Lehren aus der Corona-Krise

Sie schlug in vielen Betrieben ein wie ein Hammer: die Corona-Pandemie. Manch ein Unternehmen hatte Notfallpläne in der Schublade, bei anderen herrschte zunächst einfach nur Chaos. Da die Notfallzeiten langsam vorbei sind, sollte es in den IT-Abteilungen wieder mehr Überblick und strukturiertes Arbeiten geben. Aber Zeit zum Ausruhen ist nicht da: Vielmehr gilt es jetzt, die Lehren aus der Corona-IT-Krise zu ziehen und neue Strategien zu entwickeln.

Corona ist immer noch sehr präsent und belastet weiterhin viele gewohnte Abläufe. In kurzer Zeit mussten die Unternehmen die Arbeitsplätze in Homeoffices verlegen und vollen Zugriff auf Arbeitsdaten gewähren - und durften dabei die IT-Sicherheit nicht gefährden. Einigen ist das gut gelungen, bei den meisten aber gab es eklatante Probleme.

Dieses Urteil untermauern diverse Studien, etwa von Security-Spezialisten wie Bitdefender und Trend Micro oder von Centrify, Anbieter von Privileged-Access-Management-Lösungen. Befragt wurden jeweils Ver­antwortliche und Mitarbeiter von Unternehmen in Deutschland, Europa und teils weltweit. Alle Studien zielen dabei in eine Richtung: Was waren die Probleme durch Corona? Welche Lehren wurden daraus gezogen? Wie sehen die Konsequenzen aus?

Laut der Bitdefender-Studie „The Indelible Impact of Covid-19 on Cybersecurity“ hatten 60 Prozent der weltweit befragten Unternehmen keinen Notfallplan parat und reagierten daher teilweise chaotisch. Befragt wurden rund 6.700 IT-Security-Experten aus zehn Ländern - darunter mehr als
500 Fachleute aus Deutschland. Der Bericht basiert auf Daten, die im Mai 2020 erhoben wurden. Liviu Arsene, Global Cybersecurity Researcher bei Bitdefender, sagt zum Ergebnis der Studie: „Beim Thema Cybersicherheit geht es um Reputation und Geschäftskontinuität. Die Fähigkeit, sich schnell anzupassen, ohne das Risiko zu erhöhen, ist von entscheidender Bedeutung für Unternehmen und Organisationen. Wenn die Covid-19-Bedrohung die Arbeitskultur verändert, dann muss sich auch die Sicherheitsstrategie ändern. Mindestens die Hälfte der Organisationen weltweit war auf ein Szenario wie dieses nicht vorbereitet und die Angreifer haben sofort die Gelegenheit genutzt. Die Mehrheit der IT-Sicherheitsfachleute hat die Notwendigkeit eines raschen Wandels erkannt und erste Maßnahmen ergriffen.“

Einige Kernaussagen der Bitdefender-Studie unterstreichen, wie wichtig es ist, dass neue Strategien gefunden werden. 78 Prozent der Befragten teilen die Ansicht, dass die Covid-19-Pandemie die Art und Weise, wie ihre Unternehmen mit IT-Security arbeiten, dauerhaft verändert. Das zeigt sich auch in der Bestätigung von 80 Prozent der Befragten, dass Attacken während der Krise zugenommen haben. Als Reaktion darauf haben die Unternehmen laut Bitdefender ihren Mitarbeitern Sicherheitsleit­fäden und sicher abgeschirmte private Netzwerke (Virtual Private Networks, VPNs) bereitgestellt. Als Lehre aus der Krise geben die Befragten an, dass ein 24/7-IT-Support notwendig ist. Auch IT-Sicherheitsschulungen sowie eine bessere Sichtbarkeit von Schwachstellen und eine Inventarisierung aller Endgeräte sollen in Zukunft im Fokus stehen.

Wirklich überraschend sind die Erkenntnisse dieser Umfrage nicht, zählen doch verbesserter Support, Awareness-Schulungen und mehr Schutz am Endpunkt schon lange zu den Empfehlungen der Experten.

