GIT SICHERHEIT: Herr Strümpfel, die Pandemie fördert neue Arbeitsformen und beschleunigt die Digitalisierung. Wie sehen Sie diese Entwicklungen aus dem Blickwinkel der Sicherheit?

Johannes Strümpfel: Mit der Coronakrise hat bei vielen Unternehmen ein wahrer Digitalisierungsschub eingesetzt, denn die Aufrechterhaltung der Geschäftstätigkeit hatte überall oberste Priorität. Von einem Tag auf den anderen galt es, neue technische Lösungen zu etablieren, damit möglichste weite Teile der Belegschaft ihre Arbeit im Homeoffice erledigen konnten.  Bei dieser Digitalisierung im Schnelldurchlauf wurden Risiken oftmals ausgeblendet.

Haben Sie ein konkretes Beispiel?

Johannes Strümpfel: In Bezug auf die Services konzentriert sich oftmals vieles auf einen einzigen Anbieter. Weil es praktisch und schnell umsetzbar ist, verlassen sich viele Unternehmen immer stärker auf Microsoft. Wir legen also immer mehr Eier in einen einzigen Korb und es ist fraglich, ob das wirklich ein guter Plan ist. Ich bin ein klarer Befürworter einer funktionierenden und sicheren europäischen Cloud, damit Europa im internationalen Wettbewerb nachhaltig konkurrenzfähig bleibt. Denn die Risiken einer zu liberalen Datenhaltung werden meist erst mit Zeitverzögerung sichtbar. Nämlich dann beispielsweise, wenn die Konkurrenz ein Produkt auf den Markt bringt, für das ein Unternehmen jahrelang geforscht und entwickelt hat. Doch auch im eigenen Netzwerk sind die Gefahren stark gestiegen, beispielsweise durch die immer häufiger verwendeten Videokonferenzen. Gelingt es einem Angreifer, Identitätsdaten abzugreifen, ist es für ihn einfach, wichtige Informationen aus der Besprechung zu entnehmen.

Die Verlagerung von Diensten in die Cloud war schon vor der Pandemie ein Trend.  
Johannes Strümpfel: Das ist richtig, aber die Pandemie ist definitiv ein Treiber der Cloudifizierung und die derzeitige Situation gilt als Argument, um immer mehr Services in die Cloud zu verlagern. Unternehmen sourcen komplette Bereiche aus, wie beispielsweise die Reisekostenabrechnung. Folglich erhalten die Mitarbeiter immer mehr Mails von externen Anbietern. Gleichzeitig können wir aber auch eine Zunahme der Phishing-Attacken beobachten, bei denen versucht wird, Schadsoftware ins Unternehmen einzuschleusen. Besonders für die Mitarbeiter daheim ist es besonders schwierig zu unterscheiden, welche Mails für sie relevant sind und wo es sich um einen möglichen Angriff handelt. Sie können eben nicht schnell einen Kollegen fragen, ob er womöglich die gleiche Nachricht erhalten hat. Die Cloudifizierung und das „New Normal“ überträgt damit immer mehr Verantwortung auf den einzelnen Mitarbeiter. Wir sehen eine Sozialisierung von Unternehmensrisiken.

Gibt es Möglichkeiten, diese Entwicklung einzudämmen?

Johannes Strümpfel: Unternehmen sollten sich mit ihren Dienstleistern auf ein gewisses Mindestmaß an Sicherheitsstandards einigen, wie beispielsweise die Einführung von digitalen Signaturen. Darüber hinaus gilt es insbesondere auch bei den Mitarbeitern im Homeoffice immer wieder für Awareness für das Thema Sicherheit zu sorgen. Denn Cyberkriminelle greifen aktuelle Trends und Themen schnell auf und sind deshalb leider immer noch zu oft erfolgreich.

Was können Unternehmen noch tun, um das New Normal sicherer zu gestalten?

