Schutz einer zerstückelten Angriffsoberfläche: Cybersecurity in der neuen Arbeitswelt
Eine neue Studie verdeutlicht, wie die Umstellung auf ein Telearbeitsmodell und die Migration geschäftskritischer Funktionen in die Cloud die überwiegende Mehrheit von Unternehmen erhöhten Risiken aussetzt.
In den kommenden 18 Monaten steht Cybersecurity-Unternehmen weltweit eine noch nie dagewesene Bewährungsprobe bevor.
Systeme, die in Reaktion auf die COVID-19-Pandemie eingeführt wurden, um Remote-Arbeit zu unterstützen, haben die Angriffsoberfläche zerstückelt. Da die Grenzen zwischen Büro und Zuhause verschwimmen, sind all diese Systeme auf dem besten Weg, sich zu festen Bestandteilen der Arbeitswelt zu entwickeln. Die Angriffe auf SolarWinds und Kaseya haben Bedenken hinsichtlich der Integrität der Software-Supply-Chain weiter verstärkt. Und als entscheidende Triebfeder für kritische Geschäftsfunktionen an einem Arbeitsplatz ohne Grenzen führt an der Cloud inzwischen kein Weg mehr vorbei.
Doch was bedeutet all das für Sicherheitsverantwortliche? Wir sehen dies als Chance, zu überdenken, was als „Asset“ betrachtet wird, wie eine „Schwachstelle“ definiert ist und wie sich Transparenz in beiderlei Hinsicht verbessern lässt – wobei stets gewährleistet sein muss, dass Mitarbeiter produktiv und sicher arbeiten können. Die Notwendigkeit, Cybersecurity- und Geschäftspraktiken miteinander in Einklang zu bringen, rückt dadurch erneut in den Vordergrund.
Eine neue Studie mit dem Titel Ohne Grenzen: Cybersecurity in der neuen Arbeitswelt, die von Forrester Consulting im Auftrag von Tenable durchgeführt wurde, deckt auf, dass sich das Risikoniveau von Unternehmen bedingt durch ihre während der Pandemie vorgenommenen Anpassungen erhöht hat. Und sie vermittelt einen – zum Teil besorgniserregenden – Eindruck davon, was in einem durchschnittlichen Heimnetzwerk vor sich geht. Die Studie beruht auf den Ergebnissen einer Online-Umfrage unter 426 Sicherheitsverantwortlichen, 422 Geschäftsverantwortlichen und 479 Remote-Mitarbeitern (d. h. Vollzeitbeschäftigte, die mindestens drei Tage im Homeoffice arbeiten) aus 10 Ländern sowie auf telefonischen Befragungen von sechs Geschäfts- und Sicherheitsverantwortlichen.
Laut der Studie geben 80 % der Sicherheits- und Geschäftsverantwortlichen zu verstehen, dass in ihren Unternehmen infolge der Umstellung auf ein Telearbeitsmodell sowie der Migration von geschäftskritischen Funktionen in die Cloud heute eine größere Gefährdung durch Risiken besteht. Wir glauben, dass viele Tools für Remote-Arbeit und die Cloud unter Zwang und dabei ganz ohne Sicherheitskontrollen zum Einsatz kamen. In einigen Fällen befinden sich die Tools noch im Entstehungsstadium und ihre Sicherheitskontrollen sind unausgereift.
Für InfoSec-Verantwortliche ist es allerhöchste Zeit, die vor dem Hintergrund dieser Veränderungen eingeführten Systeme einer strategischen Neubewertung zu unterziehen, damit deren Sicherheit der Dynamik des Arbeitsplatzes in nichts nachsteht. Schon jetzt hat sich fast ein Viertel (24 %) der Geschäfts- und Sicherheitsverantwortlichen für eine permanente Umstellung auf Remote-Arbeit entschieden und weitere 68 % geben an, diesen Schritt in den nächsten zwei Jahren offiziell zu machen.
Gleichermaßen wird die Erweiterung der Software-Supply-Chain von 61 % der Befragten als Vektor für erhöhte Risiken betrachtet. Wir sind überzeugt, dass bei jeder aus der Not geborenen und überhastet in Betrieb genommen Software-Erweiterung auch eine höhere Wahrscheinlichkeit besteht, dass sie keine robusten Drittanbieter-Sicherheitskontrollen aufweist.
Und die damit verbundenen Konsequenzen für Unternehmen sind spürbar. Die Studie ergab Folgendes:
- 92 % der Unternehmen haben in den vergangenen 12 Monaten einen geschäftsschädigenden Cyberangriff oder Sicherheitsverstoß verzeichnet, der mindestens eine dieser Folgen nach sich gezogen hat: Verlust von Kunden-, Mitarbeiter- oder anderen vertraulichen Daten, Unterbrechung des normalen Geschäftsbetriebs, Auszahlung von Lösegeld, finanzieller Verlust oder Diebstahl und/oder Diebstahl von geistigem Eigentum.
- Mehr als zwei Drittel der Befragten (67 %) geben an, dass diese Angriffe auf Remote-Mitarbeiter abzielten.
