Reset and Thrive Your Business  (05) - How to Reduce Security Risks in the Future

Während der letzten Monate sehen sich Unternehmen weltweit dazu gezwungen, Regelungen für die Heimarbeit zu formulieren und an die Bedürfnisse ihres Geschäfts anzupassen. Egal, ob die Arbeit jenseits der Unternehmensstandorte bereits zuvor eingeplant war oder das Thema völlig neu angegangen werden musste: Überall sieht man sich Veränderungen in der bisherigen Arbeitsweise konfrontiert.

Während Unternehmen ihre digitalen Transformationsstrategien mit den notwendigen Anpassungen versehen, darf ein wichtiger Aspekt nicht übersehen werden: Sicherheit. Arbeiten Angestellte von zu Hause aus, kann die IT-Abteilung nicht einfach deren Arbeitsplätze aufsuchen und die Sicherheitseinstellungen überprüfen. Demnach eröffnen sich sowohl für die Firmen als auch für deren Mitarbeiter neue Verantwortungsbereiche. Heimarbeit verlangt nach verschärften Vorsichtsmaßnahmen. Werden neue Sicherheitsbestimmungen eingeführt, müssen Firmen sehr wachsam sein. Im Folgenden stellen wir Überlegungen an, wie Ihr Unternehmen akute und zukünftige Sicherheitsrisiken reduzieren kann.

Im Rahmen einer aktuellen Fortune-500-Studie attestieren 75% der Unternehmen, dass der Wechsel der Arbeitnehmer an dezentrale Arbeitsorte wie Homeoffice die voranschreitende digitale Transformation ihres Betriebs beschleunigt habe. Jene Veränderungen helfen dabei, eine zukunftsweisende Unternehmensagilität aufzubauen, doch gerade jetzt müssen die Anpassungen in einem oftmals ungewohnt raschen Tempo vorgenommen werden. Firmen, die hierbei nicht Schritt halten können, profitieren von einer guten Sicherheitsberatung. 

Da viele Arbeitnehmer nun ihr privates WLAN-Netzwerk nutzen, schwindet die grundlegende Sichtbarkeit der IT-Abteilung. Im Büro arbeiten die Angestellten üblicherweise über das sichere Firmennetzwerk, in dem IT-Teams unmittelbar Sicherheitslücken schließen auf notwendige Software-Updates aufmerksam machen können. Bedauerlicherweise gibt es keine einfache Lösung dafür, dies auch für die Remote-Arbeitenden zu gewährleisten. Außerdem werden firmeneigene Geräte außerhalb der Sicherheitskontrolle von Unternehmen eingesetzt – was das Risiko einer Gefährdung von Unternehmensdaten erhöht.

Heutzutage verwenden Angestellte neben der Unternehmens-Hardware zunehmend auch eigene Computer, Tablets und Mobilgeräte. Das Konzept „Bring your own device“ (kurz: BYOD) beschreibt das Integrieren privater Endgeräte in das Firmennetzwerk und hat sich bereits vielerorts etabliert. Für Ihr Unternehmen mag dieses Vorgehen dennoch neu und ungewöhnlich sein, weshalb Sie womöglich bei der Umstellung auf die Heimarbeit keine ausformulierten Richtlinien für Endnutzer bereitstellen konnten.

Es ist nie zu spät, Mitarbeitern im Homeoffice neue Sicherheitsbestimmungen (englischer Blogbeitrag) aufzuerlegen und sie zu sensibilisieren. Sprechen Sie mit Ihren Angestellten ab, welche Geräte genutzt werden sollen und wie sie IT-Überwachung und -Übersicht am besten einbinden können. Einige von ihnen werden sich verständlicherweise unwohl dabei fühlen, der IT-Abteilung Zugang zu Geräten zu gewähren, die persönliche Informationen beinhalten. Verdeutlichen Sie Ihren Angestellten deshalb, welche ihrer Daten eingesehen werden und welche nicht.

