Niemand muss das Rad neu erfinden – in Zeiten des Coronavirus funktionert IT-Security wie sonst auch. Drei Dinge aber haben sich geändert: Viele Mitarbeiter sind verängstigt, viele müssen (oder dürfen) erstmals vom Home Office aus arbeiten, und der Zwang zu möglichst schnellem Handeln setzt IT-Abteilungen noch mehr unter Druck. In den letzten Wochen hagelte es geradezu Ratschläge von Security-Anbietern, wie man mit der Krise umgeht. LANline hat ein „Best of“ der Experten-Tipps zusammengestellt.

Die Anforderung, möglichst viele Arbeitsplätze zügig ins Home Office zu verlagern, bereitet vielen IT-Teams Kopfzerbrechen. Insbesondere in Unternehmen, die ihrer Belegschaft nicht schon längst flexibles Arbeiten per Remote Work gestatten, sorgt man sich um die IT-Sicherheit, wenn Mitarbeiter erstmals vom heimischen WLAN aufs Unternehmensnetz zugreifen.

Ein Hauptrisiko ist der leichtfertige Endanwender. „Wir neigen dazu, in den eigenen vier Wänden entspannter zu sein, insbesondere wenn es um die Sicherheit geht. Leider versuchen Cyberkriminelle, genau diese Art von Wohlgefühl mit sorgfältig ausgearbeiteten Phishing-Angriffen auszunutzen“, sagt Dietmar Schnabel von Check Point (nähere Angaben zu Zitierten entfallen hier zugunsten höherer Informationsdichte, d.Red.).

Spam-, Phishing- und Malware-Welle

„Seit mehr als fünf Wochen hat unser Threat-Research-Team zahlreiche gefährliche E-Mail-Kampagnen mit Bezug zu COVID-19 beobachtet“, so Sherrod DeGrippo von Proofpoint. Es handelt sich laut Proofpoint um „eine der größten, wenn nicht sogar die größte E-Mail-Kampagne, die jemals unter einem einzigen Thema durchgeführt wurde“ (LANline berichtete). Zu den Angriffsformen zähle „nahezu alles, was sowohl privaten Anwendern als auch Unternehmen in irgendeiner Form schaden kann“: Phishing nach Zugangsdaten, Dateianhänge mit Malware, Links zu infizierten Websites, betrügerische Geschäfts-E-Mails, gefälschte Landing Pages, Downloader und Spam.

Cyberkriminelle locken mit scheinbarem Schutz vor COVID-19. Bild: Eset

Laut Bitdefender gab es bereits Mitte März fast fünfmal soviel Malware mit Corona-Bezug wie im gesamten Februar. Eset wiederum berichtet von Fake-Shops, die mit Atemschutzmasken locken, einer Fake-News-Welle und angeblichen E-Mails der WHO. „Die Weltgesundheitsorganisation schreibt keine Privatpersonen an“, sagt Thomas Uhlemann von Eset. „Empfänger sollten die Mails direkt löschen und auf keinen Fall auf Dateianhänge oder Links klicken.“ Alistair Neil von Verizon rät: „Wenn die E-Mail wichtige oder dringende Nachrichten von einer Ihnen bekannten Organisation enthält, wie Ihrer Bank und einem Krankenhaus, kontaktieren Sie den Absender über alternative und offizielle Wege.“ Kaspersky-Fachmann David Emm mahnt, die hohe Risikolage müsse „eindeutig an die Arbeitnehmer kommuniziert werden“.

Betont die Bedeutung von Security-Awareness-Trainings: Lance Spitzner vom SANS Institute. Bild: SANS Institute

Sicherheitsbewusstsein (Security Awareness) muss also hohe Priorität haben. Das SANS Institute hat dafür das „Securely Working from Home“ Deployment Kit entwickelt. Es bietet Awareness-Fachleuten eine kostenlose Schritt-für-Schritt-Anleitung, um schnell ein Schulungsprogramm für Remote-Mitarbeiter aufzusetzen. „Dieses umfassende Kit enthält Videos, Infografiken, Podcasts, Newsletter und Digital Signage in mehreren Sprachen“, erläutert Lance Spitzner von SANS. Auch Awareness-Spezialist KnowBe4 bietet diverse kostenlose Tools an, darunter einen Online-Kurs von Hacker-Legende Kevin Mitnick zur Internetsicherheit (Passwort: „homecourse“). In einem „Safety First“-Podcast erklärt der TÜV Süd Sec-IT die Do’s and Don’ts der IT-Sicherheit im Home Office.