- Die überwiegende Mehrheit (74 %) berichtete, dass mindestens ein Angriff auf Schwachstellen in Systemen zurückzuführen war, die in Reaktion auf die COVID-19-Pandemie eingeführt wurden.
- Fast drei Viertel (70 %) waren von drei oder mehr Angriffen betroffen.
Unterdessen löst sich der Perimeter zwischen dem Heim- und Unternehmensnetzwerk immer mehr auf. Mitarbeiter im Homeoffice greifen von zu Hause aus nicht nur auf sensible Unternehmensdaten zu, sondern verwenden dabei oft auch ein Privatgerät: Der Studie zufolge räumen mehr als die Hälfte der Remote-Mitarbeiter ein, über ein Privatgerät auf Kundendaten zuzugreifen. Wenn man bedenkt, dass Mitarbeiter im Homeoffice im Durchschnitt acht Geräte mit ihrem Heimnetzwerk verbinden, darunter arbeitgeberseitig zur Verfügung gestellte Geräte, Privatgeräte, Elektrogeräte, Wearables und Gaming-Systeme, und dass durchschnittlich drei Personen in ihrem Haushalt Geräte mit demselben Netzwerk verbinden, wird deutlich, mit welchen Herausforderungen Sicherheitsverantwortliche konfrontiert sind.
Sich von zu Hause aus zu verbinden ist eine Sache – sich über Privatgeräte in einem überstrapazierten, für Verbraucher konzipierten Heimnetzwerk ganz ohne firmenseitige Sicherheitskontrollen zu verbinden hingegen eine völlig andere.
Diese Erkenntnisse machen deutlich, wie wenig Einblick Unternehmen in die Geschehnisse in ihren Umgebungen haben: 71 % der Sicherheitsverantwortlichen geben an, die Heimnetzwerke von Remote-Mitarbeitern nicht weitgehend oder vollständig überblicken zu können, und 64 % mangelt es an einem solchen Einblick in Geräte, die sich im Besitz von Remote-Mitarbeitern befinden. Erwartungen an die Privatsphäre von Mitarbeitern schränken den Einblick für Arbeitgeber in ein Heimnetzwerk naturgemäß ein. Dadurch wird klar, dass sich Sicherheitsmechanismen so nah wie möglich an den geschäftskritischen Daten und den Geräten, die für den Zugriff darauf verwendet werden, befinden müssen. Kurz gesagt: Wenn keine Kenntnis des Geräts und Netzwerks besteht, muss der Benutzerzugriff kontrolliert werden.
Die Herausforderungen mögen gewaltig erscheinen, doch der Weg in die Zukunft liegt auf der Hand. Unternehmen müssen überdenken, wie sie Risiken definieren, und dabei über Softwaremängel und Geräte-Compliance hinausblicken, um sich einen ganzheitlichen Überblick über ihre dynamischen und unterschiedlichen Umgebungen zu verschaffen. Sie müssen in adaptive Benutzer- und Daten-Risikoprofile investieren, um Angriffswege zu versperren, indem sie Fehlkonfigurationen in Active Directory und der Cloud berücksichtigen und die Sicherheit auf der Grundlage von veränderten Bedingungen, Verhaltensweisen oder Standorten erhöhen. Und sie müssen sich intensiv mit den Beschränkungen traditioneller, perimeterbasierter Sicherheitsarchitekturen auseinandersetzen und differenziertere Alternativen in Betracht ziehen, bei denen jeder Zugriffsversuch auf Unternehmensdaten auf sämtlichen Ebenen kontinuierlich überwacht und verifiziert wird – unabhängig davon, ob der Verbindungsversuch über ein Gerät, eine App, einen Benutzer oder ein Netzwerk erfolgt. Für manche Unternehmen könnte dies eine Auseinandersetzung mit den eigenen Cyberhygiene- und Schwachstellen-Management-Verfahren bedeuten. Anderen wiederum könnte es eine Gelegenheit zur Umstellung auf risikobasiertes Schwachstellen-Management sowie ein kontinuierliches Monitoring von Active Directory als Strategie zur wirksamen Versperrung von Angriffspfaden bieten. Und für die fortschrittlichsten Unternehmen könnten dies die ersten Schritte in Richtung Zero-Trust-Sicherheit sein.
Ganz gleich, für welchen Weg Sie sich entscheiden – die Studie macht eines deutlich: Geschäfts- und Sicherheitsverantwortliche müssen gemeinsam darauf hinarbeiten, neue Mittel und Wege zu finden, um sensible Daten in der neuen Arbeitswelt zu schützen.
Mehr erfahren
- Vollständige Studie lesen: Ohne Grenzen: Cybersecurity in der neuen Arbeitswelt
- Infografik anzeigen: Ohne Grenzen: Umdenken bei Risiken in der neuen Arbeitswelt
Verwandte Artikel
- Active Directory
- APAC
- Cloud
- Executive Management
- EMEA
- Endpoint security
- Malware
- Microsoft Windows
- BYOD
- Remote Workforce
- Risk-based Vulnerability Management
- Threat Intelligence
- Threat Management
- Vulnerability Management
- Vulnerability Scanning