Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable Blog

Abonnieren

Schutz einer zerstückelten Angriffsoberfläche: Cybersecurity in der neuen Arbeitswelt

Eine neue Studie verdeutlicht, wie die Umstellung auf ein Telearbeitsmodell und die Migration geschäftskritischer Funktionen in die Cloud die überwiegende Mehrheit von Unternehmen erhöhten Risiken aussetzt.

In den kommenden 18 Monaten steht Cybersecurity-Unternehmen weltweit eine noch nie dagewesene Bewährungsprobe bevor.

Systeme, die in Reaktion auf die COVID-19-Pandemie eingeführt wurden, um Remote-Arbeit zu unterstützen, haben die Angriffsoberfläche zerstückelt. Da die Grenzen zwischen Büro und Zuhause verschwimmen, sind all diese Systeme auf dem besten Weg, sich zu festen Bestandteilen der Arbeitswelt zu entwickeln. Die Angriffe auf SolarWinds und Kaseya haben Bedenken hinsichtlich der Integrität der Software-Supply-Chain weiter verstärkt. Und als entscheidende Triebfeder für kritische Geschäftsfunktionen an einem Arbeitsplatz ohne Grenzen führt an der Cloud inzwischen kein Weg mehr vorbei.

Doch was bedeutet all das für Sicherheitsverantwortliche? Wir sehen dies als Chance, zu überdenken, was als „Asset“ betrachtet wird, wie eine „Schwachstelle“ definiert ist und wie sich Transparenz in beiderlei Hinsicht verbessern lässt – wobei stets gewährleistet sein muss, dass Mitarbeiter produktiv und sicher arbeiten können. Die Notwendigkeit, Cybersecurity- und Geschäftspraktiken miteinander in Einklang zu bringen, rückt dadurch erneut in den Vordergrund.

Eine neue Studie mit dem Titel Ohne Grenzen: Cybersecurity in der neuen Arbeitswelt, die von Forrester Consulting im Auftrag von Tenable durchgeführt wurde, deckt auf, dass sich das Risikoniveau von Unternehmen bedingt durch ihre während der Pandemie vorgenommenen Anpassungen erhöht hat. Und sie vermittelt einen – zum Teil besorgniserregenden – Eindruck davon, was in einem durchschnittlichen Heimnetzwerk vor sich geht. Die Studie beruht auf den Ergebnissen einer Online-Umfrage unter 426 Sicherheitsverantwortlichen, 422 Geschäftsverantwortlichen und 479 Remote-Mitarbeitern (d. h. Vollzeitbeschäftigte, die mindestens drei Tage im Homeoffice arbeiten) aus 10 Ländern sowie auf telefonischen Befragungen von sechs Geschäfts- und Sicherheitsverantwortlichen.

Laut der Studie geben 80 % der Sicherheits- und Geschäftsverantwortlichen zu verstehen, dass in ihren Unternehmen infolge der Umstellung auf ein Telearbeitsmodell sowie der Migration von geschäftskritischen Funktionen in die Cloud heute eine größere Gefährdung durch Risiken besteht. Wir glauben, dass viele Tools für Remote-Arbeit und die Cloud unter Zwang und dabei ganz ohne Sicherheitskontrollen zum Einsatz kamen. In einigen Fällen befinden sich die Tools noch im Entstehungsstadium und ihre Sicherheitskontrollen sind unausgereift.

Für InfoSec-Verantwortliche ist es allerhöchste Zeit, die vor dem Hintergrund dieser Veränderungen eingeführten Systeme einer strategischen Neubewertung zu unterziehen, damit deren Sicherheit der Dynamik des Arbeitsplatzes in nichts nachsteht. Schon jetzt hat sich fast ein Viertel (24 %) der Geschäfts- und Sicherheitsverantwortlichen für eine permanente Umstellung auf Remote-Arbeit entschieden und weitere 68 % geben an, diesen Schritt in den nächsten zwei Jahren offiziell zu machen.

Gleichermaßen wird die Erweiterung der Software-Supply-Chain von 61 % der Befragten als Vektor für erhöhte Risiken betrachtet. Wir sind überzeugt, dass bei jeder aus der Not geborenen und überhastet in Betrieb genommen Software-Erweiterung auch eine höhere Wahrscheinlichkeit besteht, dass sie keine robusten Drittanbieter-Sicherheitskontrollen aufweist.

