Hybrides Arbeiten liegt stark im Trend. Demnach befassen sich Arbeitgeber mehr und mehr mit dem Thema einer „hybriden Belegschaft“. Dabei ist vor allem das Thema Endpunkt-Sicherheit wichtig, denn schliesslich kann die Arbeit im Homeoffice ein erhöhtes Risiko darstellen. Securityanbieter Blackberry erläutert in drei Punkten, worauf es bei der Cyber-Sicherheit in einem hybriden Arbeitsumfeld ankommt.
Aktuelle Studien von AT&T zeigen, dass 35 Prozent der Befragten ihre vom Arbeitgeber zur Verfügung gestellten Geräte (Endpunkte) mit Smart-Home-Geräten koppeln. Dies erhöht die Wahrscheinlichkeit eines Angriffs. Zu den beliebtesten vernetzten Heimgeräten gehören Sprachassistenten und intelligente Lautsprecher (jeweils 14 Prozent) sowie intelligente Beleuchtung (12 Prozent). Aus demselben AT&T-Bericht geht hervor, dass jeder fünfte Mitarbeiter (20 Prozent) nicht dazu motiviert werden kann, sich über Cyber-Sicherheitsrisiken Gedanken zu machen. Darin offenbart sich ein tiefsitzendes und grosses Problem: Das Risiko, dass Mitarbeiter, die auf Endgeräte angewiesen sind, Opfer von Cyber-Attacken werden, steigt. Daher kann es sich kein Unternehmen leisten, diese Gruppe von Beschäftigten zu ignorieren. Vor allem in Anbetracht der Zahlen des Bundeskriminalamtes, aus denen hervorgeht, dass die Online-Kriminalität in Deutschland seit Jahren steigt. Wie kann ein Unternehmen also seine Technologie, seine Endgeräte und seine Mitarbeiter trotz fehlendem Sicherheitsbewusstsein schützen? Ulf Baltin, Managing Director DACH bei Blackberry gibt eine Reihe von praktischen Tipps.
1. Optimales Cyber-Wissen
Es ist nicht ungewöhnlich, dass Mitarbeiter nicht autorisierte Software oder Dienste nutzen, um ihre Aufgaben zu erledigen. Indem sie Umgehungslösungen oder „Schatten-IT-Software“ verwenden, haben die Beschäftigten oft das Gefühl, produktiver zu sein. Das liegt daran, dass eine solche Arbeitsweise für den durchschnittlichen Mitarbeiter einfacher ist als der vorgeschriebene Ansatz. Ursachen für dieses Problem in Unternehmen und staatlichen Einrichtungen sind hauptsächlich veraltete Systeme. Erschwerend kommen Sicherheitsmassnahmen, bei denen Benutzerfreundlichkeit auf der Strecke bleibt, hinzu. In der Mehrzahl der Fälle sind Hacks die Folge menschlicher Fehler. Vor allem, wenn Mitarbeiter nicht wissen, was sie in Bezug auf Cyber-Sicherheit tun oder lassen sollten, birgt das grosse Risiken. Unternehmen und Institutionen sollten deshalb Sorge tragen, dass alle Mitarbeiter über die richtigen Vorgehensweisen und die Konsequenzen von riskantem digitalem Verhalten informiert sind. Auf diese Weise werden sie für die Bedrohungslage sensibilisiert – und auch die grössten Skeptiker können erkennen, dass die Lage ernst ist.
2. Zero Trust
Eine Methode, um interne und externe Personalakten einfach zu sichern, ist der Zero-Trust-Ansatz für den Zugriff auf Geschäftsdateien. Damit lassen sich Geräte und Technologien angemessen schützen. Wie der Name schon sagt, wird jedwedem Anmeldeversuch zunächst null Vertrauen entgegengebracht. Mehrere Authentifizierungsfaktoren, wie z. B. Standortdaten, sind erforderlich, damit ein Benutzer den Zugriff auf das Unternehmensnetzwerk erhält. Im Hintergrund findet eine kontinuierliche Bewertung des Sicherheitsrisikos statt, sodass Unternehmen und ihre Mitarbeiter durchweg geschützt sind. Die Idee hinter Zero Trust ist einfach: Alles, was mit Unternehmensdaten kommunizieren will, muss zunächst als vertrauenswürdig eingestuft werden. Standardmässig beginnt alles mit einer Zuverlässigkeitsbewertung von Null. Je nachdem wie die Interaktionen zwischen der Unternehmensinfrastruktur und einem externen Gerät verlaufen, steigt oder sinkt die Vertrauensstufe. Die Häufigkeit des Zugriffs auf ein Gerät ändert sich in Echtzeit, zusammen mit seiner Vertrauensbewertung. Zero Trust-Sicherheitsprinzipien sind der sicherste Weg, um Mitarbeitern einen standortunabhängigen Zugriff auf Dateien und Produktivitätssoftware zu ermöglichen. Zero Trust-Lösungen, die maschinelles Lernen (ML) und prädiktive künstliche Intelligenz (KI) nutzen, können auch Angriffe blockieren und dynamisch angepasste Sicherheitsrichtlinien durchsetzen. So lässt sich damit das Unternehmensnetzwerk erfolgreich vor menschlichen Fehlern und gut gemeinten, aber fehlgeleiteten Sicherheitsmassnahmen schützen.
3. Zero Touch
Der Zero Trust-Ansatz löst das Sicherheitsproblem, wenn privat genutzte Technologie mit Arbeitsgeräten verbunden wird. Doch die Gefahr menschlicher Fehler muss auch behoben werden. Wie können Unternehmen also eine sichere, produktive und benutzerfreundliche Umgebung schaffen? Und wie lassen sich dabei die 20 Prozent der Beschäftigten, die nicht für Cyber-Sicherheitsrisiken sensibilisiert werden können, schützen, ohne dass ihre aktive Mitarbeit erforderlich ist? Die Antwort hierauf gibt der Zero-Touch-Ansatz für Cyber-Sicherheit. Zero Touch ermöglicht den Benutzern einen sofortigen Zugriff auf ihre Dateien, ohne dass viele Zwischenschritte erforderlich sind. Mitarbeiter können so ihre Arbeit ohne Zeitverzögerungen erledigen, weil sie keine Passwörter eingeben, spezielle Berechtigungen anfordern oder sich mehrfach authentifizieren müssen. Dadurch sind sie weniger geneigt, nach unsicheren Alternativlösungen zu suchen. Wenn es – wie mit Zero Touch – keine zusätzlichen, zeitraubenden Sicherheitsroutinen für die Benutzer gibt, spielt es keine Rolle, wenn einer von fünf Mitarbeitern die neuen Sicherheitsmassnahmen ignoriert, denn sie werden komplett in den Arbeitsablauf integriert. Das Endergebnis: Die Infrastruktur des Unternehmens ist durchgehend gesichert, während die Produktivität der Mitarbeiter nicht beeinträchtigt wird. Es heisst oft, dass Passwörter eine ungenügende Massnahme für die Online-Sicherheit sind, weil viele Nutzer unsichere oder leicht zu knackende Passwörter verwenden. Statt den Usern dazu zu raten, kompliziertere, komplexere Passwörter zu verwenden, sollten IT-Teams auf fortschrittliche KI, kontinuierliche Authentifizierung und einen robusten TCP/IP-Stack setzen. Sicherheits-Ansätze wie Zero Trust und Zero Trust können dies leisten. Auf diese Weise können sie sichere Interaktionen ermöglichen, die die Nutzer bei den ersten Anzeichen eines Cyber-Angriffs schützen.