{"id":19683,"date":"2021-10-05T11:00:00","date_gmt":"2021-10-05T09:00:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=19683"},"modified":"2021-09-14T10:14:42","modified_gmt":"2021-09-14T08:14:42","slug":"it-security-vor-dem-hintergrund-hybrider-arbeitsplatzkonzepte","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=19683","title":{"rendered":"IT-Security vor dem Hintergrund hybrider Arbeitsplatzkonzepte"},"content":{"rendered":"\n

Autor\/Redakteur: Trevor Collins, Network Security Analyst bei WatchGuard Technologies<\/a>\/gg<\/p>\n\n\n\n

Durch die Corona-Pandemie hat sich die Einstellung vieler Unternehmen gegen\u00fcber der Arbeit aus dem Homeoffice entscheidend ge\u00e4ndert. Selbst Organisationen, f\u00fcr die diese M\u00f6glichkeit in der Vergangenheit nie eine Option war, kamen im Lockdown gar nicht umhin, die entsprechenden Weichen zu stellen. Nur so konnte \u00fcberhaupt Gesch\u00e4ftsf\u00e4higkeit gew\u00e4hrleistet werden. Dabei sind vielerorts auch die Vorz\u00fcge entsprechender Arbeitsplatzkonzepte deutlich zu Tage getreten. Insofern verwundert es kaum, dass mittlerweile immer mehr Arbeitgeber dar\u00fcber nachdenken<\/a>, wie sie diesen in der Pandemie eingeschlagenen Weg des mobilen Arbeitens zum eigenen Vorteil weiterverfolgen k\u00f6nnen. IT-Sicherheit wird in dem Zusammenhang zur wichtigen Stellschraube. Denn durch eine zunehmende Dezentralisierung im Arbeitsalltag entstehen ganz neue Angriffsfl\u00e4chen, die die IT-Verantwortlichen auf Unternehmensseite keinesfalls aus den Augen verlieren d\u00fcrfen. Werfen wir also einen Blick auf die relevanten Handlungsfelder, in denen w\u00e4hrend des \u201eHomeoffice-H\u00f6henflugs\u201c der letzten Monate immer wieder sicherheitsrelevante Vers\u00e4umnisse beobachtet werden konnten. Gleichzeitig gibt es Tipps, wie sich diese Themen besser in den Griff bekommen lassen.<\/p>\n\n\n\n

\"\"<\/a>
Bild: WatchGuard Technologies<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Vernachl\u00e4ssigung von Ger\u00e4te-Updates<\/strong><\/p>\n\n\n\n

Ein Setup und die regelm\u00e4\u00dfige Aktualisierung von Endger\u00e4ten seitens der IT-Abteilung kann nur dann erfolgen, wenn das entsprechende Device auch mit dem zentralen Unternehmensnetzwerk verbunden ist. Bei Endger\u00e4ten jenseits des klassischen Perimeters ist hierf\u00fcr in der Regel eine VPN-Verbindung n\u00f6tig. Wenn sich Mitarbeiter jedoch nur sporadisch auf diese Weise verbinden, bleiben relevante Updates der Sicherheitssoftware oder erforderliche Konfigurations\u00e4nderungen nicht selten auf der Strecke. In dem Fall kann nur der Anwender selbst Abhilfe schaffen. Doch nicht jeder verf\u00fcgt \u00fcber die n\u00f6tigen Kenntnisse und F\u00e4higkeiten, um ausstehende Programmaktualisierungen in Eigenregie auszuf\u00fchren. Der Aufwand auf Seiten der IT-Abteilung w\u00e4chst.<\/p>\n\n\n\n