My Home Office Is My Castle

Zunächst gilt es also, der Belegschaft das kleine Einmaleins der Home-Office-Sicherheit nochmals einzuschärfen – obschon heute fast jeder ein Heimnetzwerk hat und somit die Grundrechenarten längst beherrschen müsste. „Treffen Sie deutliche, unmissverständliche und verbindliche Regelungen zur IT-Sicherheit und zur Sicherheit Ihrer Daten in Papierform. Kommunizieren Sie diese schriftlich an alle Beteiligten“, rät das BSI und bietet dafür leicht verständliche Informationen. Das BMWi rät Unternehmen, eine kurze, verständliche Anleitung zu erstellen, um den Umgang mit mobilen Geräten und Daten im Home Office zu regeln. Zudem solle man die Belegschaft nochmals auf den unternehmenseigenen Helpdesk hinweisen und dazu aufrufen, Auffälligkeiten sofort zu melden.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet eine Fülle gut verstädlicher Security-Informationen für Bürger und Unternehmen. Bild: BSI

Jelle Wieringa von KnowBe4 fasst die Basics zusammen: „Stellen Sie sicher, dass die neuesten Sicherheits-Updates installiert sind. Führen Sie eine Sicherheitsüberprüfung der gemeinsam genutzten Geräte durch, um sicherzustellen, dass keine Malware oder andere bösartige Objekte das Gerät infiziert haben. Seien Sie vorsichtig bei unerwarteten E-Mails von unbekannten Absendern mit Links oder Anhängen. Verwenden Sie ein VPN. Verwenden Sie komplexe Passwörter, etwa einen vollständigen Satz. Besser noch, verwenden Sie einen Passwort-Manager“ – tausendmal gehört, aber doch immer wieder vernachlässigt.

Unternehmen sollten Home-Office-Neulinge laut Stormshield darauf hinweisen, dass der WLAN-Zugang zu Hause mit einem starken Passwort geschützt sein muss, das man regelmäßig wechselt und möglichst wenigen Personen mitteilt. Der Remote-Rechner sollte per WLAN-Gastzugang des Routers zu Hause ans Firmennetzwerk angebunden sein, so Stormshield, sodass keine Firmendaten über das Netz laufen, das andere Mitbewohner nutzen. Die private WLAN-SSID sollte keine Informationen enthalten, die Rückschlüsse auf den Mitarbeiter oder das Unternehmen zulassen. Man solle USB-Sticks meiden, die bereits an mehreren Computern Verwendung fanden. Zu guter Letzt sollten die Mitarbeiter auch zu Hause nicht vergessen, sich auszuloggen, sobald sie den Rechner oder den Arbeitsraum verlassen. Es sei schließlich nicht auszuschließen, dass indiskrete Besucher sensible Informationen sehen oder ein Kleinkind versehentlich Daten löscht. „Jede Arbeitsumgebung hat ihre eigenen Risikofaktoren“, so Stormshield.

„Home Office bedeutet, dass Arbeit und Privatleben näher zusammenrücken“, sagt Tim Berghoff von G Data. Bild: G Data

„Home Office bedeutet, dass Arbeit und Privatleben näher zusammenrücken“, sagt Tim Berghoff von G Data. „Hier ist es ganz besonders wichtig, dass die Mitarbeiter die digitale Trennung von Arbeit und Privatem aufrechterhalten. Das bedeutet: keine Firmendaten auf Privatgeräten und umgekehrt!“ David Emm von Kaspersky rät Nutzern im Home Office, Daten regelmäßig auf einem externen Offline-Laufwerk zu sichern. Idealerweise stellt das Unternehmen selbst einen Zugriff auf unternehmenseigene File-Server bereit, für die es Offline-Backups anlegt.

