Die Arbeit in schlecht geschützten Heimnetzwerken – umgeben von intelligenten Geräten – stellt zunehmend ein Risiko für Geschäftsumgebungen dar. ZTNA 2.0 als Evolution von Zero Trust Network Access kann Unternehmen helfen, die Sicherheit zu gewährleisten.

Die Arbeit von zu Hause aus stellt Unternehmen vor die Herausforderung, ihre Daten und Belegschaft besser zu schützen. Vernetzte Fitness-Gadgets, LED-Lampen und Spielekonsolen stellen zunehmend ein Risiko dar. Laut der Studie „The Connected Enterprise: IoT Security Report“ von Palo Alto Networks berichteten 78 Prozent der IT-Entscheider, dass bei ihnen vermehrt nicht geschäftsbezogene IoT-Geräte (Internet of Things) in Unternehmensnetzwerken aufgetaucht sind. 96 Prozent der Befragten gaben an, dass der IoT-Sicherheitsansatz ihres Unternehmens verbesserungsbedürftig ist.

Die Häufung anfälliger oder kompromittierter Geräte in Unternehmensnetzwerken ist ein deutlicher Hinweis auf mangelnde Sicherheitshygiene oder fehlende Kontrollen, insbesondere im Heimnetzwerk. Laut der Studie „Digitalbarometer 2022: Bürgerbefragung zur Cyber-Sicherheit“ des BSI war mehr als jeder vierte Befragte in Deutschland schon einmal Opfer von Cyberkriminalität (29 Prozent). Kriminelle haben die Sicherheitsmängel in Heimnetzwerken längst im Fokus und gefährden damit auch Unternehmen.

Die Vermischung von Unternehmens-IT und IoT-Geräten im selben Netzwerk kann dazu führen, dass sich Malware von der einen auf die andere Umgebung ausbreiten kann. Laut einer Studie von Palo Alto Networks, die bereits im März 2021 über 135.000 Sicherheitskameras untersuchte, wiesen 54 Prozent mindestens eine Sicherheitslücke auf. Solche Schwachstellen machen es möglich, dass Cyberkriminelle die Kameras kapern und als Sprungbrett für erweiterte Angriffe auf Unternehmensnetzwerke ausnutzen.

Eine neue Welle von IoT-Sicherheitsproblemen

Neue von Unternehmen zur Verfügung gestellte IoT-Geräte gehen über Laptops und Smartphones hinaus. Voice-over-IP-Telefone, Collaboration- und Produktivitäts­equipment wie Videokameras und Mikrofone, digitale Whiteboards und Ähnliches finden damit ihren Weg in nicht verwaltete Heimnetzwerke. Diese Geräte lassen sich nicht mit herkömmlicher Unternehmenssicherheit wie Agenten oder VPNs konfigurieren und verfügen nicht über angemessene, auf Geräteebene integrierte Sicherheitsvorkehrungen. Selbst wenn Beschäftigte in den heimischen vier Wänden einen VPN-Client auf ihren Notebooks haben, ist die Sicherheit nur auf dieses Gerät beschränkt. Wenn das Notebook eine Verbindung zu einem nicht vertrauenswürdigen WLAN herstellt, könnte es das Ziel einer Bedrohung durch ein verbundenes kompromittiertes IoT-Gerät sein. Dies kann es einem Angreifer ermöglichen, in das Unternehmensnetzwerk einzudringen.

Hochsensible Arbeiten mit persönlichen Daten oder geistigem Eigentum, die normalerweise auf dem Firmengelände erfolgten, finden nun zu einem großen Teil zu Hause statt. Da viele Unternehmen BYOD-Richtlinien (Bring Your Own Device) eingeführt haben, nutzen Mitarbeitende zunehmend auch ihre privaten Geräte für die Arbeit. Persönliche Geräte wie Computer, Telefone und Tablets, die nicht mit angemessenen ­Sicherheitsvorkehrungen ausgestattet sind, erhöhen das Risiko, wenn sie für die Arbeit zum Einsatz kommen.

Viele Schwachstellen bei Routern

Laut der Studie „Home Router Security Report“ des Fraunhofer-Instituts für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE) wiesen alle untersuchten Router Schwachstellen auf. Viele waren zudem von Hunderten bekannter Schwachstellen betroffen. Im Durchschnitt fanden sich auf den untersuchten Routern von namhaften Anbietern insgesamt 53 als kritisch eingestufte Schwachstellen (CVEs), wobei selbst das sicherste Gerät auf 21 CVEs kam, so der Bericht. Da fast alle getesteten Router ungepatchte und oft schwerwiegende Sicherheitslücken aufwiesen, waren deren Benutzer einer hohen Gefahr von Cyberangriffen ausgesetzt.

Entdeckungen wie diese führen zur kritischen Frage: Wie sicher ist die hybride Belegschaft und deren Arbeitsumgebung, die eine Vielzahl von intelligenten, ungeschützten, nicht geschäftsbezogenen Geräten einschließt? Viele Unternehmen haben unter Zeitdruck in ihre IT-Systeme und -Infrastrukturen investiert, um die Arbeit aus dem Home-Office zu unterstützen. Doch die dabei entstandenen Sicherheitslücken fanden nicht die angemessen Berücksichtigung.

Seite 1 von 2