Motivieren Sie Ihre Mitarbeitenden dazu, dasselbe Maß an Cyber-Hygiene, das sie von ihrem Arbeitsplatz im Büro gewohnt sind, aufrecht zu erhalten. Dies bedeutet, starke Passwörter zu wählen, Zwei-Faktor-Authentifizierung und Time-Out-Locking zu implementieren und Daten regelmäßig zu sichern. In Bezug auf private Geräte, die sensible Unternehmensdaten beinhalten: Sie sollten genaue Abläufe vorbereiten, die greifen, wenn diese Geräte verloren gehen oder gestohlen werden. Virtuelle Nutzeroberflächen stellen für beide Seiten eine Erleichterung dar:  Nutzer können von überall über verschiedene Geräte auf ihren Arbeitsbereich und die jeweiligen Anwendungen zugreifen, den Mitarbeitenden der IT-Abteilung wird das Sicherheitsmanagement erleichtert, während jegliche Daten in einem zentralen (cloud-basierten) Datenzentrum gespeichert werden.

Darüber hinaus sollten die Heimnetzwerke Ihrer Angestellten ausreichend gesichert sein. Viele private Geräte sind in gemeinsam genutzte Netzwerkinfrastrukturen eingebunden, was anderen, womöglich ungesicherten, Endgeräten den Zugang gewährt und Sicherheitslücken verursacht. Bekanntlich sind private WLAN-Anschlüsse besonders unsicher. Oft werden hier serien- oder standardmäßige Passwörter eingesetzt, die leicht gehackt werden können. Spielekonsolen und ‚Smart‘-Anwendungen schaffen oftmals unzureichend gesicherte Wege für betrügerische Handlungen. Solche Sicherheitslücken können zudem Auswirkungen auf die DSGVO haben. Weisen Sie Ihre Angestellten darauf hin, bei der Arbeit zu Hause und unterwegs auf Datenschutz zu achten!

Auch wenn virtuelle private Netzwerke (VPNs) und Infrastrukturen auf dem neusten Stand sind, so besteht die größere Gefahr darin, dass das System hinter den VPNs nicht denselben Standards entspricht. Deshalb ist es wichtig, dass Ihre Unternehmensrichtlinien die Mitarbeiter dazu anhalten, betriebseigene Anti-Viren-Software auf allen Geräten mit Zugang zu Firmeninformationen zu installieren und regelmäßig zu aktualisieren.

Für die Umsetzung adäquater Richtlinien und Abläufe sollten sowohl die Verantwortlichen für IT-Sicherheit wie auch die übrigen Mitarbeiter Ihres Betriebs durchgängig geschult werden (englischer Blogbeitrag). Eine regelmäßige Weiterbildung ermöglicht es Ihren Angestellten, die Verwundbarkeit ihrer Endgeräte eigenständig abzusichern und Phishing-Angriffe, die mit der Zeit immer ausgefeilter und häufiger geworden sind, abzuwehren.

Es ist auch wichtig zu bedenken, dass ein erfolgreicher Phishing-Versuch auf einem Gerät im Homeoffice es Cyberkriminalität ermöglichen kann, in das private Netzwerk eines Unternehmens einzudringen, sobald der Mitarbeiter mit dem betroffenen Gerät ins Büro zurückkehrt. Um das zu verhindern, halten Sie regelmäßige Schulungen ab, in denen Angestellte lernen, Phishing-Versuche zu erkennen. Unternehmen könnten sich sogar dafür entscheiden, Mitarbeiter mit gefälschten Phishing-E-Mails zu testen, um Schwachstellen zu identifizieren und entsprechend Schulungen und Trainings zu priorisieren.