Entlastung für gestresste IT-Teams

Unternehmen, die bereits Virtual Desktops oder Digital-Workspace-Services etwa von AWS, Citrix, Microsoft oder VMware nutzen, haben es vergleichsweise leicht, zusätzliche Mitarbeiter ins Home Office zu schicken: Sie müssen nur die bestehende Remote-Work-Infrastruktur skalieren (siehe Teil 2 dieser Serie). Ratsam ist hier laut Experten der Zugriff mittels Mehr-Faktor-Authentifizierung (MFA), idealerweise mit laufender Security-Analyse und dynamischer Reaktion auf Abweichungen (Zero-Trust). Andere IT-Organisationen, die in puncto „Future of Work“ noch nicht so weit sind, müssen nun diese Vorarbeiten nachholen. An diese Zielgruppe richten sich die Ratschläge zahlreicher Security-Anbieter.

Warnt davor, die Sicherheit der Business Continuity zu opfern: Udo Schneider von Trend Micro. Bild: Trend Micro

„Gerade jetzt, wo viele Firmen Hals über Kopf ihren Mitarbeitern Home Office verordnen, darf die Security nicht der Business Continuity (ununterbrochener Geschäftsbetrieb, d.Red.) geopfert werden“, mahnt Udo Schneider von Trend Micro. „Entweder man investiert in die sichere Erreichbarkeit der internen Systeme mit der ganzen Kette von Maßnahmen, wie beispielsweise VPN, Verschlüsselung oder sichere (One-Time-)Authentifizierung. Oder man investiert in bewährte Cloudlösungen.“ Gerade in diesen Zeiten stelle deren einfache Bestellung per Kreditkarte ohne persönliche Interaktion einen weiteren Vorteil dar.

„Bevor die Entscheidung getroffen wird, die Mitarbeiter ins Home Office zu senden, müssen die IT- und Sicherheitsteams ihre aktuellen Ressourcen bewerten, evaluieren, welche Auslastung sie für das Remote-optimale Arbeiten unterstützen müssen, und die Risiken dabei abschätzen“, so Liviu Arsene von Bitdefender. Der starke Anstieg gleichzeitiger VPN-Verbindungen sollte dabei laut dem Fachmann an erster Stelle stehen.

Carsten Hoffmann von Forcepoint meint dazu: „Sie müssen die Gesamtzahl der Remote-Mitarbeiter kennen, die Sie unterstützen müssen, und die doppelte VPN-Kapazität dieser Anzahl einplanen, um einen konsistenten Betrieb zu gewährleisten. Testen Sie die Sicherheit und Kapazität auf Abteilungsebene. Welche Anwendungen müssen Marketingfachleute im Vergleich zu Entwicklern oder dem Finanz- und Rechnungswesen verwenden?“

Rät zu Performance-Evaluierungen im Hinblick auf stark steigende VPN-Nutzerzahlen: Liviu Arsene von Bitdefender. Bild: Bitdefender

„Die Einrichtung und Unterstützung von Konferenzsoftware, die sowohl eine stabile Sprach- als auch Videoverbindung gewährleistet, sollte ebenso eine Priorität sein, da die meisten Besprechungen virtuell stattfinden werden“, so Liviu Arsene weiter. „Es muss auch sichergestellt sein, dass alle Mitarbeiter über gültige Anmeldedaten verfügen, die nicht innerhalb von weniger als 30 Tagen ablaufen.“ Denn eine Änderung abgelaufener AD-Anmeldedaten könne bei Remote-Konferenzen schwierig sein. „Auch der Fall, dass eine große Anzahl von Mitarbeitern ihre Passwörter vor dem Verlassen des Büros ändern müssen, sollten Unternehmen am besten proaktiv angehen“, so Arsene weiter. „Das Versenden von Regeln und Richtlinien bezüglich akzeptierter Anwendungen und kollaborativer Plattformen ist ebenfalls ein Muss.“ Stringente Kommunikation sei hier Pflicht, da man die Mitarbeiter aufklären müsse, was sanktioniert wird und was nicht.