Das größte Sicherheitsproblem während der Corona-Krise und auch in der Zeit danach ist der Zugriff auf Unternehmensnetzwerke aus dem Homeoffice. Sowohl die Studie von Bitdefender als auch die von Centrify sehen diese Problematik als die schwierigste an. Dabei geht es weniger um die Technik als um die Tatsache, dass manche Unternehmen zum Beispiel früher eine Firewall und 300 geschützte Arbeitsplätze dahinter hatten. Nun liegen plötzlich 300 Arbeitsplätze als verwundbare Inseln im Internet und jeder Fehler eines Mitarbeiters kann verheerende Folgen haben.

In der Centrify-Umfrage, die unter 200 Entscheidungsträger in großen und mittleren britischen Unternehmen durchgeführt wurde, bestätigen 48 Prozent der Verantwortlichen, dass ihre bestehenden Cybersicherheitsrichtlinien derzeit nicht geeignet sind, um ein 100-prozentiges Fernarbeitsmodell aufrechterhalten zu können. Aufgrund dessen erwarten fast zwei Drittel (65 Prozent) eine Zunahme von Phishing und Sicherheitsverstößen.

„Remote-Mitarbeiter, darunter auch Drittanbieter, stehen während der Covid-19-Krise besonders im Visier von Cyberkriminellen, da diese davon ausgehen, dass Mitarbeiter für die Fernarbeit nicht richtig geschult wurden oder durch geeignete Security-Maßnahmen geschützt sind“, betont Martin Kulendik, Regional Sales Director DACH bei Centrify. „Die Überholung der Cybersicherheitsrichtlinien und -verfahren erfordert das Mitwirken aller Mitarbeiter und sollte eine strenge Passwort-Hygiene einschließlich Multi-Faktor-Authentifizierung sowie eine identitätszentrierte Lösung zur Verwaltung privilegierter Zugriffe beinhalten, um Unternehmensdaten vor Angriffen zu schützen.“

Nicht nur die Befragten der Studien konstatieren eine steigende Zahl von Angriffen auf Homeoffice-Arbeitsplätze. Auch der Sicherheitsspezialist Kaspersky hat im ersten Quartal 2020 eine Vervielfachung der Attacken auf Remote-Desktop-Verbindungen (RDPs) registriert. Von einer erhöhten Anzahl registrierter Phishing-Angriffe und anderer Attacken berichten zudem Security-Unternehmen wie Sophos oder ESET.

Die Studien von Bitdefender, Centrify oder Trend Micro enthüllen in Sachen Attacken auf Homeoffice-Mitarbeiter einen aufschlussreichen Fakt: Unternehmen gehen den Umfragen zufolge davon aus, dass sich die Mitarbeiter im Homeoffice weniger um die Einhaltung der Sicherheitsrichtlinien kümmern. So befürchten laut Centrify 65 Prozent der befragten IT-Sicherheitsverantwortlichen eine Zunahme von Sicherheitsverstößen, die durch Mitarbeiter verursacht werden. Gleichzeitig offenbart die Trend-Micro-Umfrage „Head in the Clouds“ von Mitarbeitern in Unternehmen, dass 69 Prozent in Deutschland (72 Prozent weltweit) sich seit Beginn des Lockdowns bewusster an die Cybersicherheitsrichtlinien ihrer Unternehmen halten. Die Studie von Trend Micro untersuchte verschiedene Verhaltensweisen und Einstellungen zum Thema Cybersicherheit. In Interviews mit 13.200 Remote-Mitarbeitern in 27 Ländern weltweit (davon über 500 in Deutschland) wurden diese zu den IT-Richtlinien ihres Unternehmens befragt. Die Ergebnisse zeigen, dass es für Unternehmen wohl noch nie einen besseren Zeitpunkt gab, um von einer gestiegenen Awareness der Mitarbeiter in Bezug auf Cybersicherheit zu profitieren. Auch wird deutlich, dass der von Unternehmen gewählte Ansatz zur Schulung entscheidend dafür sein kann, dass auch im Homeoffice sichere IT-Praktiken Anwendung finden. „Es ist ermutigend zu sehen, dass so viele der Mitarbeiter im Homeoffice den Rat ihrer IT-Abteilungen ernst nehmen“ erklärt Richard Werner, Business Consultant bei Trend Micro.

