Die ewige Frage nach der richtigen Anbindung!

Seit nunmehr 15 Monaten hält die Covid 19 Pandemie uns in Atem und schränkt unser tägliches Leben bis heute ein. Ein Lockdown nach dem anderen fegt über uns hinweg und ein Ende ist nach unserer Meinung nicht in Sicht. Die Herausforderungen werden aus diesem Grund für alle nicht leichter, sondern komplexer werden, besonders für Unternehmen. Was in der Vergangenheit das Pendeln, anreisen oder einfach gesagt der Gang ins Office war, wurde durch die Pandemie vehement in Frage gestellt. Plötzlich war das ungeliebte und in Unternehmen unterdrückte Thema „Home-Office“ real und es wurde fieberhaft nach Lösungen gesucht, wie sich die Mitarbeiter mit der Firma verbinden und somit eine Art „Tätigkeitskontrolle“ wieder hergestellt werden kann. Wie vielen mittlerweile teilweise schmerzlich bekannt ist, gibt es viele Möglichkeiten der Anbindung, jedoch auch einige auf Kosten der Sicherheit.

Bei Gesprächen mit bekannten Geschäftsführern, Unternehmern und Freunden über das „Home-Office“ Thema war das Ergebnis sehr interessant. An erster Stelle stand mit Nichten die sichere Anbindung, sondern es musste der bevorstehende und gedachte Kontrollverlust der Mitarbeiter verhindert werden. Hierfür wurden, wenn nicht schon vorhanden, schnellstmöglich Webkonferenz-Lizenzen bei allen bekannten Herstellern bestellt oder nachlizensiert. Ob diese Webkonferenz Anbieter secure sind oder nicht, spielte erstmals und übrigens bis heute, keine Rolle, obwohl z. B. über eine halbe Million Menschen allein im Zeitraum März bis Juni 2020 von Cyberangriffen betroffen waren. Plötzlich waren Benutzerdaten wie deren Namen und Passwörter im Dark-Web zu kaufen. Aus dem sogenannten Kontrollverlust wurde dann schnell ein teurer Datenverlust.

Angesprochen auf das Thema Hardwarebereitstellung mit der jeweiligen Cyber Security-Software, um ein sicheres Arbeiten im Home-Office für Mitarbeiter zu garantieren, bekam ich nur eine zögerliche Auskunft, denn bei vielen waren dies zusätzlichen IT-Ausgaben nicht budgetiert worden. Warum auch, es konnte niemand vorhersehen, so die fast einstimmige Aussage. Bei einigen, die Größe des Unternehmens spielte keine Rolle, kam die Antwort, dass zuerst die Anbindung der privaten Rechner via VPN an das Unternehmen sichergestellt werden muss und danach sukzessive die Mitarbeiter Firmen-Notebooks erhalten. Einige versicherten mir, Erfahrungen mit der Anbindung von „BYOD“ zu haben. Ach ja? Ich habe mich gefragt, was weiß der Administrator von den privaten Rechnern seiner Kollegen*innen / Mitarbeiter*innen, die im Home-Office sitzen? In der Regel weiß er weder, ob die Mitarbeiter privat eine Antivieren-Software aufgespielt haben, oder ob diese die alleinigen User sind, usw. Dann stellt sich doch die Frage, wie will er dann einen „sicheren Zugang“ zum Unternehmen herstellen? Jeder Administrator weiß, dass die im Home-Office sitzenden Mitarbeiter ein gefundenes Fressen für Cyber-Kriminelle sind. Ahnungslos, da interessiert, gehen sie allen Informationen über die Pandemie im Web nach, um immer „richtig“ und am schnellsten informiert zu sein. Die Anzahl von „gefakten“ Covid-Webseiten nahm drastisch zu und somit auch die gezielten Angriffe auf die Home-Office User, die damit einfacher ins Firmennetzwerke eindrangen, wie die Zahlen von Statistica aufzeigen. Eine weltweit durchgeführte Umfrage aus dem Jahr 2021 ergab, dass in den letzten vergangenen 12 Monaten 46% der befragten deutschen Unternehmen mindestens einmal Opfer von Cyber-Attacken geworden sind. Grundsätzlich ist festzustellen, dass es bei einigen der Unternehmenslenker oder Firmeninhaber noch nicht angekommen ist, dass sie die obersten Security-Beauftragte sein müssen und Sorge tragen, Schaden von Ihren Firmen abzuwehren.

