New Work – was das für die Cybersecurity bedeutet

Der klassische Nine-to-five-Job mit dauerhafter Präsenz im Büro ist in vielen Branchen flexibleren Ansätzen gewichen. Fachkräfte sind Mangelware, deshalb haben die meisten Arbeitgeber erkannt, dass sie den Wünschen ihrer Mitarbeiter und Bewerbern stärker entgegenkommen müssen. Denn diese können durch orts- und zeitunabhängiges Arbeiten Beruf und Privatleben viel besser in Einklang bringen. Mit digitalen Kollaborationstools stellt Teamarbeit über Zeit- und Ortsgrenzen hinweg kein Problem dar, aber sie müssen sicher sein. Die vielfältige Vernetzung bietet nämlich gerade Cyberkriminellen ganz neue Angriffsflächen. Unternehmen müssen ihre Sicherheitsstrategie entsprechend anpassen.

Wie stark sich die digitale Kommunikation verändert hat, zeigt eine repräsentative Umfrage von 1.102 Unternehmen durch den Branchenverband Bitkom[1]. Danach sind Videokonferenzen mittlerweile bei 72 Prozent der Firmen Alltag. 2018 waren es lediglich 48 Prozent. Kollaborationstools verzeichneten derweil einen Anstieg auf 40 Prozent. Eine weitere Befragung[2]  von 1.500 Erwerbstätigen ergab, dass die Hälfte von ihnen vollständig oder teilweise im Homeoffice beziehungsweise mobil arbeitet. 71 Prozent finden, dass Homeoffice noch viel stärker genutzt werden sollte. New Work, wie alle Formen des flexiblen Arbeitens genannt werden, ist also gekommen, um zu bleiben. Unternehmen müssen sich darauf einstellen und vor allem verhindern, dass es Einfallstore für Schadsoftware gibt.

Wie Schadsoftware ins Netzwerk gelangt – und wie man sich vor ihr schützen kann

Die meisten sicherheitskritischen Vorfälle bei flexibler Arbeit lassen sich folgenden drei Kategorien zuordnen:

• Nutzung unsicherer Tools

Videokonferenzen sind praktisch, Messenger komfortabel und Kollaborationstools nützlich. Außerdem gibt es eine Vielzahl an Anbietern solcher Tools, die für jeden Zweck die passende Software im Portfolio haben. Ihre Sicherheit wird allerdings meistens nicht so genau überprüft. Dass bei privater Kommunikation von vielen Usern noch in Kauf genommen wird, dass ihre Daten möglicherweise weiterverwendet werden oder nicht ausreichend geschützt sind, ist schlimm genug. Für Unternehmen zählt Datenschutz aber zum absoluten Pflichtprogramm. Stolperfallen liegen nicht nur in nachlässig programmierter Software. Auch kann die Nutzung solcher Tools beispielsweise gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen, wenn die Anbieter ihre Rechenzentren außerhalb der EU betreiben.

Das hilft:

Zunächst gilt es, ein Bewusstsein für das Problem zu entwickeln. Software, die im Firmenkontext zum Einsatz kommen soll, muss auf Sicherheit und DSGVO-Konformität hin geprüft werden. Die Nutzung unsicherer Tools sollte im Betrieb ausdrücklich verboten sein. Hierbei helfen auch Compliance-Richtlinien – sie helfen den Beschäftigten bei der Frage, was erlaubt ist und was nicht. 
 

• Nutzung unsicherer Geräte oder Verbindungen

Nicht jeder Mitarbeiter erhält für das Homeoffice einen von der IT abgesicherten Laptop. Und selbst wenn: Im Zeitalter von Smartphones, Tablets und vielen weiteren Netzwerkgeräten lässt sich kaum gewährleisten, dass die IT immer genau weiß, welche Geräte sich im Firmennetz befinden. Außerdem ist BYOD praktisch. Die Abkürzung steht für „Bring Your Own Device“ und bedeutet, dass Angestellte auch mit ihren eigenen Geräten arbeiten können. Wie sicher sie sind? Das liegt nicht zuletzt in der Verantwortung ihrer Nutzer, die aber oftmals keine IT-Experten sind.

