Es gibt kaum einen Lebensbereich, den das Coronavirus nicht beeinflusst hat. Dass der gerade einmal 0,12–0,16 μm große Organismus auch zum Wegbereiter für seine digitalen Artgenossen und andere Angriffsmethoden von Cyberkriminellen werden würde, stand angesichts seines Schadenspotenzials für Gesundheit, Gesellschaft und Wirtschaft zu Anfang nicht im Fokus der Aufmerksamkeit. Doch nachdem aus zwei Wochen im „Home Office“ über 20 Monate geworden sind und Unternehmen wie Mitarbeiter sich zunehmend mit den Vorteilen des Remote- oder Hybrid-Arbeitens anfreunden, rücken die damit in Zusammenhang stehenden Cybersecurity-Herausforderungen auf der Agenda von IT- und Unternehmensentscheidern weit nach oben.
Remote Work: Von der kurzfristigen Notlösung zum größten IT-Trend 2022
Eine Bewertung der seit Beginn der Home Office-Zeit erfolgten Cyberattacken zeigt, dass die Hälfte der Angriffe schwerwiegende Folgen hat. Die Frage „Wie würden Sie den entstandenen materiellen Schaden für Ihr Unternehmen bewerten?“, die das Bundesministerium für Sicherheit und Informationstechnik (BSI) im Rahmen seiner repräsentativen Umfrage IT-Sicherheit im HOME-OFFICE stellte, beantworten 39 % der befragten Unternehmen mit „sehr oder eher schwer“, 11 % sogar mit „existenzbedrohend“. Das gilt vor allem für kleine Unternehmen mit drei bis 50 Beschäftigten.Großunternehmen (> 250 Mitarbeiter), die oft eigene IT-Abteilungen unterhalten, kamen am besten weg: Hier gab es keine existenzbedrohenden und nur 6 % als „sehr schwer“ eingestufte Schadensereignisse.
Trotz dieser Zahlen bescheinigen Experten dem Modell Heim- oder Hybridarbeit eine große Zukunft. Umfragen aus den USA legen nahe, dass zwischen 30 und 50 % der Mitarbeiter auch nach der Pandemie aus der Ferne arbeiten werden. Das BSI setzt den Anteil auf Basis seiner eigenen Umfrageergebnisse hierzulande sogar noch höher an. 58 % der befragten deutschen Unternehmen gaben an, das Angebot der Fern- oder Telearbeit auch nach der Pandemie aufrechterhalten oder ausweiten zu wollen. Die Behörde kommt aber auch zu dem Schluss, dass, obwohl Fernarbeit aktuell und zukünftig eine maßgebliche Rolle im Arbeitsalltag spielt, längst nicht genug technische und organisatorische Sicherheitsmaßnahmen getroffen werden, um das Einfallstor Home Office ausreichend gegen Cyberattacken zu schützen.
So wird Fernarbeit cybersicher: Technische und organisatorische Schutzmaßnahmen
Als besonders sicherheitsrelevant für das Home Office identifiziert das BSI die folgenden technischen Maßnahmen: Einrichtung eines Virtual Private Network (VPN), Verschlüsselung von Datenträgern, Multi-Faktor-Authentifizierung (MFA), Segmentierung und Absicherung von Netzen, Mobile Device Management (MDM). Mobile Endgeräte haben häufig eine Verbindung zum Firmennetzwerk, wenn Mitarbeiter etwa von unterwegs aus Mails, Anrufe oder Nachrichten beantworten oder an Videokonferenzen teilnehmen. Dennoch managen gerade einmal 38 % der Unternehmen die Sicherheit von Handy, Tablet & Co.
