Beitrag teilen

Link in die Zwischenablage kopieren

Link kopieren
Suchfunktion schließen
Technologie > Interview

Alptraum der Administratoren

Nirgends haben es Cyberkriminelle leichter als im Homeoffice. Zu viele Unternehmen behandeln die IT-Sicherheit ihrer Mitarbeiter stiefmütterlich, sagt Thorsten Urbanski, Kommunikationschef beim IT-Sicherheitshersteller ESET.

Zur Person

Thorsten Urbanski verantwortet den Kommunikationsbereich in der DACH-Region beim europäischen IT-Sicherheitshersteller ESET und leitet unter anderem die TeleTrust-Arbeitsgruppen "IT-Security made in EU" und "Mobile Security".

Herr Urbanski, gut ein Viertel der Arbeitnehmer leistet seinen Dienst inzwischen aus dem Homeoffice. Da wird bekanntlich oft improvisiert. Wie gut haben mittelständische Unternehmen IT- Sicherheit im Homeoffice auf dem Radar?

Die steckt leider immer noch bei vielen kleinen und mittelgroßen Organisationen in den Kinderschuhen. Eine von uns im vergangenen Jahr durchgeführte repräsentative Studie hat immense Lücken aufgedeckt. Nicht einmal die Hälfte der befragten Firmen in Deutschland lassen ihre Mitarbeiter über eine sichere VPN-Verbindung auf Firmen-Server zugreifen (44 Prozent). Dabei beobachten wir immer mehr gezielte Angriffe auf schlecht abgesicherte Homeoffice Arbeitsplätze. Besonders riskant handeln Unternehmen, die ihren Mitarbeitern den Zugang über ihre privaten Rechner ermöglichen. Diese Schatten-IT macht die Infrastruktur für Cyberkriminelle offen wie ein Scheunentor.

Was lief bei Großunternehmen besser?

Die hatten bereits ab Ende Januar damit begonnen, ihre Organisation auf einen möglichen Lockdown vorzubereiten. So wurde die erforderliche Hardware und Infrastruktur frühzeitig beschafft und die Prozesse umgestellt. Zugegeben, das hat zwar auch nicht immer reibungslos funktioniert – aber in Großunternehmen waren elementare IT-Security-Standards und Technologien, die ein sicheres Homeoffice ermöglichen, bereits vorher vorhanden. Ebenso verfügen Großunternehmen über eigene IT-Security-Teams, die sich ausschließlich mit der Cyber-Abwehr beschäftigen.

Welche Fehler machen viele KMUs bei der IT-Sicherheit genau?

Beispielsweise ist ein erschreckendes Bild bei der Absicherung des Zugangs zu beobachten. Passwörter werden immer noch als das Allheilmittel angesehen. Wie ich finde, zu Unrecht, denn es kommt häufig zu einer Vermischung von privaten und beruflichen Passwörtern. Jeder IT-Security-Verantwortliche sollte zudem darüber nachdenken, wie viele Zahlenkombinationen und Passwörter sich ein Mitarbeiter merken muss und wie hoch die Wahrscheinlichkeit ist, dass jeder Mitarbeiter nur ein starkes Passwort für einen Dienst nutzt.

Was ist die Lösung?

Für Administratoren ist es ein Albtraum, wenn sich jemand in das Netzwerk einloggt, aber dessen Identität nicht eindeutig geklärt ist. Unternehmen sollten auf eine Multi-Faktor-Authentifizierung setzen. Der Einsatz derartiger Lösungen ist kein Hexenwerk und vor allem sehr komfortabel für die Nutzer. Passwörter sollten hier endlich ausgedient haben. Aber erst bei 29 Prozent der Unternehmen kommen Zwei-Faktor-Authentifizierungs-Lösungen für eine zusätzliche Absicherung zum Einsatz. Dabei ist das Ausrollen einer derartigen Lösung bei mittelständischen Unternehmen innerhalb einer Mittagspause erledigt.

Das klingt fast zu schön, um wahr zu sein. Wie funktioniert dieser Prozess?