Ebenfalls interessant: In der Bitdefender-Studie geben im Hinblick auf Fernarbeit 25 Prozent der Unternehmen an, dass sie mit neuen, passenden Sicherheitsrichtlinien einem größeren Anteil von Mitarbeitern die dauerhafte Remote-Arbeit
ermöglichen möchten.

Einige Unternehmen beginnen erst jetzt mit der Entwicklung neuer IT-Security-Strategien. Nur wenige haben diesen Schritt bereits hinter sich und setzen neue Richtlinien und Konzepte schon um. Mit ihren aktuellen Studien wollen die IT-Security-Anbieter den Unternehmen die Fakten darlegen und ihnen daraus resultierend Ratschläge unterbreiten. Im Fokus stehen bei allen Empfehlungen die Homeoffice-Arbeitsplätze. Sie sollen nicht nur flexibel sein, damit ein Mitarbeiter zwischen Homeoffice und Office vor Ort einfach wechseln kann. Vorrangig geht es um die Sicherheit der Daten, der Geräte und der Zugänge, ebenso um Awarness-Schulungen für die Mitarbeiter.

In der Not haben einige Unternehmen den Mitarbeitern das Arbeiten auf ihren privaten Geräten erlaubt. Das kann in einem Sicherheitskonzept nur eine temporäre Maßnahme sein. Die Trend-Micro-Studie offenbart das konkrete Problem: 45 Prozent der in Deutschland befragten Remote-Mitarbeiter geben an, häufig oder immer von einem persönlichen Gerät aus auf Unternehmensdaten zuzugreifen.

Der Arbeitgeber sollte entsprechende Endgeräte stellen, denn nur so hat er wirklich die Hoheit über die Office-PCs und die installierten Systeme. Und nur so kann ein Unternehmen etwa den Stand der Patches überprüfen, Security-Software einsetzen und kontrollieren und auch softwaregesteuerte Sicherheitsrichtlinien umsetzen. Die Hardware-Aufrüstung durch firmeneigene Geräte für den Homeoffice-Einsatz stellt allerdings viele mittelgroße Unternehmen vor kaum lösbare Budget-Probleme.

Hier empfehlen Experten wenigstens den Einsatz von Lösungen für virtuelle Maschinen, wie sie zum Beispiel VMware, Citrix oder Microsoft anbieten. Mit einem geschlossenen virtuellen System hat ein Unternehmen die Datenhoheit, da keine Daten auf eine fremde Hardware abfließen können. Weiterhin hat ein solches System den Vorteil, dass viele Authentifizierungen und Passworteingaben in einer geschützten Umgebung stattfinden. Auf privaten PCs müssen Authentifizierungen viel stringenter und komplizierter ablaufen. Zudem müssen Zugänge viel öfter geändert und besser überwacht werden.

Weiterhin haben firmeneigene Geräte oder virtuelle Maschinen das Plus, dass etwa der IT-Support vollen Zugriff hat und die zugelassene Software für die tägliche Arbeit definieren kann. In den Umfragen wird ja auch ein erhöhter und rund um die Uhr erreichbarer Support gefordert. Bei Ungereimtheiten und Fragen zur Sicherheit wollen sich Nutzer mit der Hilfe des Supports absichern.

Laut der Bitdefender-Studie stellen lediglich etwa 20 Prozent der befragten Unternehmen den Mitarbeitern im Homeoffice ein sicheres VPN bereit. Der lückenlose Einsatz von VPN-Lösungen, Netzen oder vergleichbare Technologien - etwa via Cloud - muss in Zukunft für alle Mitarbeiter im Homeoffice gewährleistet sein. Viele aktuelle Cyberattacken zielen auf Mitarbeiter und deren Verbindungen zur Firma. Das belegt die erwähnte Kaspersky-Analyse zu RDP-Attacken.

Nur wenn die Verbindung vom Mitarbeiter-System zum Unternehmensnetzwerk wasserdicht ist, können weitere Systeme wie Endpoint Security, Endpoint Detection and Response (EDR) oder Security Information and Event Management (SIEM) zuverlässig ihren Dienst verrichten.

