Für viele Büro-Arbeiter hat sich der Schreibtisch aus dem Firmenbüro ins Homeoffice verlagert. Technisch war die Arbeitswelt zwar auf diesen Trend vorbereitet, aber erst durch die Coronakrise sind flexible Arbeitsmöglichkeiten mittlerweile gelebter Alltag. Nachholbedarf in den New-Work-Umgebungen gibt es indes bei der Umsetzung wirksamer Sicherheitsmaßnahmen.

Laut einer aktuellen Umfrage des TÜV-Verbands arbeitet mittlerweile fast jeder vierte Beschäftigte ausschließlich im Homeoffice oder mobil. Bei jedem fünften Arbeitnehmer wechseln sich Heimbüro und das Arbeiten im Unternehmen ab. Die großflächige Umstellung auf Remote-Work-Strukturen stellt Arbeitgeber bei der IT-Sicherheit vor besondere Herausforderungen, weil es Cyberkriminellen mehr Angriffsvektoren für potenzielle Attacken bietet. Zusätzlich zur Inhouse-IT müssen auch die Systeme im Homeoffice und die Verbindungen zur Firmenzentrale geschützt werden. Mitarbeiter sind anfälliger für eine Vielzahl von Angriffen, einschließlich Phishing und Social Engineering, da die Remote-Umgebung (zu Hause) nicht vollständig überschaubar ist.

Bei den Sicherheitsmaßnahmen hapert es, warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer bundesweiten Umfrage zur Homeoffice-Situation deutscher Unternehmen. Acht Prozent der befragten Unternehmen geben an, dass sie aktiv auf Cyberangriffe während der Corona-Pandemie reagieren mussten — mit 24 Prozent sind Großunternehmen besonders stark betroffen. Einfacher Passwortschutz werde in den allermeisten Fällen noch umgesetzt, aber andere dringend empfohlene Schutzmechanismen wie die Mehr-Faktor-Authentisierung oder ein Sicherheitsmanagement der mobilen Endgeräte durch das Unternehmen fehlten oft.

Risiken durch Malware oder böswillige Akteure. Schon vor Corona kamen in den Organisationen eine Vielzahl von IT-Lösungen und Anwendungen unterschiedlichster Anbieter zum Einsatz. Zur Aufrechterhaltung des Geschäftsbetriebs benötigten Anbieter schon lange Zugriffsmöglichkeiten von außen, um Wartungsarbeiten durchzuführen oder fehlerhafte IT-Prozesse zu beheben. Für legitimes Arbeiten sind sichere Fernzugriffsmöglichkeiten unabdingbar, um Risiken durch Malware oder böswillige Akteure zu minimieren.

Durch die Pandemiezeit mit einer sprunghaft gestiegenen Anzahl an Verbindungen zu Rechnern im privaten Umfeld fällt diese Aufgabe erheblich komplexer aus. Im Malware Threat Report 2021 hat BeyondTrust anhand der tatsächlich stattgefundenen IT-Attacken analysiert, wie sich die Gefahrenlage für Organisationen verändert hat. Demnach verzeichneten die Experten eine 200-prozentige Steigerung an Phishing-Angriffen innerhalb eines Jahres. Der Großteil, der bis Mitte 2021 abgefangenen Betrugsnachrichten nutzte Corona-Gesundheitsthemen, um Nutzer zur Offenlegung vertraulicher Informationen zu verleiten.

Zu den größten Risiken zählt, wenn bei Cyberattacken gestohlene Zugangsdaten eingesetzt werden, um sich direkten Zugriff auf sensible Bereiche eines Unternehmens zu verschaffen. »Die Angriffsfläche bei privilegierten Zugriffen hat sich durch die Zunahme von Fernarbeit vergrößert« schreibt das US-Marktforschungsinstitut Forrester in einer aktuellen IT-Sicherheitsstudie. »Die Abhängigkeit von Perimeter-basierter Netzwerksicherheit und älteren Remote-Technologien wie VPN für den Remote-Zugriff bietet Mitarbeitern – sowie den Apps, Daten und der Infrastruktur, die sie verwenden – nicht die granulare Sicherheit bei digitalen Identitäten, die für den ortsunabhängigen Einsatz erforderlich ist.«

Fünf wirkungsvolle Security-Maßnahmen. Unternehmen stehen vor der Herausforderung, Best-Practice-Sicherheitsvorgaben bei den kurzfristig auf Homeoffice umgestellten Mitarbeitern durchzusetzen. Zu groß sind die Unterschiede zwischen der heimischen und der firmenspezifischen Arbeitsumgebung. Die folgenden fünf Sicherheitsmaßnahmen sind wichtige Schritte, um der veränderten Risikolage gerecht zu werden.

1. Benutzerzugriff nach dem Least-Privilege-Prinzip.
Nach dem Prinzip der geringsten Rechte sollte jeder Benutzer, jedes Programm oder jeder Prozess nur über diejenigen Zugriffsrechte verfügen, die zur Erledigung der zugewiesenen Arbeiten erforderlich sind. Das Konzept sieht also vor, Nutzerrechte für privilegierte Benutzer, Anwendungen und automatisierte Prozesse anhand von Aufgaben, auftragsbasierten Rollen, richtlinienbasierten oder administrativen Berechtigungen zu unterteilen. Das entspricht in vielerlei Hinsicht dem Zero-Trust-Modell, um zu weit gefasste Konfigurationsmöglichkeiten von vorneherein auszuschließen und so Angriffsszenarien durch kompromittierte Anmeldedaten zu verhindern.