Denken Sie auch daran, Flyer und Hinweise zu den neuesten Sicherheitsbedrohungen zu versenden und treten Sie mit den einzelnen Teams in Kontakt, um sicherzustellen, dass sie wachsam bleiben. Je mehr Sie Ihre Endnutzer schulen, desto besser können sie Angriffe erkennen und vermeiden. Nichtsdestotrotz ist es für die Rückkehr aus dem Homeoffice wichtig, einen soliden Plan für den Wideranschluss an das Büronetzwerk zu erstellen. Nach der Auflösung der alten Arbeitsstrukturen in den Büros könnte es ein ernsthaftes Risiko darstellen, wenn sich alle Mitarbeiter mit demselben privaten Server verbinden. Stattdessen könnten Sie ein Gastnetzwerk vorbereiten, mit dem sich die Mitarbeiter zuerst verbinden. So wird das Unternehmen nicht gefährdet und die Sicherheitsprüfungen können in einer kontrollierten Umgebung durchgeführt werden.

Regelmäßige Schulungen stellen sicher, dass die Mitarbeiter gut zum Thema Phishing-Angriffe informiert sind. Indem sie darin geschult werden, verdächtige E-Mails zu erkennen, zu melden und zu entfernen, können sie die erste Verteidigungslinie gegen Angreifer bilden. Schließlich kann ein mehrschichtiger, strategischer Ansatz für interne Schulungen und Cyber-Sicherheitslösungen dazu führen, dass ein Unternehmen voll und ganz in der Lage ist, Cyber-Bedrohungen anzugehen und zu lösen.

Nicht zuletzt sollten Sie immer an die Sicherheit Ihrer Cloud denken. Jetzt, da Cloud-Dienste für fast jedes Unternehmen unerlässlich sind, braucht es eine Strategie zur digitalen Transformation. An oberster Stelle sollte dabei die Sicherheit stehen, deren Kerngebiet wiederrum ist, Daten und sensible Informationen zu schützen. Die Implementierung einer geeigneten Cloud-Konfiguration stellt sicher, dass Ihre Hardware- und Software-Elemente miteinander interagieren und kommunizieren können und gleichzeitig sicher sind.

Cloud-basierte Sicherheitsdienste werden bei derzeit dezentral arbeitenden Unternehmen immer beliebter. Die Secure Access Service Edge (SASE)-Technologie ermöglicht es Unternehmen, mobile Mitarbeiter und Cloud-Anwendungen besser zu schützen, indem der Datenverkehr durch einen Cloud-basierten Sicherheits-Stack geleitet wird. Dies ermöglicht es IT-Sicherheitsteams, alles aus der Ferne zu verwalten. Beispielsweise können IT-Experten mithilfe von Cloud-basierten virtuellen Desktop-Diensten aus der Ferne auf die Systeme der Mitarbeiter, einschließlich Dateien und Netzwerke, zugreifen. Die Cloud ist ebenfalls der Schlüssel zu Sicherheitssystemen. So können Cloud-basierte DLP- und Bedrohungsschutz-Kontrollen zur Sicherheit kritischer Ressourcen eines Unternehmens beitragen.

Um Bedrohungen einen Schritt voraus zu sein, ist ein starker, aber flexibler Plan erforderlich. Es ist von entscheidender Bedeutung, die kritischsten Aspekte Ihres Unternehmen zu ermitteln und die Sicherheits- und Konformitätslücken zu bewerten, damit Sie eine Strategie zur Prävention und Behebung von Problem entwickeln können. Als Ihr vertrauenswürdiger Berater kann SoftwareONE Ihnen leicht dabei helfen, böswillige Aktivitäten zu stoppen und die Sicherheitseffektivität für Ihre unternehmenskritischen Cloud-Workloads zu verbessern.

Auch wenn sich das alles nach einer überwältigend umfangreichen Aufgabe anhört – machen Sie sich keine Sorgen. SoftwareONE kann Sie bei der Umsetzung unterstützen. Ganz gleich, ob es um die Prävention vor Ransomware oder die Implementierung biometrischer Sicherheit geht, unsere Managed Security Services sind darauf ausgelegt, Ihre Cybersicherheitsstrategie zu verbessern. Es gibt so viel Unsicherheit bei der Anpassung an die "Neue Normalität", aber eine starke Cybersicherheit kann dabei den Weg weisen. 

Teil 4: Management und Optimierung Ihrer Remote-Umgebung

Teil 6: Datensicherung in Ihrer Remote-Umgebung