Sind die Grundlagen wie VPN und MFA geschaffen, wird nach Ansicht von LogRhythm-Mann Andre Hollister neben der Mitarbeiterschulung die proaktive Überwachung zu den wichtigsten Dingen gehören. Zudem muss man sich laut Carsten Hoffmann von Forcepoint die Zeit nehmen, die Kommunikationsstrategie zu durchdenken: „Werden Sie auf Abteilungsebene kommunizieren? Auf regionaler oder Büroebene? Wie werden Sie die wichtigsten Aktualisierungen an alle Mitarbeiter kommunizieren?“

Fokus auf die Daten

Im Fokus vieler Überlegungen steht die Datensicherheit. Laut Jürgen Venhorst von Netwrix ist es „wichtiger denn je zu wissen, über welche Daten man überhaupt verfügt und wer auf bestimmte Daten zugreifen darf oder nicht.“ Dietmar Schnabel von Check Point rät: „Nehmen Sie sich die Zeit, Ihre sensibelen Daten zu identifizieren, zu spezifizieren und zu kennzeichnen. Führen Sie ein Audit Ihrer aktuellen Richtlinien in Bezug auf den Zugang und die gemeinsame Nutzung verschiedener Arten von Daten durch.“

Unternehmen sollten für Messaging, Video-Calls etc. eigene Alternativen zu privaten Clouddiensten bereitzustellen, betont Thomas Vetsch von Citrix: „Ansonsten könnten Mitarbeiter eigenmächtig auf weniger sichere Kommunikationswege zurückgreifen.“ Matt Shelton von FireEye rät: : „Stellen Sie sicher, dass Sie von Ihrem Cloudanbieter Protokolle erhalten, und überprüfen Sie diese regelmäßig auf unbefugte Zugriffe und Datenexfiltration.“

Virtuelle Datenräume in einer „Sealed Cloud“ sind laut Uniscon-Chef Karl Altmann in Krisenzeiten ideal, weil nur das Anwenderunternehmen Zugriff auf die Daten erhält: „Selbst der Anbieter der Sealed Cloud kann die verschlüsselten Daten nicht einsehen, denn den Schlüssel zu seinen Daten hat nur der Kunde allein.“ Um die Arbeit mit Dokumenten wie etwa Verträgen sicher remote zu verwalten, sollten Unternehmen laut Matt Tuson von Conga die Einführung elektronischer Signaturen erwägen. Für den schnell umsetzbaren Schutz der Datennutzung bieten sich laut Zscaler cloudbasierte Security-Lösungen an. Denn diese arbeiten inline und erfordern somit keine Einrichtung lokaler Security-Infrastruktur.

Zum Einsatz privater Hardware sind die Meinungen geteilt: Während manche Experten – siehe oben – zur strikten Trennung von Privat- und Firmengerät raten, sehen andere durchaus Wege, Privatgeräte geschäftlich nutzen: erstens mit BYOD-fähigen (Bring Your Own Device) Remote-Work-Lösungen wie jenen von Citrix, VMware und Co., zweitens mittels Business-Umgebungen auf USB-Sticks, etwa von Igel oder Ecos. „Müssen Notfallarbeitsplätze innerhalb kurzer Zeit und in hoher Anzahl bereitgestellt werden, ist die Ausgabe von speziell konfigurierten Firmen-Notebooks mit VPN-Zugang oft nicht möglich“, so Ecos-Chef Paul Marx. „In diesen Fällen kann es deshalb zweckmäßiger sein, Mitarbeitern die hochsichere Nutzung ihrer eigenen Hardware zu ermöglichen.“ Ecos’ Secure Boot Stick sorge für die vollständige Trennung zwischen geschäftlicher und privater Nutzung des Rechners. Es gebe Modelle, die bis zur Geheimhaltungsstufe VS-NfD zugelassen sind.