2. Implementierung von Multifaktor-Authentifizierung (MFA).
Eine auf Benutzername und Passwort reduzierte Authentifikation stellt im geschäftlichen Alltag ein erhebliches Risiko dar, vor allem wenn schwache oder mehrfach verwendete Kennwörter zum Einsatz kommen. Multifaktor-Authentifizierung hat sich deshalb als zusätzliche Schutzschicht für privilegierte Konten, VPNs, Remote-Zugriffe und Single-Sign-On-Verfahren bewährt. Außerdem nutzen MFA-Technologien kontextbezogene Informationen (wie zum Beispiel die IP-Quelladresse), so dass durch Geolokalisierung unbefugte Einwahlversuche aus verdächtigen Regionen grundsätzlich untersagt werden können.

3. Prüfung von Gerätemerkmalen.
Für zusätzlichen Zugriffsschutz sorgen Maßnahmen, die Informationen über das verwendete Gerät berücksichtigen, um auf diese Weise die Verbreitung von Malware zu verhindern und Seitwärtsbewegungen im Netzwerk einzuschränken. Kontextbezogene Prüfmechanismen verweigern infizierten oder anfälligen IT-Systemen den Zugriff auf Unternehmensressourcen und schränken im Bedarfsfall sogar Einwahlversuche von firmeneigenen oder vom Unternehmen verwalteten Geräten ein. Eine wirkungsvolle Sicherheitsüberprüfung basiert auf der Auswertung der Benutzeridentität über Identitäts-, Zugriffs- und Sicherheitsmanagement-Technologien.

4. Widerruf von Benutzerzugriffen bei erhöhtem Risiko.
Sicherheitsbezogene Warnungen oder SIEM-Ereignisse (Security Information Event Manager) alarmieren IT-Sicherheitsverantwortliche direkt, sobald ein potenzieller Richtlinienverstoß in einer Umgebung auftritt. Je nach Schweregrad können die Warnungen so konfiguriert werden, dass Nutzerrechte automatisch entzogen, Zugriffe auf Daten und Ressourcen blockiert oder IT-Servicedesk-Tickets für die Problembehebung generiert werden. Zur Erkennung von Sicherheitsproblemen werden dabei unterschiedliche Daten von Identitätsmanagement-, Zugriffsmanagement- und Netzwerkzugriffskontrollsystemen oder IT-Service-Management-Plattformen im gesamten IT-Netzwerk ausgewertet.

5. Risikoabschätzung und ereignisbezogene Alarmierung.
Als Alternative zum automatischen Entfernen von Zugriffsrechten und zur Vermeidung von Fehlalarmen bei wichtigen IT-Ressourcen empfiehlt sich eine Zugriffsüberprüfung. In diesem Fall würde eine sicherheitsbezogene Warnung oder ein SIEM-Ereignis, das auf einen möglichen Richtlinienverstoß hinweist, zu einer sofortigen und vollständigen Überprüfung des Zugriffs führen. Das betrifft eine Neuberechnung des Vertrauensgrades beim Zugriff auf IT-Ressourcen und beinhaltet Lösungen für Identity Governance und ID-Management, einschließlich Zugriffsmanagement, SSO, MFA und Privileged Access Management.

Remote-Mitarbeiter sind anfälliger. Durch Remote-Arbeit oder verteilte Mobilkommunikationsstrukturen erhöhen sich die Verbindungsmöglichkeiten, aber auch die potenziellen Angriffspunkte. Es entsteht ein größeres Risiko, dass vertrauliche Informationen und Anmeldedaten über unsichere Kommunikationsmethoden wie Instant Messenger, Textnachrichten oder E-Mail an Remote-Mitarbeiter, Lieferanten und Auftragnehmer übermittelt werden. Im Rahmen von BYOD-Strategien binden zudem immer mehr Mitarbeiter ihre persönlichen Endgeräte in die IT-Landschaft eines Unternehmens ein und greifen dabei möglicherweise als privilegierte Nutzer auf sensible Daten zu. Das erhöht wiederum die Chancen für externe Angreifer über Man-in-the-Middle-Attacken, ungepatchte Schwachstellen oder schwach verschlüsselte Datenverbindungen unbefugten Zugriff auf Unternehmensressourcen zu erlangen. 

Eines ist klar: Zumindest für die absehbare Zukunft wird sich an dem sprunghaft gestiegenen Bedarf für verteilte Kommunikationsstrukturen und Coworking-Spaces wenig ändern und ein erhöhtes Risiko durch identitätsbezogene Sicherheitsvorfälle vorliegen. Mit den skizzierten fünf Security-Maßnahmen legen Unternehmen ihren Fokus auf elementar wichtige Aspekte bei der Absicherung von Remote-Arbeitsplätzen. Zugleich schaffen sie die Voraussetzung für einen langfristigen und universellen Ansatz beim Identitätsmanagement unter Einhaltung von Best-Practice-Empfehlungen für Remote-Mitarbeiter.

Mohamed Ibbich,
Director Solutions Engineering,
BeyondTrust

Illustration: © Alphavector/shutterstock.com