversen Stellen nachschärfen. Dabei sei es wichtig, dass jeder mitmache. Die Unternehmen müssten es schaffen, den Mitarbeitern zu vermitteln, dass es sich für sie lohne, auf Sicherheit zu achten.

Clemens Alexander Schulz stimmte dem zu, sieht im Detail noch viel Spielraum nach oben. Vor allem sollten Unternehmen nicht warten, bis die ersten Sicherheitsvorfälle auftreten würden. Die Pandemie habe aber gezeigt, dass IT-Sicherheit grundsätzlich funktioniert habe, oft besser als erwartet. Sie habe einige tolle Entwicklungen im Bereich IT-Sicherheit hervorgebracht. Und künftig werde es noch mehr Lösungen geben, die IT-Sicherheit komfortabler machen würden.

Michael Veit betonte zum Abschluss, dass es wichtig sei, dass die Unternehmen auch beim Home Office ihre Hausaufgaben machten und die Basics beachteten, also zum Beispiel immer und überall und sofort für Updates zu sorgen. Und er forderte: „Sicherheit muss allumfassend betrachtet werden.“

Was Unternehmen machen müssten, habe sich in den letzten zwei, drei Jahren drastisch verändert. Sie müssten sehr viel mehr Aufwand treiben, um Daten, sei es im Home Office, im Büro oder unterwegs, abzusichern. Und dafür müssten sie auch das Personal bereitstellen. Deshalb würden immer mehr dazu tendieren, diese Aufgaben an Dienstleister auslagern, die das rund um die Uhr machen und auch schwache Anzeichen für Hackerangriffe erkennen und entsprechend reagieren.