ChangeIT.
Firmen sollten nicht zu sehr darauf vertrauen, dass ihre Mitarbeiterinnen und Mitarbeiter immer verantwortungsvoll mit der IT umgehen. Ein paar Regeln und Lösungen können dabei helfen, das Sicherheitslevel deutlich zu erhöhen.
Im Homeoffice arbeiten ist spätestens seit der Pandemie zur Normalität geworden. Aber leider hat sich hieraus auch eine neue Sicherheitslücke ergeben, die noch nicht alle Unternehmen geschlossen haben: „Nur acht Prozent der Unternehmen, in denen mobil gearbeitet wird, haben ihre IT-Sicherheits- und Datenschutzregeln überarbeitet. Nur sieben Prozent haben in zusätzliche IT-Sicherheit investiert“, erklärt Jörg Asmussen, Hauptgeschäftsführer beim Gesamtverband der Deutschen Versicherungswirtschaft (GDV), unter Berufung auf eine Forsa-Umfrage unter mittelständischen Unternehmen, die der GDV in Auftrag gegeben hat.
Die Umfrage offenbart auch ein weiteres Sicherheits-Problem, denn jedes zweite Unternehmen erlaubt das mobile Arbeiten auf privaten Geräten. Bei gut 25 Prozent der Befragten kommuniziert die Belegschaft Messenger-Dienste wie WhatsApp, fünf Prozent gaben an, dass Beschäftigte sogar ihre privaten Mail-Adressen für geschäftliche E-Mails nutzen würden. „Dass zu Beginn der Pandemie viele Sicherheitsroutinen gestört waren, ist noch verständlich. Aber wer seine Prozesse jetzt noch nicht an die neue Situation angepasst hat, handelt fahrlässig und lädt Cyberkriminelle und Betrüger geradezu ein“, betont Jörg Asmussen. 26 Prozent der befragten Unternehmen gaben zudem an, dass sich die Zahl der Cyberattacken in der Pandemie erhöht hätte. Hier sprechen wir übrigens nicht nur von Industrieunternehmen – inzwischen sind längst auch Steuerkanzleien oder Arztpraxen von Cyberattacken betroffen, die zu einem Datenverlust oder einem folgenschweren Ausfall der IT führen können.
Private und berufliche IT strickt trennen
Das kann Christopher Illig, Teamleiter Technik bei der CS.Hamburg GmbH nur bestätigen. „Ein privater Laptop ist in der Regel viel schlechter vor Cyberattacken geschützt als ein Firmengerät. Außerdem lassen sich private E-Mail-Adressen meist leichter hacken. Arbeitgeber, die das Arbeiten auf den eigenen Devices erlauben und auch private Kommunikationskanäle zulassen, begeben sich also in ein höheres Risiko, das vermeidbar ist.“ Somit sollten Firmen eine Zero-Trust-Strategie zumindest anstreben: „Zero Trust bedeutet, dass ich ein Sicherheitskonzept habe, das letztlich besagt, ich kann mich auf nichts und niemanden verlassen“, so Christopher Illig. „Viele Firmen arbeiten immer noch mit Konstruktionen, wo sie auf Vertrauen setzen, also davon ausgehen, dass ihre Beschäftigten schon verantwortungsvoll mit Daten und der IT umgehen.“
Aber selbst wenn alle vertrauenswürdig sind, können trotzdem Sicherheitsunfälle passieren, die dazu führen, dass etwa Trojaner unbeabsichtigt ins Firmennetzwerk gelangen. Der klassische USB-Stick, der von zu Hause mitgebracht wird, ist so ein Beispiel. Hier empfiehlt sich eine Sicherheitsschleuse für externe Datenträger über einen besonders abgesicherten USB-Port im Büro, wo eine virtuelle Maschine als sicherer Datenpuffer dient.
Zero-Trust-Lösungen von Check Point
Wer sein Unternehmensnetzwerk umfassend absichern und dabei einen Zero-Trust-Ansatz verfolgen will, muss mehrere Ebenen berücksichtigen. „Ganz wichtig ist es, das Netzwerk so kontrollieren zu können, dass ich potenzielle Sicherheitsrisiken sofort erkennen kann. Gleichzeitig muss ich dazu in der Lage sein, Geräte im Netzwerk jederzeit isolieren, absichern und steuern zu können“, erklärt Christopher Illig. „Einer der wichtigsten Faktoren in einer Sicherheitsstruktur bleibt aber der Mensch, denn die meisten Datenschutzverletzungen hängen mit den Beschäftigten zusammen. Also ist es absolut wichtig, den Datenzugriff eines jeden Mitarbeiters auf das Nötigste zu beschränken. Damit kann ich das Risiko von Datenverlusten reduzieren.“
CS.Hamburg nutzt Lösungen von Check Point, wenn es darum geht einen Zero-Trust-Ansatz zu verfolgen. Ein guter Start wäre beispielsweise die WatchTower Security Management App. Hiermit ist es möglich, das Netzwerk in Echtzeit zu überwachen. Falls jemand ein neues Gerät ans Netzwerk anschließt oder andere Risiken auftauchen, bekommt der Admin sofort eine Benachrichtigung auf sein Smartphone. „Das ist zumindest ein erster Ansatz, um das Sicherheitslevel und das Sicherheitsbewusstsein zu erhöhen“, so Christopher Illig. „Damit ist schon viel gewonnen.“
Diese Lösungen von Check Point können wir empfehlen:
- ZTNA-as-a-Service mit Harmony Connect Remote Access lässt sich in nur fünf Minuten einrichten und sichert den Zugang zu jedem internen Unternehmensnetzwerk oder jeder Anwendung, die sich im Rechenzentrum, in IaaS, Public oder Private Clouds befindet.
- Mit Security Gateways lässt sich eine granulare Netzwerksegmentierung über Public / Private Cloud- und LAN-Umgebungen hinweg erstellen. Sie erlauben detaillierte Informationen zu Benutzern, Gruppen, Anwendungen, Rechnern und Verbindungstypen in Ihrem Netzwerk und ermöglichen es Admins, eine „Least Privileged“-Zugriffsrichtlinie festzulegen und durchzusetzen.
- Check Point Identity Awareness stellt sicher, dass der Zugriff auf Unternehmensdaten nur autorisierten Benutzern und nur nach strikter Authentifizierung ihrer jeweiligen Identität gewährt wird.
- Check Point Advanced Threat Prevention for Endpoints schützt die Geräte der Beschäftigten jederzeit und setzt die Sicherheitsrichtlinie in nicht vertrauenswürdigen Netzwerken durch.