Im Idealfall sollten Programmaktualisierungen automatisch erfolgen. Auf Workstations installierte Software-Update-Manager k\u00f6nnen dabei auch jenseits des Unternehmensnetzwerks unterst\u00fctzen. Nichtsdestotrotz wird es immer einige Anwendungen geben, bei denen dies nicht funktioniert. Hier lautet die Empfehlung, die Nutzer selbst regelm\u00e4\u00dfig nach Updates suchen zu lassen. Ob dies im Rahmen regelm\u00e4\u00dfiger Routinen \u2013 wie beispielsweise einem \u201eUpdate-Montag\u201c \u2013 oder auf Basis individueller Zeitpl\u00e4ne erfolgt, ist letztlich zweitranging. Es sollte jedoch mindestens einmal im Monat sichergestellt sein. Wenn es beim Update einer spezifischen Anwendung immer wieder Probleme geben sollte, ergibt es durchaus Sinn, Mitarbeitern nahezulegen, stattdessen eine andere Software zu nutzen.<\/p>\n\n\n\n

Einsatz pers\u00f6nlicher Endger\u00e4te f\u00fcr gesch\u00e4ftliche Zwecke<\/strong><\/p>\n\n\n\n

Einige Mitarbeiter greifen im Arbeitsalltag auf private Endger\u00e4te zur\u00fcck. Im besten Fall ist damit die Verwendung des privaten Mobiltelefons im Rahmen der Multifaktor-Authentifizierung<\/a> gemeint. Dar\u00fcber hinaus l\u00e4uft aber auch der Datenaustausch im Homeoffice \u00fcblicherweise \u00fcber den heimischen Router. Solche \u201eConsumer\u201c-Ger\u00e4te bieten jedoch in der Regel deutlich weniger Schutz als die professionellen Router mit entsprechender Firewall, die in Unternehmensnetzen zum Einsatz kommen. F\u00fcr Cyberkriminelle ist dies nat\u00fcrlich ein gefundenes Fressen. Daher sollte der Netzwerkzugriff der Remote-Anwender auf das f\u00fcr die t\u00e4gliche Arbeit unbedingt erforderliches Mindestma\u00df beschr\u00e4nkt sein \u2013 nur so l\u00e4sst sich auch das Risiko f\u00fcr die Firmenressourcen im Fall eines kompromittierten Heimnetzes auf ein Minimum reduzieren.<\/p>\n\n\n\n

Die angesprochene Begrenzung der Zugriffsrechte l\u00e4sst sich \u00fcber entsprechende VPN-Richtlinien stellen. In Vor-Corona-Zeiten war dieses Thema f\u00fcr Unternehmen, die nur f\u00fcr wenige Mitarbeiter \u00fcberhaupt einen gelegentlichen VPN-Zugang brauchten, vielleicht noch zu vernachl\u00e4ssigen. Doch heute ist gerade gro\u00dfen Unternehmen mit einer Vielzahl von Remote-Mitarbeitern die Umsetzung einer rollenbasierte nZugriffskontrolle (RBAC) unbedingt angeraten. So ben\u00f6tigt die Personalabteilung wahrscheinlich keinen Zugriff auf die Daten der Entwicklungsabteilung, genauso wenig wie Kundenbetreuer Einsicht in Buchhaltungsdaten haben m\u00fcssen.<\/p>\n\n\n\n

\"\"<\/a>
Bild: WatchGuard Technologies<\/figcaption><\/figure>\n\n\n\n

\u202fVPN-Nutzung ohne Multifaktor-Authentifizierung<\/strong><\/p>\n\n\n\n

Jeden Monat tauchen Millionen von gestohlenen Zugangsdaten im Netz auf und werden zum Download angeboten. Viele dieser Anmeldedaten sind zwar mit Hash-Passw\u00f6rtern versehen, die einen gewissen Schutz bieten. Doch mit entsprechenden Hacking-Tools, die sich m\u00fchelos beschaffen lassen, sind auch diese schnell entschl\u00fcsselt. Besonders brenzlig wird es, wenn ein Benutzer das Passwort, das er beim VPN-Zugang verwendet, auch f\u00fcr andere Dienste nutzt \u2013 eine leider nach wie vor sehr verbreitete und gef\u00e4hrliche Praxis. Denn dann hat ein Angreifer die gleichen Zugriffsm\u00f6glichkeiten wir der Mitarbeiter. Gerade im Hinblick auf Homeoffice-Szenarien, in denen die t\u00e4gliche Arbeit in der Mehrzahl aller F\u00e4lle auf Basis eines VPN-Zugriffs erfolgt, ist der Schutz der VPN-Verbindung entscheidend f\u00fcr die Sicherheit des gesamten Unternehmensnetzwerks. Von daher sollte die Einwahl per VPN in jedem Fall \u00fcber verl\u00e4ssliche Multifaktor-Authentifizierung abgesichert werden.<\/p>\n\n\n\n