Johannes Strümpfel: Auch über die rein technischen Aspekte hinaus gibt es viele Punkte, die für mehr Sicherheit sorgen. Unternehmen sollten beispielsweise ihre teils deutlich weniger frequentierten Liegenschaften schützen. Gelangt jemand in ein Firmengebäude, um Informationen für eine Social Engineering Attacke zu sammeln, so wird er in einem normal besetzten Büro relativ schnell gestoppt. Das ist allerdings nicht möglich, wenn ein Großteil der Belegschaft im Homeoffice ist. Auch die Gesundheit der Mitarbeiter im Homeoffice sollten Verantwortliche im Blick behalten.

BVSW-Partner Spacenet hat eine Checkliste ­zusammengestellt, mit der sich der Arbeitsalltag im Homeoffice sicherer gestalten lässt:

• Sichere Verbindungen nutzen
• Greifen Sie immer über eine sichere Leitung auf Ihr Firmennetzwerk zu, beispielsweise über kryptografisch abgesicherte Virtual Private Networks, kurz: VPN Vergeben Sie generell ein starkes Passwort und aktivieren Sie die WPA2-Verschlüsselung.
• Mitarbeiter sensibilisieren
• Organisieren Sie für alle Mitarbeiter eine Basis-Schulung zum Thema „Awareness“, damit sie über die aktuellen IT-Sicherheitsrisiken informiert sind.
• Mitarbeiter durch Sicherheitsexperten unterstützen
• Geben Sie Ihren Mitarbeitern einen Sicherheitsexperten an die Hand. Bei plötzlich auftretenden Vorfällen lässt sich schnell und z. B. über Teamviewer klären, ob etwas sicherheitskritisch oder unbedenklich ist.
• Sicherheits-Guidelines gut sichtbar kommunizieren
• Nutzen Sie unterschiedliche Wege, um Ihre Sicherheitsrichtlinien zu kommunizieren, beispielsweise Intranet-Blog, Firmenmail, oder virtuelle Veranstaltungen. Je mehr Kanäle bespielt werden, desto präsenter ist das Thema bei ihren Mitarbeitern.  
• Sicheres Homeoffice-Umfeld schaffen
• Erarbeiten Sie mit Ihren Mitarbeitern eine Lösung, so dass alle auch daheim sicher arbeiten können. Beachten Sie, dass unterschiedliche Daten ein unterschiedliches Schutzniveau haben. Tipp: Mieten Sie ggf. ein Notfallbüro in der Gegend oder einen Coworking Space.
• Einfallstor Nummer 1: Die E-Mail
• Eine gut gemachte Phishing-Mail, ist kaum zu erkennen. Mails von Unbekannten sind mit besonderer Vorsicht zu behandeln: Niemals auf Anhänge oder Links klicken, im Zweifelsfalle löschen.
• Einfallstor Nummer 2: Die Website
• Achten Sie beim Surfen im Internet auf Sicherheitsstandards wie https und dass Sie wirklich auf der richtigen Website gelandet sind.
• Einfallstor digitale Kommunikation
• Vergeben Sie Passwörter für Ihre Videokonferenzen, um Ihre virtuellen Besprechungen abzusichern.
• Passwort Manager benutzen
• Mit einem Passwort Manager, auch Passwort-Safe genannt, eliminieren Sie das Risiko, dass Ihre Accounts gehackt werden, vor allem wenn Sie keine unterschiedlichen Passwörter für unterschiedliche Stellen verwendet haben sollten. Ein guter Passwort-Manager ist derzeit KeePassXC.
• Ein unveränderbares Backup in die Cloud packen
• Veranlassen Sie als Geschäftsführer oder IT-Verantwortlicher ein unveränderbares Backup und spiegeln Sie dies in eine Cloud, damit auch im Brandfall nichts passieren kann.
• Datenschutz beachten
• Überlegen Sie welche Software Sie mit Ihren Mitarbeitern nutzen können, ohne mit dem europäischen Datenschutz in Konflikt zu kommen. Beachten Sie, dass Server auch oft in den USA stehen.
• Notfallplan erstellen
• Trotz aller Vorsichtsmaßnahmen sollten Sie sich für den Ernstfall vorbereiten. Klären Sie, wie Sie zum Beispiel nach außen erreichbar bleiben und wie Ihre Mitarbeiter untereinander kommunizieren können. Üben Sie die Notfallmaßnahmen regelmäßig.