“Here to stay: Das Home-Office - Die Gefahren nachhaltig im Griff“

Manche wollen es schnellstmöglich verlassen, andere nie wieder darauf verzichten: Das Remote Working hat einen Großteil der deutschen Bevölkerung in der Pandemie begleitet. Wie sich die nahe Zukunft des Arbeitens gestalten wird und ob die Option für Arbeitnehmer dauerhaft erhalten bleibt, klärt sich aktuell auf Bundesebene. Neben den wirtschaftlichen Vor- und Nachteilen ist in Deutschland vor allem der Sicherheitsaspekt ein wichtiger Diskussionspunkt. Denn außerhalb des eigenen Firmennetzwerks mit zahllosen Endpunkten bieten sich mehr Angriffspunkte für Cyberkriminelle.

Als im März 2020 der erste Lockdown verkündet wurde, bedeutete das für IT-Teams in Unternehmen und Verwaltungen vor allem eines: Stress pur. Während mancherorts hybride Strukturen bereits etabliert waren, mussten diese in weiten Teilen der deutschen Unternehmenswelt aus dem Nichts heraus geschaffen und entsprechend eingerichtet werden. Dies führte aus der Natur der Sache heraus dazu, dass die Architekturen nicht vollständig durchdacht wurden – weil schlicht die Zeit dazu fehlte.

IT-Gefahrenlage spitzt sich zu

In den folgenden Monaten machte sich dies an einigen Stellen bemerkbar – ob an fehlenden Zugriffen, stockenden Verbindungen oder gar an Sicherheitsmängeln. Zu letzterem ist zu sagen, dass selbst in exzellent eingerichteten Infrastrukturen ein Anstieg an Cyber-Kriminalität verzeichnet wurde: Mehrere Umfragen kamen zu dem Ergebnis, dass sich Kriminelle auf die beschriebenen Schwachstellen stürzen und diese vulnerable Zeit zu ihrem Vorteil nutzen. Eine von Gigamon durchgeführte Studie zeigte, dass 84 Prozent der Befragten seit Beginn des Jahres 2020 eine Zunahme an Hacking-Angriffen festgestellt haben (1).

Aufgrund der sinkenden Inzidenzen könnte man nun annehmen, dass sich das Problem quasi in Luft auflöst. Doch die Rückkehr in die Büros wie zu Zeiten vor der Pandemie ist nicht garantiert: Zwar gibt es auf Arbeitnehmerseite zum einen diejenigen, die den heimischen Schreibtisch gar nicht schnell genug verlassen können. Andererseits ergab eine repräsentative Studie des Marktforschungsinstituts Civey, dass 33 Prozent der deutschen Arbeitnehmenden auch in Zukunft ein weniger häufiges Pendeln andenkt (2). Eine Untersuchung aus dem Mai 2021 von der Prüfungs- und Beratungsorganisation EY zeigte darüber hinaus, dass es für rund die Hälfte der Befragten sogar ein Kündigungsgrund wäre, wenn das Home-Office nicht weiterhin angeboten wird (3). Die jüngsten Studien zeigen folglich, dass sich das Modell „Home-Office“ voraussichtlich dauerhaft etablieren wird und es zu einem „Grundrecht für Schreibtischarbeiter“ kommen könnte. Das unterstreicht die Notwendigkeit einer wohlüberlegten, hybriden IT-Struktur.

Auch in Sachen Cyber-Sicherheit zeigt sich durch die Rücknahme der Beschränkungen bislang keine Erleichterung der zugespitzten Lage. Im Gegenteil wurde zuletzt großflächig über eine gezielte Attacke mutmaßlich russischer Hacker auf Konzerne über Landesgrenzen hinweg berichtet. All dies untermauert, dass mehr denn je gilt: IT-Sicherheit ist in der modernen Welt das A und O.