Und die damit verbundenen Konsequenzen für Unternehmen sind spürbar. Die Studie ergab Folgendes:

  • 92 % der Unternehmen haben in den vergangenen 12 Monaten einen geschäftsschädigenden Cyberangriff oder Sicherheitsverstoß verzeichnet, der mindestens eine dieser Folgen nach sich gezogen hat: Verlust von Kunden-, Mitarbeiter- oder anderen vertraulichen Daten, Unterbrechung des normalen Geschäftsbetriebs, Auszahlung von Lösegeld, finanzieller Verlust oder Diebstahl und/oder Diebstahl von geistigem Eigentum. 

  • Mehr als zwei Drittel der Befragten (67 %) geben an, dass diese Angriffe auf Remote-Mitarbeiter abzielten.

  • Die überwiegende Mehrheit (74 %) berichtete, dass mindestens ein Angriff auf Schwachstellen in Systemen zurückzuführen war, die in Reaktion auf die COVID-19-Pandemie eingeführt wurden.

  • Fast drei Viertel (70 %) waren von drei oder mehr Angriffen betroffen. 


Unterdessen löst sich der Perimeter zwischen dem Heim- und Unternehmensnetzwerk immer mehr auf. Mitarbeiter im Homeoffice greifen von zu Hause aus nicht nur auf sensible Unternehmensdaten zu, sondern verwenden dabei oft auch ein Privatgerät: Der Studie zufolge räumen mehr als die Hälfte der Remote-Mitarbeiter ein, über ein Privatgerät auf Kundendaten zuzugreifen. Wenn man bedenkt, dass Mitarbeiter im Homeoffice im Durchschnitt acht Geräte mit ihrem Heimnetzwerk verbinden, darunter arbeitgeberseitig zur Verfügung gestellte Geräte, Privatgeräte, Elektrogeräte, Wearables und Gaming-Systeme, und dass durchschnittlich drei Personen in ihrem Haushalt Geräte mit demselben Netzwerk verbinden, wird deutlich, mit welchen Herausforderungen Sicherheitsverantwortliche konfrontiert sind.

Sich von zu Hause aus zu verbinden ist eine Sache – sich über Privatgeräte in einem überstrapazierten, für Verbraucher konzipierten Heimnetzwerk ganz ohne firmenseitige Sicherheitskontrollen zu verbinden hingegen eine völlig andere.

Diese Erkenntnisse machen deutlich, wie wenig Einblick Unternehmen in die Geschehnisse in ihren Umgebungen haben: 71 % der Sicherheitsverantwortlichen geben an, die Heimnetzwerke von Remote-Mitarbeitern nicht weitgehend oder vollständig überblicken zu können, und 64 % mangelt es an einem solchen Einblick in Geräte, die sich im Besitz von Remote-Mitarbeitern befinden. Erwartungen an die Privatsphäre von Mitarbeitern schränken den Einblick für Arbeitgeber in ein Heimnetzwerk naturgemäß ein. Dadurch wird klar, dass sich Sicherheitsmechanismen so nah wie möglich an den geschäftskritischen Daten und den Geräten, die für den Zugriff darauf verwendet werden, befinden müssen. Kurz gesagt: Wenn keine Kenntnis des Geräts und Netzwerks besteht, muss der Benutzerzugriff kontrolliert werden.

Die Herausforderungen mögen gewaltig erscheinen, doch der Weg in die Zukunft liegt auf der Hand. Unternehmen müssen überdenken, wie sie Risiken definieren, und dabei über Softwaremängel und Geräte-Compliance hinausblicken, um sich einen ganzheitlichen Überblick über ihre dynamischen und unterschiedlichen Umgebungen zu verschaffen. Sie müssen in adaptive Benutzer- und Daten-Risikoprofile investieren, um Angriffswege zu versperren, indem sie Fehlkonfigurationen in Active Directory und der Cloud berücksichtigen und die Sicherheit auf der Grundlage von veränderten Bedingungen, Verhaltensweisen oder Standorten erhöhen. Und sie müssen sich intensiv mit den Beschränkungen traditioneller, perimeterbasierter Sicherheitsarchitekturen auseinandersetzen und differenziertere Alternativen in Betracht ziehen, bei denen jeder Zugriffsversuch auf Unternehmensdaten auf sämtlichen Ebenen kontinuierlich überwacht und verifiziert wird – unabhängig davon, ob der Verbindungsversuch über ein Gerät, eine App, einen Benutzer oder ein Netzwerk erfolgt. Für manche Unternehmen könnte dies eine Auseinandersetzung mit den eigenen Cyberhygiene- und Schwachstellen-Management-Verfahren bedeuten. Anderen wiederum könnte es eine Gelegenheit zur Umstellung auf risikobasiertes Schwachstellen-Management sowie ein kontinuierliches Monitoring von Active Directory als Strategie zur wirksamen Versperrung von Angriffspfaden bieten. Und für die fortschrittlichsten Unternehmen könnten dies die ersten Schritte in Richtung Zero-Trust-Sicherheit sein.