Selbst wenn im Rahmen des Netzwerkschutzes immer wieder neue Herausforderungen sichtbar werden: Mit Multifaktor-Authentifizierung und einer rollenbasierten Zugriffskontrolle ist bereits viel gewonnen. Die beschriebenen Best Practices sollten jedoch nicht nur beim VPN-Zugriff zum Tragen kommen, sondern dar\u00fcber hinaus \u00fcberall da, wo es der Schutz der Unternehmensressourcen erfordert.\u00a0<\/p>\n\n\n\n\n\n\n\n

Arbeit im Homeoffice ohne einschl\u00e4gige Vorgaben und Trainings<\/strong><\/p>\n\n\n\n

Am Anfang des Corona-bedingten weltweiten \u201eHomeoffice-Experiments\u201c haben viele Unternehmen Ausnahmeregelungen f\u00fcr Remote-Mitarbeiter erlassen. Sp\u00e4testens jetzt ist es jedoch an der Zeit, klare Sicherheitsregeln f\u00fcr das dauerhafte Arbeiten von Zuhause zu definieren. Und auch bereits vorher festgelegte Vorgaben sollten nun noch einmal auf den Pr\u00fcfstand kommen.<\/p>\n\n\n\n

Es ist vor allem wichtig, Richtlinien zu definieren, die die Produktivit\u00e4t der Mitarbeiter nicht unn\u00f6tig einschr\u00e4nken. Zu komplexe Vorgaben mit un\u00fcberschaubaren oder unverst\u00e4ndlichen Ausnahmeregelungen f\u00fchren nicht nur zu Frustration und behindern Mitarbeiter im Tagesgesch\u00e4ft, sondern k\u00f6nnen am Ende auch wieder zu Lasten der Sicherheit gehen. Es sollte alles darangesetzt werden, den besten Kompromiss zwischen Sicherheit und Handlungsf\u00e4higkeit zu finden. F\u00fcr die Definition von Sicherheitsrichtlinien beim mobilen Arbeiten gibt unter anderem auch das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) einschl\u00e4gige Empfehlungen<\/a>.<\/p>\n\n\n\n

Dar\u00fcber hinaus gilt es ebenso, unternehmensinterne Sicherheitsschulungen entsprechend anzupassen, um dem verl\u00e4sslichen Arbeiten im Homeoffice die geb\u00fchrende Beachtung zu schenken. Unternehmen d\u00fcrfen niemals voraussetzen, dass allen Mitarbeitern die Risiken und potenziellen Schwachstellen des mobilen Arbeitens bewusst sind. <\/p>\n\n\n\n

Notfallpl\u00e4ne schlie\u00dfen Homeoffice-Kollegen meist (noch) nicht ein<\/strong><\/p>\n\n\n\n

Ein guter Notfallplan erm\u00f6glicht es Unternehmen, den Betrieb aufrechtzuerhalten und irreparablen Schaden zu vermeiden, sollte es beispielsweise zu einem Netzwerkausfall oder Sicherheitsleck kommen. Hier gilt es im Zuge von Homeoffice & Co. zus\u00e4tzliche Szenarien zu erg\u00e4nzen, zum Beispiel dass sich ein VPN-Zugang zu Backup-Servern herstellen l\u00e4sst, wenn der Haupt-VPN-Server ausf\u00e4llt \u2013 inklusive Gew\u00e4hrleistung des rechtzeitigen physischen Zugangs zu den Servern, damit die geschulten Mitarbeiter das Problem schnell beheben k\u00f6nnen. \u00a0<\/p>\n\n\n\n