Das hilft:

VPN-Verbindungen zählen in vielen Unternehmen bereits zum Standardprogramm. VPN steht für „Virtuelles Privates Netzwerk“. Dieser Service fungiert sozusagen als Tunnel für die Datenverbindung: Sie wird verschlüsselt und ist von außen nicht einsehbar. Allerdings muss der VPN-Anbieter vertrauenswürdig sein, wenn der Datenverkehr über seine Rechner läuft. Eine wichtige Rolle spielt zudem, starke Authentifizierungslösungen zu implementieren. So sollte sich jeder Mitarbeiter über mindestens zwei verschiedene Berechtigungsnachweise wie eine PIN und einen SMS-Code identifizieren. Konzepte wie Zero Trust schränken außerdem den Zugriff auf die Ressourcen des Firmennetzwerks auf das Nötigste ein. Die Nutzung sicherer Clouddienste sollte heutzutage ohnehin eine Selbstverständlichkeit sein. 

TIPP: Das BSI hat einen kostenfreien zwölfseitigen Leitfaden mit Empfehlungen zum sicheren mobilen Arbeiten im Homeoffice veröffentlicht. Er kann hier[3]  heruntergeladen werden.

• Nachlässigkeit

Im Garten, im Park oder am viel zitierten Küchentisch: Angestellte lassen sich zu Hause oder unterwegs oft leichter ablenken, weil es mehr Reize von außen gibt. Zu Hause besteht außerdem die Gefahr, dass die Sicherheit und die Vertrautheit der eigenen vier Wände zu einem nachlässigen Verhalten verführen. Dabei genügt ein Klick auf einen „falschen“ E-Mail-Anhang, schon ist der Schaden da.

Das hilft:

Verhaltensregeln können das Bewusstsein schärfen. Doch außerhalb des Unternehmens lässt sich nur schwer überwachen, ob sie eingehalten werden. Außerdem neigen Menschen dazu, sie nicht immer ernst zu nehmen, wenn sie ihnen nicht einleuchten. Deshalb empfiehlt es sich, die Belegschaft regelmäßig zu schulen. Zum einen werden die Menschen so für potenzielle Gefahren sensibilisiert und lernen, wie sie auf sie reagieren sollten. Zum anderen kennen sie dann die neuesten Maschen der Angreifer.

Warum Unternehmen zusätzliche Absicherung brauchen

Wer sich an die oben genannten Empfehlungen hält, darf sich schon ziemlich sicher fühlen. Es gibt aber noch mehr, was Firmen tun können (und sollten!), um ein möglichst hohes Schutzniveau zu gewährleisten. Punktgenaue Einzelmaßnahmen sind zwar gut, reichen aber nicht aus. Mit einer ergänzenden, modular aus der Cloud stammenden Security-Software gelingt es, die elektronische Kommunikation ortsunabhängig und flexibel abzusichern. Im Rahmen einer Mimecast-Befragung[4]  von 201 Unternehmen wurde sie sogar als wichtigste Maßnahme zum sicheren Betrieb von Kollaborationstools identifiziert.

Viele Anbieter von Konferenz- und Kollaborationstools bieten beispielsweise Premiumversionen ihrer Produkte mit einem höheren Schutzniveau an, als dies die Basissoftware hat. Trotzdem sollten Unternehmen prüfen, ob sie auch die eigenen Sicherheitsstandards einhalten. Das gilt hinsichtlich der DSGVO insbesondere dann, wenn der Anbieter seinen Sitz außerhalb der EU hat. Es ist sinnvoll, für eine zusätzliche Sicherheitsschicht zu sorgen, wenn das Angebot der üblichen Kollaborationstool-Anbieter für die Sicherheitsanforderungen nicht ausreicht.

Warum Unternehmen frühzeitig an später denken sollten

Sinnvoll ist es, alle Beteiligten zu sensibilisieren und zu schulen. Mimecast unterstützt Sie dabei mit Security-Awareness-Trainings[5] , E-Mail-Sicherheitsdiensten [6] und einer ganzen Reihe weiterer Services. Wir informieren Sie gerne!

[1]https://www.bitkom.org/sites/main/files/2022-06/Studienbericht_Digital_Office_Index_22.pdf

 [2]https://www.bitkom.org/Presse/Presseinformation/New-Work-Haelfte-arbeitet-im-Homeoffice

[3]https://www.bmi.bund.de/SharedDocs/downloads/DE/veroeffentlichungen/2020/corona/bsi-empfehlungen-home-office.pdf?__blob=publicationFile&v=3

 [4]https://www.mimecast.com/de/resources/analyst-reports/secure-collaboration-in-dach/

 [5]https://www.mimecast.com/de/solutions/employee-cyber-awareness-training/

 [6]https://www.mimecast.com/de/solutions/email-security/