Bei der Einrichtung cybersicherer Remote-Arbeitsplätze spielen organisatorische Sicherheitsmaßnahmen eine ebenso große Rolle wie rein technische Lösungen. Dazu zählen der Aufbau einer Abteilung für IT-Sicherheit mit klaren Verantwortlichkeiten, sei es mit Hilfe interner Beauftragter oder externer Dienstleister, eine definierte Sicherheitsstrategie, ein funktionierendes Notfallmanagement und die Implementierung eines ISMS. Ein solches Information Security Management System definiert Regeln und Prozesse für Cybersicherheit und verfolgt einen Top-Down-Ansatz ausgehend von der Unternehmensführung.
Entscheidend ist der Faktor Mensch
Ganz oben auf der Prioritätenliste von Entscheidern und Sicherheitsverantwortlichen sollte jedoch die Sensibilisierung, Schulung und vor allem die Einbindung von Mitarbeitern stehen. Werden aus klassischen Büroarbeitern Heimarbeiter, müssen diese ein Stück weit auch zu Sicherheitsexperten werden – im eigenen und im Unternehmensinteresse.
Wie gelingt die Schaffung eines Bewusstseins für mit Fernarbeit verbundene Cyberrisiken und der Aufbau einer angemessenen Sicherheitskultur im Unternehmen? Im Folgenden zeigen wir auf, wie Sie gemeinsam mit ihren Mitarbeitern in wenigen Schritten für mehr Cybersicherheit im Home Office sorgen. IT-Expertise benötigen Sie für diesen Aspekt der Cybersicherheit nicht, wohl aber Fingerspitzengefühl und Empathie.
Mitarbeiter als Partner: Cybersicherheit ist auch eine Frage der Unternehmens- und Führungskultur
Die Geschäftsführung betrachtet Mitarbeiter im Hinblick auf Cybersecurity vermehrt als Risiko. Phishing-Mails sind ein häufiger Grund für Datenlecks, eine Phishing-Attacke ist jedoch nur erfolgreich, wenn jemand auf einen „bösen“ Link klickt. Im schlimmsten Fall sind Mitarbeiter in einem solchen Szenario „schuld“ an einer Cyberattacke und sehen sich mit einer Abmahnung oder gar Kündigung konfrontiert.
Nun braucht man keinen Abschluss in Verhaltenspsychologie, um zu erkennen, dass eine Denkweise, die Menschen vor allem als potenzielle Fehlerquelle sieht und ihnen Misstrauen statt Vertrauen entgegenbringt, weder gut fürs Betriebsklima noch erfolgversprechend in Bezug auf das Ziel – verbesserte Sicherheit im Home Office – ist. Wie bei anderen Führungsaufgaben gilt: Eine positive Identifikation mit dem Unternehmen und ein starkes Wir-Gefühl im Team erhöht das Engagement für den Unternehmenserfolg, und für den ist Sicherheit von enormer Bedeutung. „Cybersicherheit ist Chefsache“: Dieser Ansatz ist laut BSI-Umfrage erst in etwas mehr als der Hälfte der Unternehmen oberstes Prinzip. Er muss um den Leitgedanken ergänzt werden, dass Mitarbeiter bei der Umsetzung einer Sicherheitsstrategie Partner sind – und nicht der Feind.
Gefahr erkannt, Gefahr gebannt: Wissen schafft Sicherheit im Umgang mit Cyberrisiken
Herrscht eine Kultur des Misstrauens vor, entgehen Sicherheitsverantwortlichen im Zweifelsfall wichtige Hinweise auf Risiken. Wir haben die Erfahrung gemacht, dass Mitarbeiter aus Angst vor negativen Reaktionen und Sanktionen im Zweifelsfall eher eine verdächtige Mail löschen, als sich an Sicherheitsteams zu wenden. Wird stattdessen tatsächlich der sprichwörtliche „böse Link“ angeklickt, passiert das fast immer aus mangelnder Sensibilisierung oder aus Unsicherheit.
