Ob im gemütlichen Homeoffice oder am malerischen Strand – digitale Arbeitsplätze bieten ein Maximum an Flexibilität. Neben den Chancen birgt das neue Arbeiten auch Herausforderungen. So eröffnen cloudbasierte Systeme bessere Möglichkeiten, Cyberattacken zu trotzen. Doch ohne adäquaten Schutz vergrößern sie die Angriffsfläche für Cyberkriminelle. Darum ist ein ganzheitlicher Blick unerlässlich. Dabei nehmen Digital Workplace Assessment und Cyber Security eine wichtige Rolle ein.
Bei einem Digital Workplace handelt es sich um einen virtuellen, hochgradig kollaborativen Arbeitsplatz, der den klassischen Büroarbeitsplatz erweitert – ähnlich einer zentralen Plattform mit allen notwendigen Anwendungen, Funktionen und Informationen, die auf die individuellen Bedürfnisse des jeweiligen Unternehmens zugeschnitten sind. Anders als bei klassischen Büroarbeitsplätzen, die über eine private IP-Adresse in einem lokalen Netzwerk agieren, geschieht dies in digitalen Arbeitsumfeldern, die als Cloud-Service bereitstehen, über öffentliche IP-Adressen beziehungsweise Public IPs.
Gefährliche Einfallstore im digitalen Arbeitsumfeld. Vor diesem Hintergrund riskieren Unternehmen mit dem Digital Workplace gleich mehrere potenzielle Schwachstellen, die Hacker gezielt ausnutzen können, um an sensible Informationen zu gelangen – falls Systeme in der Cloud nicht richtig gesichert sind. Ohne wirkungsvolle Schutzmaßnahmen können sich Cyberkriminelle unbeschwert den Weg in das Unternehmensnetzwerk bahnen, um gezielt von innen anzugreifen. Dabei kann bereits ein einzelner erfolgreich attackierter Digital Workplace zu schwerwiegenden Schäden im Unternehmen führen. Aber auch der häufig unterschätzte Faktor Mensch öffnet Hackern mitunter Tor und Tür für etwaige Angriffe. Man denke nur an Social Engineering. Ein kleiner Moment der Unachtsamkeit genügt und Mitarbeitende geben – zumeist unabsichtlich, aber mitunter sogar wohl wissentlich – sensible Informationen weiter. Ferner können Unternehmen nach wie vor Malware-, Phishing- und Spoofing-Attacken zum Opfer fallen.
Mit Digital Workplace Assessment die optimale (Sicherheits-)Basis schaffen. Um digitale Arbeitsplätze bestmöglich abzusichern, ist ein Digital Workplace Assessment das A und O. Dabei unterziehen erfahrene Security-Experten die Workplace-Umgebung des jeweiligen Unternehmens einer systematischen Analyse. Idealerweise berücksichtigen die Fachleute die notwendigen Mechanismen im Hinblick auf Security, Governance und Identity bereits im Rahmen der Konzeption. In der Praxis bedeutet das, Schutzziele zu definieren, wie etwa eine unternehmensweite Multi-Faktor-Authentifizierung an allen Geräten und Endpoints sicherzustellen und zu überprüfen, ob das Patch Management auch im Homeoffice wirkungsvoll ist. Daneben spielen die Verschlüsselung und gerätespezifische Bereitstellung von Daten auf Grundlage eines Rechte- und Rollenkonzepts eine zentrale Rolle. Unabdingbar ist zudem, festzulegen, ob, in welcher Form und an welche externen Empfänger Daten verschickt werden dürfen. Auch wenn die Konfiguration gemäß bewährter Best Practices geschieht, ist es wichtig, zu verstehen, dass es sich bei einem Digital Workplace Assessment um einen fortlaufenden Prozess handelt, der regelmäßiger Anpassungen bedarf.
Integrierte Services garantieren grundlegendes Sicherheitslevel. In vielen Digital-Workplace-Lösungen sind grundlegende Funktionen und Anwendungen für Sicherheit sowie Compliance bereits integriert. So haben sich E-Mail-Filterdienste, Lösungen für Exchange Online Protection (EOP) und Endpoint Detection and Response (EDR) sowie Cloud Access Security Broker (CASB) bewährt. Sie erlauben, Bedrohungen, gefährdete Identitäten und schädliches Verhalten zu identifizieren. Vor allem E-Mail-Filterdienste und EDR-Tools sind zentrale Pfeiler eines sicheren Digital Workplaces. Erstere sind besonders für die E-Mail-Kommunikation relevant. Neben umfassenden Standardfunktionalitäten, wie etwa einem Spam-Filter, bieten solche Lösungen auch Premium-Services. Ein Beispiel: Empfangen Mitarbeitende eine E-Mail mit Anhang, den das Tool als potenzielle Gefahr einstuft, lässt sich die angehängte Datei nicht sofort öffnen. Stattdessen gelangt sie zunächst in eine Sandbox, wo sie ausgeführt und getestet wird. Das gleiche gilt für URLs und Links, die in E-Mails integriert sind. EDR-Tools hingegen sind auf dem Endgerät installiert, das es zu schützen gilt. Das Tool prüft kontinuierlich, was auf dem Device vor sich geht. Anders als ein reines Antivirus-Programm arbeitet es nicht ausschließlich auf Signaturebene, sondern sammelt relevante Verhaltensdaten. Damit lassen sich Ereignisse, wie zum Beispiel eine Nutzeranmeldung, das Öffnen einer Datei und aufgebaute Netzwerkverbindungen, auswerten. EDR-Tools setzen auf dem MITRE ATT&CK Framework auf. Die umfangreichste Datenbank weltweit listet alle bekannten Hackergruppen (Advanced Persistent Threats, kurz: APTs) samt der verwendeten Angriffstechnik tagesaktuell auf und erklärt, wie Unternehmen sie erkennen und welche Maßnahmen sinnvoll sind, um etwaige Bedrohungen abzuwehren. Dennoch gilt auch hier: Da sich die Bedrohungslage täglich verändert, sind Unternehmen angehalten, ihre Maßnahmen jederzeit bedarfsgerecht anzupassen.