Zwar weisen Cyberattacken eine große Vielfalt auf, die meisten erfolgen jedoch über verseuchte E-Mails und Phishing. Laut Trend Micro liefen 2019 über 40 Prozent der Attacken auf deutsche Unternehmen via Phishing ab. Die Angreifer versuchen in der Regel, den PC des Anwenders zu verseuchen oder den Nutzer auf Webseiten zu locken und ihm durch Täuschung diverse Zugangsdaten zu entlocken.

Dessen sind sich nicht nur die Unternehmen, sondern auch die Mitarbeiter bewusst. Allerdings haben laut Bitdefender-Studie nur etwas mehr als 22 Prozent der Mitarbeiter umfassende Leitfäden zur Cybersicherheit, zur Arbeit im Home­office, zu genehmigten Anwendungen und zur Inhaltsfilterung erhalten. In Sachen Sicherheitsschulungen geben fast alle Befragten an, in irgendeiner Weise eine Schulung erhalten zu haben. Aber bei vielen wurden nur grundsätzliche Sicherheitsprobleme geklärt. Weitere Schulungen bezüglich veränderter Bedrohungslagen finden meist nicht statt. Immerhin belegen die Umfragen, dass bereits durch einfache Schulungen ein merklicher Rückgang erfolgreicher Social-Engineering-Angriffe fest­zu­stel­len ist.

Da sich bereits mit Basis-Schulungen die Mitarbeiter relativ gut sensibilisieren lassen, empfehlen Experten, hier am Ball zu bleiben und fortwährend Schulungen anzubieten. Der Bitdefender-Studie zufolge sind dieser Empfehlung bereits 19 Prozent der Unternehmen gefolgt und haben ihre Cybersicherheitsschulungen für Mitarbeiter aktualisiert - sogar für die im Homeoffice. Zudem wollen 30 Prozent der Firmen künftig die Zahl der IT-Sicherheitsschulungen für Mitarbeiter erhöhen.

Der größte Teil der Sicherheitsstudien wertet verstärkt die IT-Sicherheitsprobleme während der Corona-Krise aus. Allerdings zielen nur wenige Fragen darauf ab, wie die Unternehmen die Sicherheit in Zukunft gestalten wollen. Lediglich in der Bitdefender-Studie finden sich hierzu konkrete Aussagen der Unternehmen: Einer von drei Befragten (31 Prozent) in Deutschland gibt an, dass er beabsichtigt, den IT-Support rund um die Uhr aufrechtzu­erhalten. 30 Prozent wollen die Zahl der IT-Sicherheitsschulungen für Mitarbeiter erhöhen, 27 Prozent für eine bessere Sichtbarkeit von Schwachstellen in ihrer In­frastruktur sorgen. 26 Prozent haben sich vorgenommen, die Inventarisierung der Geräte, die auf die Unternehmensinfrastruktur zugreifen, zu vervollständigen. Und 25 Prozent wollen mit neuen Sicherheitsrichtlinien einem größeren Anteil von Mitarbeitern ermöglichen, dauerhaft remote zu arbeiten.

Alle weiteren Lehren aus der Krise ziehen die Unternehmen nicht selbst, sondern diese werden von den Security-Anbietern formuliert. Eine zentrale Aussage dabei: Der Schlüssel, die IT-Security in der neuen Normalität zu verbessern, ist, die Sicherheitsteams durch den Einsatz neuer Technologien zu entlasten.

Alles andere, was Sicherheitstechnologie nicht direkt lösen kann, muss per Security-Awareness-Schulungen gelöst werden. Hier ist besonders die Trend-Micro-Studie „Head in the Clouds“ interessant, weil sie zusätzlich die Psychologie des Verhaltens von Menschen in Bezug auf Cybersicherheit einschließlich ihrer Einstellung zu Risiken in den Blick nimmt. Basierend auf den Studienergebnissen hat man Nutzertypen (Personas) identifiziert. Das Wissen um deren Einstellungen und Verhaltensweisen soll Unternehmen dabei helfen, ihre Cybersicherheitsstrategie auf ihre jeweiligen Mitarbeiter zuzuschneiden.