Zero Trust in der Holzhammer-Digitalisierung
Wie geht IT-Sicherheit im Homeoffice?
Leere Büros, volle Datenleitungen: So (un)sicher sind Arbeitsplätze am heimischen Küchentisch
Jahrelang haben wir gezögert, gewartet, Potenziale analysiert und währenddessen eben jede Menge Potenziale liegen gelassen. Und dann ist es plötzlich passiert: Die Digitalisierung in der Gestalt des standortunabhängigen Arbeitnehmers war da. Dass ein Laptop ein transportfähiges Arbeitsgerät ist, war vielen Entscheider:innen vor dem ersten Quartal 2020 nur eingeschränkt bewusst, könnte man rückblickend meinen. Denn Laptops wurden vorwiegend innerhalb der vier Bürowände herumgetragen – oder mit dem Verweis auf bestehende Tower gar nicht erst genutzt. Dabei ist schon lange klar: Arbeitnehmer:innen wollen die Möglichkeit des Homeoffice. Und – für Arbeitgeber:innen noch wichtiger: Sie arbeiten im Homeoffice nicht weniger, im Gegenteil, oft sogar mehr. Nun kam der Virus und mit ihm das Homeoffice auf breiter Front. Das ist ein Daten-Kontrollverlust – vor allem von Unternehmensdaten. Florian Stamer über IT-Sicherheit in Zeiten des Homeoffice.
Inhalt:
- Eine Pandemie als Digitalisierungs-Gaspedal bringt massive Sicherheitslücken mit sich
- IT-Entscheider:innen: „Was haben wir eigentlich getan?“
- 5 Werkzeuge für ein sicheres Fundament im Homeoffice
Eine Pandemie als Digitalisierungs-Gaspedal bringt massive Sicherheitslücken mit sich
Im ersten Quartal 2020 schickten viele Unternehmen erstmals große Teile ihrer Mitarbeiter:innen ins Homeoffice. Eine (potenziell) disruptive Veränderung des ganzen Unternehmens ohne jegliche Vorbereitung. Denn das taten auch Unternehmen, die vorher immer wieder darauf gepocht hatten, Homeoffice funktioniere in den eigenen internen Prozessen nicht. Homeoffice sei kein Teil der Unternehmenskultur. Und dann funktionierte es doch, weil es funktionieren musste. Gewissermaßen, denn wir sprechen hier von einem sehr kurzfristigen, operativen „Funktionieren“ von heute auf morgen. Mittelfristig wird diese Veränderung die Struktur von Unternehmen verändern. Denn:
Aus einem Büro-Standort mit 100 Arbeitsplätzen wurden über Nacht 101 Standorte. Und wir haben keine Ahnung, was an den 100 neuen Standorten los ist.
Für eine Modern Workspace-Strategie gab es im Corona-Chaos weder Zeit noch Know-how
Die oft gefürchtete „Featuritis“ hat gewonnen. Es wurden viele neue Möglichkeiten geschaffen, ohne ein Fundament dafür zu bauen. Der Keller ist mit Wasser vollgelaufen, wir haben einen luxuriösen Dachstuhl gebaut, ohne die Tragfähigkeit zu prüfen. Während wir jahrelang vor der Cloud gezögert haben („… aber wo sind meine Daten dann?!“), sind unsere Daten nun schlichtweg in alle Haushalte der Welt verteilt – jedenfalls auf den jeweiligen Geräten. Und wir sollten endgültig aufhören zu glauben, dass nach der Pandemie – wann auch immer das sein wird – der Zustand eines „Vorher“ magisch wiederhergestellt wird. Den „Status Quo Ante“ wird es in der Zukunft nicht mehr geben, dafür ist zu viel passiert.
Ihre IT-Sicherheit liegt uns am Herzen
Auch deswegen schreiben wir hier Beiträge rund um die Themen IT-Sicherheit, Modern Workspace und das Arbeiten in und mit der Cloud.
IT-Entscheider:innen müssen einen Augenblick innehalten und überlegen: „Was haben wir eigentlich getan?“
Im Grunde ist mobiles, standortunabhängiges Arbeiten eine gute Sache. Wir würden sogar sagen: Es ist ein unausweichlicher Aspekt des zukünftigen Arbeitens. In der nahen Zukunft wird es wohl selten sein, dass Büroangestellte fünf Tage die Woche von morgens bis spätnachmittags im Büro sitzen.
Aber die Sache hat einen großen Haken. Ohne eine entsprechende IT-Security-Strategie verlieren Unternehmer:innen jegliche Kontrolle über die Daten und Datenflüsse des Unternehmens. Denn wir wissen überhaupt nicht, in welchen Heim-W-Lan-Netzen die Homeoffice-Mitarbeiter:innen mit dem Arbeitsgerät – oder gar fremden Geräten – unterwegs sind. Zwar macht das BSI gewisse Vorgaben, aber zum einen sind die sehr rudimentär, zum anderen haben wir wenig Gewissheit, wer diese Vorgaben wirklich praktisch umsetzt. Es ist eine Sache des Vertrauens.
Aber IT-Security soll die Notwendigkeit von Vertrauen beseitigen. Die IT soll sicher sein, komme, was wolle – das ist „Zero Trust“: Das Endgerät ist „vorsichtshalber“ immer unsicher.