Ein kritischer Aspekt ist das Management der Ausnahmesituation: „Krisen-Management- und Einsatzpläne für Zwischenfälle müssen von einer dezentralen Arbeitsgruppe ausgeführt werden können“, betont Michael Sentonas von CrowdStrike. Er warnt, ein Cybervorfall, der sich ereignet, wenn eine Organisation bereits außerhalb der normalen Bedingungen arbeitet, habe ein höheres Potenzial, außer Kontrolle zu geraten.

Des Weiteren darf auch die Hochverfügbarkeit beim Remote Access nicht aus dem Blick geraten. Laut Kristian Thyregod von Silver Peak sollten Unternehmen „eine mehrstufige Sicherheitsarchitektur einrichten, damit zumindest die arbeitsrelevanten Applikationen einwandfrei auch im Home Office funktionieren.“ Gemeint ist: SD-WAN-Lösungen (Software-Defined WAN) sollten zusammen mit den Security-Tools für performante Fernzugriffe sorgen.

Sicherheit für KMUs

Gerade kleinere Unternehmen können all das nicht alleine stemmen. Sie werden hier sicher ihr Systemhaus oder ihren IT-Dienstleister heranziehen. Sollte diesem das Projekt aus Überlastungs- oder Krankheitsgründen nicht möglich sein, bieten sich als Alternative Managed-Security-Services (MSS) an. „Für kleine und mittlere Unternehmen bis zirka 500 Endpunkten kann das Outsourcing der IT-Sicherheit eine gute Lösung sein“, sagt Bitdefender-Mann Arsene. Denn interne IT- und Sicherheitsteams seien bereits überlastet. Die Auslagerung könne hier Zeit sparen und die Effektivität erhöhen. Er rät zum Bezug von MDR-Diensten (Managed Detection and Response). Ein qualifiziertes Security-Team könne dabei helfen, Sicherheitsstrategien zu entwickeln und die richtigen Tools einzusetzen.

DriveLock empfiehlt hier MSS, die schnell verfügbar sind, eine monatliche Kündigungsfrist bieten und keine zusätzliche Infrastruktur erfordern. Sie sollten laut DriveLock Applikations- und Gerätekontrolle ebenso umfassen wie BitLocker-Management.

Lockruf der Sonderangebote

Zahlreiche Security-Anbieter locken derzeit mit Sonderkonditionen. Cisco zum Beispiel offeriert Remote-Work-Sicherheitslösungen für 90 Tage kostenfrei, darunter Umbrella (Internet-Sicherheit, Schutz vor schädlichen Links), Duo (MFA) und AnyConnect (VPN). Ein paar weitere Beispiele: Authentifizierungsspezialist Okta stellt seine Single-Sign-on- und MFA-Produkte für sechs Monate kostenlos zur Verfügung. Esets Authentifizierungslösung erhält man ebenfalls sechs Monate lang gratis – ohne automatische Verlängerung. Der deutsche Anbieter Reddoxx wiederum bietet ein schnell einrichtbares Cloud-VPN für den sicheren Zugriff auf Anwendungen – interessant besonders für kleinere Unternehmen ohne eigene VPN-Infrastuktur. Der Einsatz ist 30 Tage lang kostenfrei. Zahlreiche weitere Cloud-Services gibt es standardmäßig oder aus aktuellem Anlass temporär oder gar dauerhaft gratis.

Unternehmen sollten sich natürlich auch in Krisenzeiten vom eigenen Bedarf leiten lassen, nicht von Gratisangeboten. Aber wenn es schon Sonderkonditionen gibt, kann man sie auch nutzen – und bei Verhandlungen mit Hersteller X dezent auf Gratisangebote von Hersteller Y verweisen. Ein alter Trick, aber auch für Preisverhandlungen gilt: Man muss das Rad nicht neu erfinden.

 

Coronavirus: Experten-Tipps zu Remote Work
1. Teil: Arbeit schnell ins Home Office verlagern lanl.in/2xFljRW
2. Teil: Home-Office-Einsatz effizient organisieren lanl.in/2QsvsYW
3. Teil: Home-Office-Arbeit wirkungsvoll absichern
4. Teil: Home-Office-Teams produktiver machen lanl.in/3dv8oTi
Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.