Laut BSI ist man in Deutschland in Sachen Mitarbeitersensibilisierung schon sehr weit. 81 % der Unternehmen schulen zum Thema Cybersicherheit. Ein richtiger und wichtiger Ansatz, denn Wissen ist nicht nur Macht, Wissen macht auch sicher: Menschen im Umgang mit neuen Herausforderungen und Risiken und damit die IT-Infrastruktur vor Cyberkriminellen. Indem Sie Ihren Leuten Tools für den Umgang mit Cyberrisiken an die Hand geben, stärken Sie sie. Noch besser und erst in 24 % der Unternehmen umgesetzt: Regelmäßige „Brandschutzübungen“, um den Schaden gering zu halten und die Geschäftskontinuität sicherzustellen.
Security Champions: Im Kampf gegen Cyberkriminelle die Nase vorn
Die Fähigkeit, auf sicherheitsrelevante Vorfälle schnell und konsequent zu reagieren, den Betrieb wiederherzustellen sowie die Auswirkungen solcher Ereignisse zu minimieren, wird zunehmend relevant für den Erfolg von Unternehmen. In Deutschland spiegelt sich das in der neuen Norm 200-4 des BSI für Business Continuity Management (BCM) wider. In diesem Zusammenhang müssen Ihre bestehenden Regeln und Prozesse für Datenschutz, Disaster Recovery und Backups auf den Prüfstand und bedürfen gegebenenfalls der Überarbeitung. Mit regelmäßigen Schulungen und Notfallübungen sorgen Sie dafür, dass Anpassungen überall ankommen.
Wie Sie Informationen teilen und die gesamte Belegschaft auf dem Laufenden halten, bleibt Ihnen überlassen. MongoDB arbeitet mit monatlichem Sicherheitsnewsletter, All-Hands-Meetings, Deep Dives, einer Wiki-Page und Slack-Channels. Die wichtigste Säule der während der Pandemie etablierten Sicherheitsstrategie ist jedoch das Security Champions-Programm. Mit seiner Hilfe gelang es, ein organisch gewachsenes Sicherheitsteam zu etablieren, mit dem sich Mitarbeiter identifizieren und an das sie sich bei Sicherheitsbedenken vertrauensvoll und ohne Scham oder Angst vor Sanktionen wenden.
Neue Sicherheitsexperten aus anderen Fachbereichen
Grundgedanke hinter dem Konzept ist, dass möglichst umfassende Sicherheit nicht allein durch die Vorgaben von IT- und Sicherheitsexperten zu erreichen ist, sondern alle Geschäftsbereiche durchdringen bzw. in Zeiten von Home Office jedes Endgerät erreichen muss. Best Practices müssen von ausnahmslos allen Mitarbeitern eingeübt und umgesetzt werden. Im Security Champions-Programm von MongoDB sind Repräsentanten unterschiedlichster Abteilungen vertreten, deren Hauptaufgaben etwa HR, Kommunikation oder Produktentwicklung sind.
Ziel ist es, die Bildung von „Informationssilos“ zu vermeiden und Sicherheitswissen zu teilen, das verschiedene Menschen in verschiedenen Arbeitsbereichen im Kontext ihrer konkreten Aufgabenstellungen und bisheriger „Lessons Learned“ erworben haben. Die Mitglieder des Sicherheitsteams tragen Wissen und Erfahrungen in das unternehmensweite Konzept, die nur von ihnen kommen können. Denn ein Datenschutzbeauftragter beherrscht DSGVO-Vorschriften, ein Techniker kennt sich etwa mit Verschlüsselung oder Identitätsmanagement aus. Nur ein Kundenberater erlebt aber etwa im Arbeitsalltag, welche Aufgaben dabei in konkreten Abläufen entstehen können, etwa, wenn externe Kundenvertreter auf Daten auf Unternehmensservern zugreifen müssen und entsprechende Freigaben benötigen.