24/7-Sicherheit dank SIEM und Managed Detection and Response. Den Digital Workplace an sich durch ein entsprechendes Assessment und bedarfsgerechte Services abzusichern, ist zwar ein sehr guter Anfang, aber dennoch nur die halbe Miete. Darauf aufsetzend, bedarf es zweierlei: eines Systems für das Security Information and Event Management (SIEM) und die professionellen Managed Detection and Response Services (MDR) eines Security Operations Centers (SOC). In ein SIEM-Tool fließen nicht nur Daten aus der Workplace-Umgebung, sondern auch Meldungen, Alarme und Logfiles verschiedener Geräte, Netzkomponenten, Anwendungen und weiteren Security-Tools. Diese korreliert das SIEM-System in Echtzeit, sodass sich anhand etwaiger Anomalien wertvolle Hinweise auf potenzielle Bedrohungen ableiten lassen.
Um diese Security-Informationen auszuwerten, braucht es neben Manpower auch eine tiefgehende fachliche Expertise. Die erforderliche 24/7-Überwachung – den MDR-Service – erbringen die Analysten im SOC. Während sich üblicherweise nur große Konzerne ein eigenes SOC leisten können, sind mittelständische Unternehmen gut beraten, sich von einem externen Managed Security Service Provider (MSSP) unterstützen zu lassen. Die Fachleute überwachen alle eingehenden Alarme und bewerten, ob es sich um Security Incidents oder False Positives handelt. Dabei gilt: Lieber geringere Schwellwerte ansetzen und ein False Positive zu viel identifizieren, als ein False Negative übersehen. Oder anders gesagt: Vorsicht ist besser als Nachsicht. Für den Angriffsfall gibt es zudem vorgefertigte Runbooks. Darin sind Maßnahmenpakete definiert, die das SOC je nach Bedarf ausführt: Es untersucht den Angriff forensisch und entfernt die Hacker aus dem System. Bei einem Major Security Incidient übernimmt in der Regel ein spezielles Incident Response Team. Es ermittelt, wie der Angreifer in die Infrastruktur eindringen konnte, welche Ziele er verfolgt und welche technischen Methoden er angewendet hat. Dafür zieht das SOC Informationen aus dem EDR-System, dem Netzwerk-Monitoring sowie gegebenenfalls Logging-Daten heran und analysiert auffällige Systeme bis in die Tiefe. Ein verstärktes Augenmerk liegt hierbei auf den besonders schützenswerten Bereichen und Systemen.
Fazit: Governance und Sicherheit ganzheitlich denken. Dass sich alle Sicherheitsaspekte samt ihren erforderlichen Perimetern nicht von heute auf morgen umsetzen lassen, steht außer Frage. Ebenso wie der Übergang von klassischen Büroarbeitsplätzen zu Digital Workplaces, ist auch die damit einhergehende IT-Sicherheit als fortlaufender Prozess zu betrachten. Da es sich bei Digital Workplaces um cloudbasierte Plattform-Lösungen handelt, ergeben sich viele multilaterale Beziehungen zwischen den einzelnen Tools. Folglich sind Governance und Sicherheit nicht mehr isoliert, sondern mit Blick auf die gesamte Plattform ganzheitlich zu denken. Unternehmen tun gut daran, mit Digital Workplace Assessment einerseits eine optimale Basis zu schaffen. Andererseits sind Digital-Workplace-Lösungen so aufzusetzen, dass sie die erforderlichen Sicherheits- und Compliance-Funktionalitäten bereitstellen und mithilfe von SIEM und MDR 24/7-Schutz gewährleisten. Erhalten Unternehmen zudem Unterstützung durch ein fachmännisches SOC, zeigen sich Digital Workplaces von ihrer besten Seite: komfortabel, effizient und sicher.
Timo Schlüter,
Business Consultant Cyber Security
bei Arvato Systems
www.arvato-systems.de