Die Corona-Pandemie hat unsere gewohnten Arbeitsweisen komplett auf den Kopf gestellt. Unternehmen richten ihre Prozesse auf die Arbeit aus der Ferne aus, aber mit wachsender Immunisierung der Bevölkerung gegen COVID-19 kehren jetzt wieder mehr Mitarbeiter in die Büros zurück. Allerdings planen die meisten Arbeitgeber nicht, ihre Arbeitsroutinen exakt wie vor der Krise fortzuführen. Die Unternehmen Nationwide oder VMware haben beispielsweise bereits angekündigt, langfristig auf eine „Remote First“-Arbeitsstrategie umstellen zu wollen. Andere Organisationen wollen flexible Konzepte nutzen, bei denen Mitarbeiter teilweise am gewohnten Büroarbeitsplatz und teilweise von zuhause aus und somit remote arbeiten. Für IT- und ITSec-Abteilungen bedeutet das, in Zukunft sowohl komplette Remote-Mitarbeiter als auch Angestellte unterstützen zu müssen, die nur teilweise aus der Ferne arbeiten.
Drei Schwerpunkte für die IT-Sicherheit bei Remote Work und hybriden Arbeitsmodellen
Wie wirken sich hybride Arbeitsmodelle auf die Sicherheitsvorgänge der IT aus? Zum Schutz geschäftskritischer IT-Assets und zur Vermeidung von Risiken werden sich SecOps-Teams bei Remote Mitarbeitern und Halbtags-Heimarbeitern auf drei Themengebiete konzentrieren müssen: Das Physische, das Digitale und das Menschliche.
1. Physische Sicherheit: Die Zeiten sind vorbei, in denen Mitarbeiter immer (oder meistens) im Büro sind, und so sehen sich Sicherheitsteams einer größeren Angriffsfläche gegenüber. Jetzt können Angestellte von zuhause (Work-from-Home, WFH) oder von überall (Work-from-Anywhere, WFA) aus arbeiten und selbst das örtliche Café kann zum Teil des Unternehmensnetzwerks werden. Zwar nutzten Remote-Mitarbeiter diese Optionen bereits vor COVID, aber inzwischen handelt es sich um einen breiten Trend, der entsprechend große Veränderungen nach sich zieht.
Angesichts dieser Entwicklung sollten Sie prüfen, inwiefern sich die physischen Büroregeln auf das neue „Anywhere Office“ ausdehnen lassen. Gibt es beispielsweise in Ihrem Unternehmen eine Clean Desk Policy, die von den Mitarbeitern erwartet, ihre Laptops wegzuschließen, Monitore auszuschalten und den Schreibtisch am Ende des Arbeitstages aufzuräumen? Dann sollten diese Richtlinien auch für das „Anywhere Office“ gelten. Im Heimbüro müssen Mitarbeiter vielleicht keinen verschlossenen Schrank zur Verfügung haben, aber zumindest sollten sie ihre Laptops herunterfahren und in der Schublade im Schreibtisch aufbewahren können. In ähnlicher Form sollte es Richtlinien geben, wie geschäftskritische Hardware (Kabelmodems und WLAN-Mesh-Router beispielsweise) vor neugierigen Haustieren und spielenden Kindern geschützt werden. Idealerweise sollten Unternehmen noch einen Schritt weiter gehen und geprüfte Hardwaregeräte für Remote-Mitarbeiter zur Verfügung stellen, damit im Unternehmen nur autorisierte Anbieter und die neuesten Versionen eingesetzt werden.
2. Digitale Sicherheit: Die Datensicherheit von Remote-First-Mitarbeitern wird maßgeblich durch die digitale Transformation und Verlagerung von Diensten in die Cloud beeinflusst. Identitätszentrierte Sicherheitsmaßnahmen müssen deshalb sowohl Menschen als auch Maschinen unterstützen – und es ist entscheidend, dabei richtig vorzugehen, denn 80 % der Datenschutzverletzungen stehen in Verbindung zu kompromittierten Anmeldeinformationen, wie eine Forrester-Studie über Privileged Identity Management dokumentiert.
Der erste Schritt für eine wirksame Zugriffskontrolle besteht darin, digitale Identitäten auf klar definierte, aufgabenorientierte Rollen zu begrenzen. Eine von BeyondTrust in Auftrag gegebene Forrester-Sicherheitsstudie ergab, dass laut 60 % der befragten Entscheidungsträger „die Zunahme privilegierter Nutzer aus dem wachsenden Einsatz von Remote-Access-Strukturen“ resultiere. Minimieren Sie daher nach Möglichkeit die Zuteilung von Nutzerprivilegien und stellen Sie sicher, dass nach Erledigung einer Arbeit die nicht mehr benötigten Zugriffsrechte wieder entzogen werden. Wenn privilegierte Nutzerrechte (das betrifft Menschen und Maschinen gleichermaßen) nicht vermieden werden können, behalten Sie die Kontrolle über Nutzerprivilegien durch Implementierung einer PIM-Lösung (Privileged Identity Management), die Funktionen wie Server Privilege Management, Rotation von Anmeldeinformationen, Just-in-Time-Zugriffskontrolle (JIT) und granulare Protokollierungsmöglichkeiten umfasst.