Beispielsweise erhalten die Mitarbeiter zur Authentifizierung auf ihrem Smartphone oder ihrer Smartwatch in einer geschützten APP einen Einmalcode für die Anmeldung am Firmennetzwerk bzw. Dienst oder die Webcam kann zur Legitimation eingesetzt werden. Alternativ kann ein Fingerabdruck per Stick eingelesen werden. Empfehlenswert ist eine Lösung, die den Fido 2 Standard / USB-Sticks erfüllt.

Und was gilt für die privaten PCs, Notebooks, Laptops, iPads im Homeoffice, auf denen jetzt viele arbeiten?

Die effektive Absicherung von Heimarbeitsplätzen wird durch den Einsatz privater Devices zusätzlich erschwert - denn: IT-Abteilungen haben kaum einen Einfluss auf die Sicherheitsstandards dieser Rechner und bekommen nicht mit, wenn die "externe Infrastruktur" angegriffen wird. Zudem ist es kaum abschätzbar, ob diese PCs nicht hochgradig mit Malware infiziert sind und nicht bereits als sogenannte Zombie-PCs von Cyber-Angreifern übernommen wurden und ferngesteuert werden. Das sind unkalkulierbare tickende Zeitbomben, die garantiert hochgehen. Nur ist es dann für viele Unternehmen zu spät, um noch reagieren oder sich vor Angreifern schützen zu können. Daher haben private Computer als Arbeitsgeräte im Homeoffice definitiv nichts verloren.

Wie hoch ist der finanzielle Aufwand dafür - und der organisatorische?

Viele Unternehmen geben im Monat mehr Geld für kostenlosen Kaffee aus. Dabei muss das monatliche Investitionsvolumen für eine zeitgemäße Absicherung nicht als umgerechnet drei bis fünf Euro im Monat pro User sein. Und dabei sprechen wir nicht von einem Basis-Schutz-Level, sondern um umfassende Lösungen und Technologien, die u.a. einen Endpoint-Schutz, Cloud-Sandboxing, Ransomware-Abwehr, Datenverschlüsselung und die Absicherung der Mail-Postfächer umfassen.

Was sind die wichtigsten Stellschrauben, auf die Unternehmen achten sollten?

Unternehmen müssen das Thema IT-Security als permanenten Prozess verstehen, der sich an verändernde Gefahrenpotentiale anpassen muss. Dafür ist es wichtig die Ausgangslage und sich verändernde Parameter genau zu erfassen. Konkret heißt das: Die eigene Situation sollte erst umfassend analysiert werden, um daraus den notwendigen Bedarf und das passgenaue Schutzniveau zu bestimmen. Das sollte idealerweise regelmäßig erfolgen, um neue Schwachstellen frühzeitig zu erkennen und mit entsprechende Maßnahmen und IT-Security-Technologien und -Lösungen zu schließen.

Kleine Unternehmen haben aber selten eine so spezialisierte eigene IT-Abteilung.

Dafür gibt es ja spezialisierte Systemhäuser. Da kann man die Absicherung der eigenen IT-Infrastruktur per Managed Service in die Hände von Spezialisten legen. Das ist gerade für Unternehmen mit geringen IT-Security-Ressourcen eine sehr gute Option.

Und wie ist die rechtliche Lage bei der IT-Sicherheit im Homeoffice?

DSGVO- konforme Homeoffice-Arbeitsplätze sind eher die Ausnahme als die Regel. Dabei ist die EU-Datenschutzgrundverordnung nicht wegen der aktuellen Situation durch die Corona-Pandemie ausgesetzt. Hier gilt es die gleichen Schutzniveaus wie im betrieblichen Umfeld aufzubauen. Der Stand der Technik – wie in der Verordnung gefordert – analog zum angemessen Schutzniveau ist auch hier entscheidend. Ansonsten kann das auch im Nachgang, gerade wenn personenbezogene Daten verarbeitet werden, für Unternehmen, die ihre Daten, die der Kunden oder Zulieferer nicht ausreichend schützen, noch sehr teuer werden.

Ähnliche Artikel