Vertrauensverhältnis statt Angst, Kompetenzzentrum statt potenzielles Cyberrisiko: Alle profitieren und die Sicherheit profitiert vom Input aller
Damit wurde das Vertrauensthema erfolgreich adressiert. Teams haben nun einen Security-Ansprechpartner „aus den eigenen Reihen“ innerhalb des Security Champions-Programms. Die Erfahrung zeigt, dass die Hemmschwelle, sich – wenn man doch mal man auf den „bösen Link“ geklickt hat – an die eigenen Kollegen zu wenden, niedriger ist. Auch dahinter steckt keine komplexe Psychologie. Es kostet eben weniger Überwindung, potenziell heikle Themen mit jemand zu besprechen, mit dem durch Zusammenarbeit bereits ein Vertrauensverhältnis besteht, als mit einem Unbekannten. Die Champions fungieren so als Link zwischen den eigenen Fachkollegen und Geschäftsleitung, IT oder der Instanz, die die IT Security Governance im Unternehmen definiert. Es gibt klare Zuständigkeiten, und alle wissen, an wen sie sich im Fall des Falles wenden können.
Auch die Champions selbst erleben positive Effekte. Immer wieder hören wir, dass Unternehmen einen Mangel an Talenten im Bereich Cybersecurity beklagen. Die Lösung dafür kann nur darin bestehen, Leute in der bestehenden Belegschaft zu schulen. Die Security Champions-Mitglieder identifizieren sich mit der eigenen Fachabteilung ebenso wie mit ihrer Arbeit bei den Champions. Sie können konkret mitgestalten, entwickeln neue Kompetenzen, haben mehr Selbstvertrauen und steigern ihr Engagement.
Fazit und Ausblick
Es ist bekannt, dass hierarchiebedingtes Zurückhalten von Bedenken und Einwänden oder die Befürchtung von Sanktionen bis hin zum Jobverlust Katastrophen auslösen kann. Das gilt zum Beispiel für die Luftfahrt, wo die mangelnde Kontrolle des Kapitäns durch unterstellte Crewmitglieder wie Co-Pilot oder Bordingenieur noch bis in die neunziger Jahre immer wieder unfallursächlich war. Die heutige Arbeitsteilung im Cockpit sieht deshalb einen Piloten vor, der steuert, und einen, der andere Aufgaben wie die Kommunikation mit der Flugsicherung übernimmt sowie den Pilot Flying kontrolliert. Die Rollen können dabei wechseln – ein entscheidender Faktor zum Aufbrechen von Strukturen, die das Benennen und Beheben von Fehlentwicklungen behindern.
Bei den Security Champions übernehmen Fachkräfte anderer Abteilungen selbst Verantwortung für Anforderungen der Cybersicherheit, die im Home Office stetig steigen, und vollziehen so einen solchen Rollenwechsel. Das Arbeiten in Cloud-Umgebungen, die Zunahme von Zugriffspunkten, Ransomware-Attacken und Phishing Mails sind nur einige der sicherheitsrelevanten Themen, die Unternehmen und Mitarbeiter zu einer strikten Sicherheitsdisziplin zwingen. Wird diese von den Mitarbeitern selbst mitgetragen und verantwortet, steigt das Engagement messbar an. Durch das Vertrauensverhältnis zwischen Fachkollegen wurden bereits nach einer Programmlaufzeit von sechs Monaten mehr Bedenken und Vorfälle bekannt, was das Erkennen von Schwachstellen und die schnelle Eindämmung von Schadensereignissen erleichtert. In einigen Fällen entdeckten Mitarbeiter zudem ihr Interesse an Sicherheitsfragen und konnten als „Hidden Security Talents“ gewonnen werden. Im Ganzen trägt das vielen zuvor lästige Thema Cybersecurity durch eine abteilungsübergreifende Einheit sogar zur Teambildung und -stärkung bei – ein positiver Nebeneffekt einer gelebten Sicherheitskultur.
Lena Smart ist Chief Information Security Officer bei MongoDB und kam im März 2019 zum Unternehmen. Sie verfügt über mehr als 25 Jahre Erfahrung in der Sicherheitsbranche und hat diese Erfahrung genutzt, um MongoDB durch die Pandemie zu führen.