\"\"<\/a>
Bild: WatchGuard Technologies<\/figcaption><\/figure>\n\n\n\n

Unternehmen, die f\u00fcr den Fall einer Cyberattacke durch Ransomware und andere Gefahren noch keinen Notfallplan in der Schublade haben, sind nicht allein. Nichtsdestotrotz sollte ein solcher unbedingt Teil der Security-Policy werden.<\/p>\n\n\n\n

In dem Zusammenhang darf jedoch nicht vergessen werden, dass keine  Sicherheitsma\u00dfnahme einen hundertprozentigen Schutz garantieren kann. Zudem wirkt sich jedes \u201eMehr an Sicherheit\u201c exponentiell auf die damit einhergehenden Kosten aus. Irgendwann \u00fcberschreitet der Preis f\u00fcr die Sicherheit dann vielleicht sogar die mit einem Security-Vorfall einhergehenden Verluste. Genau aus diesem Grund haben Sicherheitsexperten (beispielsweise auf Seiten des US-amerikanischen National Institute of Standards and Technology)<\/a> Formeln entwickelt, mit denen individuell bestimmbar ist, wie viel f\u00fcr Ma\u00dfnahmen im Rahmen von Gesch\u00e4ftskontinuit\u00e4t und Notfallwiederherstellung (BCDR) ausgegeben werden sollte und wie viel f\u00fcr die Gew\u00e4hrleistung von IT-Sicherheit.<\/p>\n\n\n\n

\u202fDie Transformation zu hybriden Arbeitsplatzkonzepten treibt derzeit viele Unternehmen um. An dieser Stelle k\u00f6nnen nur einige der h\u00e4ufigsten Schwachstellen, denen Sicherheitsexperten ihre Aufmerksamkeit schenken sollten, genannt werden. Allerdings haben alle, die die genannten Problemfelder im Griff haben, bereits eine gute Ausgangsposition gegen\u00fcber allen weiteren oder neuen Herausforderungen.<\/p>\n","protected":false},"excerpt":{"rendered":"

Durch die Corona-Pandemie hat sich die Einstellung vieler Unternehmen gegen\u00fcber der Arbeit aus dem Homeoffice entscheidend ge\u00e4ndert. Selbst Organisationen, f\u00fcr die diese M\u00f6glichkeit in der Vergangenheit nie eine Option war, kamen im Lockdown gar nicht umhin, die entsprechenden Weichen zu stellen. Nur so konnte \u00fcberhaupt Gesch\u00e4ftsf\u00e4higkeit gew\u00e4hrleistet werden. Dabei sind vielerorts auch die Vorz\u00fcge entsprechender Arbeitsplatzkonzepte deutlich zu Tage getreten. Insofern verwundert es kaum, dass mittlerweile immer mehr Arbeitgeber dar\u00fcber nachdenken, wie sie diesen in der Pandemie eingeschlagenen Weg des mobilen Arbeitens zum eigenen Vorteil weiterverfolgen k\u00f6nnen. IT-Sicherheit wird in dem Zusammenhang zur wichtigen Stellschraube. Denn durch eine zunehmende Dezentralisierung im Arbeitsalltag entstehen ganz neue Angriffsfl\u00e4chen, die die IT-Verantwortlichen auf Unternehmensseite keinesfalls aus den Augen verlieren d\u00fcrfen. Werfen wir also einen Blick auf die relevanten Handlungsfelder, in denen w\u00e4hrend des \u201eHomeoffice-H\u00f6henflugs\u201c der letzten Monate immer wieder sicherheitsrelevante Vers\u00e4umnisse beobachtet werden konnten. Gleichzeitig gibt es Tipps, wie sich diese Themen besser in den Griff bekommen lassen.<\/p>\n","protected":false},"author":3,"featured_media":19685,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[6258,13432,3088,10144,3753,180,12139],"class_list":["post-19683","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-byod","tag-corona","tag-home-office","tag-notfallplan","tag-passwort","tag-vpn","tag-watchguard"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/19683","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=19683"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/19683\/revisions"}],"predecessor-version":[{"id":19687,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/19683\/revisions\/19687"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/19685"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=19683"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=19683"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=19683"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}