Ganz gleich, für welchen Weg Sie sich entscheiden – die Studie macht eines deutlich: Geschäfts- und Sicherheitsverantwortliche müssen gemeinsam darauf hinarbeiten, neue Mittel und Wege zu finden, um sensible Daten in der neuen Arbeitswelt zu schützen.

Mehr erfahren

Verwandte Artikel

Aktuelles zum Thema Cybersecurity

Geben Sie Ihre E-Mail-Adresse ein, um zeitnahe Warnungen und Sicherheitsempfehlungen von den Experten bei Tenable zu erhalten.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Tenable Vulnerability Management Testversionen, die überall außer in den VAE erstellt werden, beinhalten auch Tenable Lumin und Tenable Web App Scanning.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

100 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Tenable Vulnerability Management Testversionen, die überall außer in den VAE erstellt werden, beinhalten auch Tenable Lumin und Tenable Web App Scanning.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

100 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Tenable Vulnerability Management Testversionen, die überall außer in den VAE erstellt werden, beinhalten auch Tenable Lumin und Tenable Web App Scanning.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

100 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable Web App Scanning testen

Profitieren Sie im Rahmen der Exposure-Management-Plattform Tenable One von unserem neuesten Angebot zum Scannen von Webanwendungen, das speziell für moderne Anwendungen entwickelt wurde. Scannen Sie auf sichere Weise Ihr gesamtes Online-Portfolio auf Schwachstellen – mit hoher Genauigkeit und ohne großen manuellen Aufwand oder Unterbrechung kritischer Web-Apps. Melden Sie sich jetzt an.

Ihre Testversion von Tenable Web App Scanning umfasst außerdem Tenable Vulnerability Management und Tenable Lumin.

Tenable Web App Scanning kaufen

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

5 FQDN

3.578,00 USD

Jetzt kaufen

Tenable Lumin testen

Mit Tenable Lumin können Sie Ihr Exposure-Management visualisieren und genauer untersuchen, die Risikoreduzierung im Zeitverlauf verfolgen und Benchmark-Vergleiche mit ähnlichen Unternehmen anstellen.

Ihre Testversion von Tenable Lumin umfasst außerdem Tenable Vulnerability Management und Tenable Web App Scanning.

Tenable Lumin kaufen

Kontaktieren Sie einen Vertriebsmitarbeiter, um zu erfahren, wie Tenable Lumin Sie dabei unterstützen kann, unternehmensweit Einblick zu gewinnen und Cyberrisiken zu managen.

Testen Sie Tenable Nessus Professional kostenlos

7 TAGE KOSTENLOS

Tenable Nessus ist derzeit der umfassendste Schwachstellen-Scanner auf dem Markt.

NEU - Tenable Nessus Expert
Jetzt verfügbar

Nessus Expert bietet noch mehr Funktionen, darunter das Scannen externer Angriffsflächen sowie die Möglichkeit, Domänen hinzuzufügen und die Cloud-Infrastruktur zu scannen. Klicken Sie hier, um Nessus Expert zu testen.

Füllen Sie das Formular unten aus, um mit einer Nessus Pro-Testversion fortzufahren.

Tenable Nessus Professional kaufen

Tenable Nessus ist derzeit der umfassendste Schwachstellen-Scanner auf dem Markt. Tenable Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Mehrjahreslizenz kaufen und sparen! Mit Advanced Support erhalten Sie rund um die Uhr, 365 Tage im Jahr Zugang zum Support – per Telefon, Chat und über die Community.

Lizenz auswählen

Mehrjahreslizenz kaufen und sparen!

Support und Training hinzufügen

Testen Sie Tenable Nessus Expert kostenlos

7 TAGE KOSTENLOS

Mit Nessus Expert, das für die moderne Angriffsfläche entwickelt wurde, erhalten Sie mehr Einblick und können Ihr Unternehmen vor Schwachstellen schützen – von der IT bis zur Cloud.

Sie haben Tenable Nessus Professional bereits?
Upgraden Sie auf Nessus Expert – 7 Tage kostenlos.

Tenable Nessus Expert kaufen

Mit Nessus Expert, das für die moderne Angriffsfläche entwickelt wurde, erhalten Sie mehr Einblick und können Ihr Unternehmen vor Schwachstellen schützen – von der IT bis zur Cloud.

Lizenz auswählen

Mehrjahreslizenz kaufen und noch mehr sparen!

Support und Training hinzufügen