Wie gehen wir mit der grundsätzlichen Unsicherheit von „Zero Trust“ um?
5 Werkzeuge für ein sicheres Fundament im Homeoffice
Die Antwort auf die Prämisse des Zero-Trust-Prinzips ist individuell. Es kommt auf die innerbetrieblichen Arbeitsprozesse an, auf das Tagesgeschäft, auf die Kommunikation mit dem Kunden, auf die Branche. Dennoch gibt es fünf übergeordnete Methoden, um das Homeoffice sicherer zu machen.
Eine Grundvoraussetzung für das Homeoffice sollte die Multi-Faktor-Authentifizierung sein. Jedes Passwort als alleiniger Gatekeeper für einen Zugriff ist unsicher. Die Kombination aus Benutzername und Kennwort kann immer irgendwie durchsickern oder abgegriffen werden. Ist das Gerät schon kompromittiert (manipuliert oder ausgespäht), können Angreifer:innen das Passwort einfach mitlesen. Ein zweiter Faktor für die Authentifizierung hilft, denn es macht die Kombination aus Benutzername und Kennwort vergleichsweise wertlos für einen Eindringling.
Die Multi-Faktor-Authentifizierung ist das absolute Minimum an IT-Sicherheit, das wir unseren Kund:innen anraten.
Ein Medienbruch verhindert die technische Direktverbindung. Zum Beispiel der Zugriff aus dem Homeoffice auf den Server des Unternehmens. Ein Beispiel für einen Medienbruch ist ein SSL-Gateway. Arbeitnehmer:innen melden sich aus dem Homeoffice auf einer Website an. In der Website wird dann erst die benötigte Applikation ausgeführt. Es besteht also keine direkte Verbindung vom Homeoffice-Rechner ins Rechenzentrum des Unternehmens, sondern die Verbindung ist „getunnelt“ durch das Webportal.
Ein direkter Dateizugriff von A nach C wird durch ein B „konstruktiv unterbrochen“. Zero Trust bedeutet eben auch: kein direkter Zugriff auf wichtige Daten.
Zugriffe mit Bedingungen zu verknüpfen ist ein sehr einfacher und effektiver Weg, mehr IT-Sicherheit im Homeoffice zu erreichen – sei es im Homeoffice oder allgemein. Einer dieser Conditional Accesses könnte sein: Mitarbeiter:innrn des Vertriebs dürfen nur auf das ERP-System zugreifen, wenn sie sich mit ihrem Arbeitsgerät in einem bestimmten Postleitzahlengebiet befinden. So würde beispielsweise ein plötzlicher, unangemeldeter Zugriff aus China automatisch geblockt – keine Mitarbeiter:innen des Unternehmens sind gerade in China, es kann sich also nur um einen zweifelhaften Zugang handeln. Oder der Zugriff auf die Bilddatenbank des Unternehmens ist an die Bedingung geknüpft, dass das zugreifende Gerät einen bestimmten Virenscanner installiert hat. Schon scheidet ein Zugriff mit einem ungeschützten Device aus. Diese Bedingungen des Conditional Access können wir kombiniert und sehr granular einstellen.
Selbst wenn Mitarbeiter:innen das Endgerät gestohlen wurde, keine 2-Faktor-Authentifizierung eingerichtet ist und das Passwort überwunden wurde, scheitert ein Eindringling an einem guten Conditional Access.
Die Nutzungsanalyse sucht nach Anomalien im Nutzungsverhalten. Erkennen wir eine Anomalie, können wir den Zugriff blocken und das Gerät isolieren. Hier hilft zukünftig auch Machine Learning. Ein Beispiel kann ein unverhältnismäßig großer Datenstrom sein. Denn im Alltagsgeschäft ist bekannt, wie viel Daten die User zum Arbeiten für gewöhnlich nutzen – tritt hier ein außergewöhnliches Ereignis auf, kann Handlungsbedarf bestehen. Diese Methode funktioniert natürlich mit einem fortlaufenden IT-Monitoring oder einer umfassenden Managed-Services-Lösung besonders gut.
Die Datensouveränität sorgt dafür, dass die Daten nicht nach extern abfließen können. Denn es ist auf dem Gerät im Homeoffice viel einfacher, Daten zu verlieren. Im Unternehmen gibt es meist Regeln für die Daten auf den Devices: Keine externen Datenträger sind erlaubt, keine Mailanhänge einer bestimmten Größe. Im Homeoffice hingegen gibt es keine Kontrolle außer der Selbstkontrolle des Users. Das Kind kommt vielleicht an den Rechner und löscht munter Daten, verschickt E-Mails oder benennt Dokumente um. Dass dies überhaupt möglich ist, können wir durch Datensouveränität verhindern.
Niemand brennt mehr für den modernen, digitalen Arbeitsplatz als wir – auch im deutschen Mittelstand. Aber mit Sorge haben wir den Trend des „konzeptlosen Homeoffice“ beobachtet. Wir hoffen, dieser Artikel schafft ein wenig Aufmerksamkeit und regt zum Nachdenken an. Bildet Ihr Heimarbeitsplatz oder Ihrer Mitarbeiter:innen ein Risiko für das Unternehmensnetzwerk?