Weitere Aspekte der digitalen Sicherheit im Rahmen von Remote-Arbeit betreffen die Cyber-Hygiene, Sicherheitskonfigurationen auf Heimgeräten sowie Schulungen für Benutzer, wie sie den Schutz von Heimnetzwerken optimieren können. Remote First-Unternehmen, die Geräte (z. B. Laptops) an Mitarbeiter aushändigen, sollten auch die Erstellung von Setup-Skripten auf Knopfdruck oder den Versand von Geräten in Erwägung ziehen, die nach Unternehmensstandards vorkonfiguriert sind.
3. Menschliche Sicherheit: Als dritter Punkt der menschliche Aspekt. MIT-Neurowissenschaftler untersuchten chronischen Stress und stellten beispielsweise fest, dass Mäuse in Drucksituationen zu Auswegen mit einem höheren Risiko tendieren. Das lässt sich auch auf menschliche Verhaltensweisen übertragen. Das Arbeiten in heimischer Umgebung verringert einerseits den Pendlerstress auf dem Weg zur Arbeitsstelle, aber kann andererseits auch zu neuem Stress durch Kinder, Partner und Haustiere führen. Ganz zu schweigen vom Zeit- und Vorbereitungsdruck, von Videokonferenz zu Videokonferenz zu springen und in Online-Meetings eine gute Figur abgeben zu müssen. Dauergestresste Mitarbeiter leiden unter Konzentrationsschwächen und vergessen auch einfache Sicherheitsrichtlinien, beispielsweise Links vor dem Anklicken zu prüfen. Schulungen, die für eine geschäftliche Büroumgebung konzipiert sind, müssen angesichts neuer Arbeitsformen möglicherweise weiterentwickelt oder häufiger in Erinnerung gerufen werden. Auch Führungsstil und Unternehmenskultur können viel dazu beitragen, Stressfaktoren abzubauen: Online-Meetings könnten zum Beispiel auf 25 oder 50 Minuten begrenzt werden, um Mitarbeitern genug Zeit für die Selbstorganisation zu verschaffen, sodass sie nicht alle ihre E-Mails per Multitasking während der Videokonferenzen bearbeiten müssen.
Die nächsten Schritte zur Absicherung einer „Remote First“-Arbeitsstrategie
Angesichts veränderter Arbeitsweisen ist unabhängig von der jeweiligen Unternehmensstrategie ein funktionierender Plan erforderlich, der die physischen, digitalen und menschlichen Aspekte beim Datenschutz und bei der Nutzersicherheit berücksichtigt. Weitere Aspekte rund um dieses Sicherheitsthema kommen in diesem On-Demand-Webinar zur Sprache: Privileges & Pajamas: The Security Impact of Remote Working. Zusätzlichen Lesestoff bietet dieser Blogbeitrag von Morey Haber, BeyondTrusts CTO & CISO, der aufzeigt, wie sich die Angriffswege verändert haben und welche Anpassungen durchgeführt werden sollten.
Diana Kelley, CTO | Executive Mentor | Research Analyst | Keynote Speaker
Diana Kelley’s security career spans over 30 years. She is Co-Founder and CTO of SecurityCurve and donates much of her time to volunteer work in the cybersecurity community, including serving on the ACM Ethics & Plagiarism Committee, as CTO and Board member at Sightline Security, Board member and Inclusion Working Group champion at WiCyS, Cybersecurity Committee Advisor at CompTIA, and RSAC US Program Committee. Diana produces the #MyCyberWhy series, hosts BrightTALK’s The Security Balancing Act, and is a Principal Consulting Analyst with TechVision Research and a member of The Analyst Syndicate. She was the Cybersecurity Field CTO for Microsoft, Global Executive Security Advisor at IBM Security, GM at Symantec, VP at Burton Group (now Gartner), and a Manager at KPMG. She is a sought after keynote speaker, the co-author of the book Cryptographic Libraries for Developers, has been a lecturer at Boston College's Masters program in cybersecurity, the EWF 2020 Executive of the Year, and one of Cybersecurity Ventures 100 Fascinating Females Fighting Cybercrime.