Security vs. Performance – eine Frage der Balance

Eine stete Schwierigkeit für IT-Sec-Teams in Unternehmen und Verwaltungen des Öffentlichen Dienstes ist es, das Gleichgewicht aus bestmöglichem Schutz auf der einen und bestmöglicher Performance auf der anderen Seite wahren zu müssen. Nicht jede Verbindung lässt sich unproblematisch in Watte verpacken, sprich: ohne, dass die Leistungsstärke zu stark darunter leidet. Es gilt daher, eine angemessene Balance zu finden, was schon für sich eine beträchtliche Herausforderung darstellt und durch Datenschutzvorgaben zusätzlich erschwert wird. Ein Punkt, der in Debatten rund um Cybersecurity dabei meist weniger im Vordergrund steht, ist, dass auch außerhalb der IT-Abteilung ein Verständnis im Unternehmen dafür erreicht werden muss, weshalb derartige Maßnahmen überhaupt nötig sind.

Ein Paradebeispiel dafür ist der Trend zu Zero Trust, einem Sicherheitskonzept, das mit Mehrfaktorauthentifizierung arbeitet. Diesem Framework eilt sein schlechter Ruf voraus: Durch das Motto “Never trust, always verify” kommt es darauf an, dass den Mitarbeitern bis in die Chefetage – die ja letztlich über die IT-Budgets entscheiden – bewusst ist, weshalb mehrfache Verifizierungsvorgänge einen entscheidenden Vorteil für die Sicherheit des gesamten Konzerns bieten. Auf den ersten Blick wirkt es, als würden diese Prozesse den Mitarbeiter zunächst an zügigem Zugriff zu seinem Arbeitsmaterial hindern und ihn somit in seiner Leistung einschränken. Wie die Studie von Gigamon belegt, ist tatsächlich das Gegenteil der Fall: 87% der Anwender stellten eine verbesserte Leistungsfähigkeit der Belegschaft fest. Auch zeigte die Untersuchung, dass sich das Image von Zero Trust bereits verbessert. Zero Trust ist jedoch bei Weitem nicht die einzige Lösung für verbesserten Schutz des Netzwerks über die Grenzen eines On-Site-Betriebes hinaus.

Sichtbarkeit entscheidet

Bevor es überhaupt zu einem Angriff kommt, sollte die IT-Abteilung wissen, was sich in ihrem Netzwerk als Data-in-Motion bewegt. Dies ist insbesondere in hybriden Strukturen keine leichte Aufgabe, in denen sämtliche Daten über Applications, Clouds und Data Center sowie andere komplexe Wege hinweg abgerufen, gespeichert und versendet werden. Die Nutzung dieser zahlreichen Gestaltungsoptionen bieten für sich überzeugende Vorteile, darunter die stete Abrufbarkeit aus jedem Home-Office, der Bahn oder einem Café hinaus. Allerdings erschwert dieser Zustand auch den Sicherheits- und Performance-Experten die Sichtbarkeit in den Traffic der Netze ungemein. Diese ist aber eine entscheidende Voraussetzung für die Erkennung von Schwachstellen bis hin zu Datenlecks im System. Denn nur mit umfassender Visibilität über das gesamt Hybrid-Cloud-Netzwerk hinweg ist es den NetOps- und InfoSec-Teams möglich, Gefahrenquellen frühzeitig zu entdecken und auszulöschen, bevor es zu einem großen Störfall kommt.

Eine solche Prävention hat auch den enormen Vorteil, dass die Kosten eines Hacks von vornherein umgangen werden können. Sind Unternehmen und Behörden bereit, in sinnvolle Infrastrukturen zu investieren, rechnet sich dies gerade im Schadensfall ungemein. Letztlich ist es statistisch gesehen leider keine Frage, ob die eigene Organisation wohl einem Angriff zum Opfer fallen könnte, sondern nur, wann dieser passiert. Die anschließende Frage lautet dann: Wie gut sind die Strukturen darauf vorbereitet?