Mit diesen Informationen, die nur einen kleinen Teil der vielen Geschehnissen der letzten Monate darstellt, wäre es doch sinnig über mehrere Punkte für eine sichere Anbindung der Mitarbeiter, egal wo sie sich befinden, oder aus welcher Zeitzone sie kommen, nachzudenken.

  1. Zuallererst sollte die Frage gestellt werden, was benötigt die Mitarbeiter, um sicher im Home-Office überhaupt arbeiten zu können? Wie schon geschrieben, sind von der Firma gestellte Hardware und Softwarekomponenten, ratsam. Den Preis, der bei einem Cyberangriff bezahlt werden muss, ist um ein Vielfaches höher.
  2. Des Weiteren, auf welche internen Softwaresysteme muss der Mitarbeiter zwingend zugreifen? Müssen Systeme im Unternehmen angesprochen werden (on premise), oder können diese in die Cloud ausgelagert werden? Durch den Cloud Trend in Deutschland kann eine Empfehlung ausgesprochen werden.
  3. Aufgrund der digitalen Wüste in Deutschland, kann nicht immer davon ausgegangen werden, dass beim Home-Office User genügend Bandbreite anliegt, deshalb sollten Alternativen, nach den internen Security Polices, analysiert und bewertet werden. Eine Lösung könnte das lokale Arbeiten mit den Daten sein, setzt jedoch ein großes Vertrauen in die Mitarbeiter voraus. Um die Versuchung des Datendiebstahls erst gar nicht aufkommen zu lassen, empfiehlt sich das Arbeiten über einen Terminalserver. Hier kann der Zugriff auf lokale Datenträger und das Drucken von Daten verhindert werden. Nicht immer kommt der Kriminelle von außen, deshalb erst gar nicht den Mitarbeiter in Versuchung führen. Zusammengefasst heißt das, das der Administrator dafür Sorge zu tragen hat, das so wenig wie möglich, jedoch ausreichend Daten das Firmennetz verlassen, um mit Ihnen von außen arbeiten zu können.
  4. Bevor sie ihre Mitarbeiter in ihr „Home-Office“ entlassen, sollten sie vorher einem Awareness-Training oder generellem Security-Training unterzogen werden. Je sensibler Mitarbeiter auf die Security Bedrohungen aufmerksam gemacht werden, desto weniger laufen sie Gefahr, durch Unwissenheit und Neugierde, Cyber-Kriminellen Tür und Tor zur Firma zu öffnen.
  5. Nachdem klar geworden ist, welche Hardware und Security Software benötigt wird und wer auf welche Daten von wo zugreifen darf, heißt es jetzt, wie sichere ich die Übertragung richtig ab.
  • Als erstes sollten sie Protokolle absichern. Kein Klartext http, sondern nur und ausschließlich https. Das gilt auch RDP Terminalserversitzungen.
  • Als nächstes die Zugriffe in der Firewall absichern. Idealerweise Zugriffe nur von statischen IPs erlauben. Administratoren sollten mit Ihrer Geschäftsleitung, CIO oder CTO das eigene Business beleuchten, soll heißen, mit welchen Ländern ist man wirtschaftlich verbunden und betreibt Handel, Dienstleistung oder Service. Nach dieser Prüfung, im GeoIP-Filter die Regionen sperren, mit denen das Unternehmen keinen Businesskontakt hat. Die Verbindungen mit VPN absichern.
  • Ein Router ist ein Router und keine Firewall: Es ist egal, was das Marketing von Router-Herstellern ihnen weiß machen möchte, eine Sicherheit für ihr Firmennetzwerk werden Sie nur erhalten, wenn sie eine UTM oder NextGen Firewall vor ihren Router stellen, damit sie die vorgeschlagenen Maßnahmen auch umsetzen können.
  • Zugriffsberechtigung auf sensible Daten nur über eine Zwei-Faktoren-Authentifizierung zuzulassen.
  • Zugangsberechtigungen: Nur ausgewählten Personen sollten Zugänge zu firmenkritischen Daten erhalten. Auch hier im Vorfeld die Notwendigkeit prüfen, wer wo was darf.

Vergessen sie bei allen eins nicht, es ist Cyber-Kriminellen völlig egal, wie groß ihr Unternehmen ist. Sie können immer ein Angriffsziel darstellen, denn jedes Unternehmen besitzt wertvolles – seine Daten. Deshalb ist die richtige Anbindung des Home-Office, Zweigstelle, Niederlassung oder New Work existenziell für jedes Unternehmen.