Alle auf demselben Stand

Deshalb ist es von nicht zu unterschätzender Relevanz, dass die Entscheider im Betrieb ihren IT-Abteilungen zur Seite stehen. Zukünftige Arbeitsstrukturen müssen so früh wie möglich kommuniziert werden, damit diese entsprechend eingerichtet und gesichert werden können. Zudem sollten bestenfalls Budgets für Sicherheitstrainings mit sämtlichen Mitarbeitern eingeräumt werden. Diese regelmäßigen Schulungen sorgen dafür, dass alle für den – früher oder später eintretenden – Fall der Fälle mit dem nötigen Wissen ausgerüstet sind, um sich angemessen verhalten zu können. Denn auch, wenn es sich nicht schön anhört: Die größte Gefahrenquelle im Unternehmen ist und bleibt der Mensch, allen voran Arbeitnehmer, die nicht entsprechend angeleitet werden, um den korrekten Umgang mit Cybergefahren zu erlernen. Weil die Angreifer in ihren Attacken immer professioneller werden, sind diese selbst für Profis manchmal schwer zu erkennen, weshalb es wichtig ist, auf dem aktuellen Stand der Dinge zu bleiben und mit den Trends Schritt zu halten.

Insbesondere in Zeiten des weit verbreiteten Home-Office wird den Mitarbeitern ein beträchtlicher Teil an Eigenverantwortung für die Sicherheit des gesamten Netzwerks übertragen. Es wäre daher ein Fehler, nicht das gesamte Unternehmen auf dessen Schutz einzustimmen, damit Gefahren zu minimieren und sinnvoll ins Morgen zu investieren. Damit wird gleichzeitig der Arbeitsaufwand für die IT geringer: Wenn alle an Bord sind und darüber Bescheid wissen, was in welchem Szenario als nächsten Schritt zu tun ist, reduziert dies Anspannungen auf allen Seiten. Und auch die Entscheiderebene kann sich beruhigt zurücklehnen, dass im Störfall nicht der Worst Case zu befürchten ist.

Dass diese umfassende Unterstützung eher ein Idealfall ist und womöglich auch ein Wunsch bleiben muss, zeigen Untersuchungen, die nahelegen, dass IT-Budgets in naher Zukunft eher sinken als steigen werden, während sich der Fachkräftemangel weiter verschärft (4). Deshalb ist dieser Beitrag durchaus als Aufruf zu sehen: Als Security-Experte ist es nicht einfach, die Relevanz der eigenen Arbeit zu vermitteln. Häufig lernen Unternehmen erst die Notwendigkeit von Schutzmaßnahmen und guter Vorbereitung kennen, wenn dies zu spät ist, es also bereits zu einem Schaden kam. Dies ist aus psychologischer Sicht vollkommen verständlich, steht doch die Finanzabteilung ebenfalls unter permanentem Rechtfertigungsdruck. Allerdings sind die aktuell steigenden Zahlen auch als eine Chance zu sehen, um genau jetzt auf diese Ebene zuzugehen und Klarheit darüber zu schaffen, dass sich die Investition lohnt und unterm Strich rechnet: Prävention ist günstiger als Fehlerbehebung und monetäre Ressourcen in den wahrscheinlichsten Fall zu stecken keine sinnlose Geldanlage, sondern nachvollziehbar, sofern allen Beteiligten die Gefahrenlage bewusst ist. Sobald dies erreicht ist, kann das Netzwerk, so verzweigt es auch sein mag, überblickt und gesichert werden, sodass Angreifer auffliegen und kaum noch Chancen haben – weder im Home-Office noch sonst wo.

Autor:

Olaf Dünnweller ist Senior Sales Director EMEA Central bei Gigamon, dem ersten Unternehmen, das eine ganzheitliche Visibilität und Analyse aller Data-in-Motion ermöglicht – von Roh- bis hin zu Anwendungsdatenpaketen und über hybride Cloud-Infrastrukturen hinweg. In seiner Position treibt er den Ausbau des Partner-Netzwerks in der DACH-Region voran, leitet das lokale Sales-Team und berät Key Accounts im Public und Enterprise Sektor, wie sie den ROI ihrer IT-Ausgaben erhöhen können. Olaf Dünnweller verfügt über 20 Jahre Erfahrung im IT-Bereich.

Quellen: