Sicherheit in der flexiblen Arbeitswelt

bei

 / 13. September. 2021

Das Arbeiten von zuhause ist für viele Mitarbeiter nicht mehr wegzudenken. Auch die Arbeitgeber verstehen nach der Bewährungsprobe in der Corona-Pandemie, dass die Produktivität ihrer Mitarbeiter im Homeoffice nicht nachlässt – sie sind sogar noch produktiver als im traditionellen Büro. Daher können Unternehmen guten Gewissens Remote Work weiterhin in ihre Arbeitsweise integrieren und auf eine flexible Arbeitsweise umstellen, um den Mitarbeitern einen Mix aus Homeoffice und Büro zu bieten. Doch dies stellt sogar IT-Experten vor neue Herausforderungen in Sachen Sicherheit.

Die Anzahl an Bedrohungen durch Cyberattacken jeglicher Art haben in den letzten Jahren rapide zugenommen – von Phishing, Ransomware und DDoS-Angriffen bis hin zu Social Engineering. Laut IDG [1] bestätigen 66 Prozent der Befragten IT-Manager, dass die Mitarbeiter im Homeoffice mehr Cyber-Risiken ausgesetzt sind. Auch die Anzahl der Mitarbeiter, die auf privaten, ungeschützten Geräten arbeiten (31 Prozent), ist unter dieser Prämisse erschreckend hoch. So hat auch der IT-Helpdesk alle Hände voll zu tun, um immer mehr Probleme der Remote Worker zu betreuen und sie vor Cyberbedrohungen zu schützen. Doch gilt es hierbei, die Maßnahmen so nutzerfreundlich und sicher wie möglich zu halten. Mitarbeiter sollten nicht zu stark durch das neue „Work-from-Anywhere“ und zu viele Arbeitsschritte eingeschränkt sein.

Starkes Bewusstsein für IT-Sicherheit schaffen 

Alle Mitarbeiter – egal, ob remote, im Büro oder im Co-Working Space – müssen für Cyberbedrohungen sensibilisiert sein. Die IT-Verantwortlichen sollten sie darüber aufklären, wie böswillige Hacker agieren, welche Einfallstore sie ihnen allein durch die Wahl ihrer Passwörter liefern und welche Schritte und Tools sie zur Bekämpfung einsetzen können. Dabei gilt es, nicht nur Schulungen für die Mitarbeiter durchzuführen, sondern dem Thema IT-Sicherheit auch einen festen Platz in der Unternehmenskultur einzuräumen. Nur so entsteht eine übergeordnete Sicherheitskultur im Unternehmen und die Mitarbeiter verstehen den Wert von IT-Sicherheit, wenn dieser auch explizit gelebt wird. Dadurch nehmen sich auch die Mitarbeiter des Themas Security an und verhalten sich während der gesamten Arbeitszeit vorsichtig. Das minimiert das Risiko des Faktors Mensch als Sicherheitslücke.

Solides Passwort-Management als Grundstein

Im Durchschnitt besitzt jeder Mensch 30 Accounts, die es durch Passwörter zu schützen gilt. Egal ob von zuhause, im Büro oder irgendwo sonst auf der Welt: Ein starkes Passwort-Management ist unerlässlich. Allerdings verwenden Mitarbeiter ein Passwort im Schnitt 13-mal. Vor allem kleinere Unternehmen haben damit zu kämpfen. Das hat eine aktuelle Studie des Passwortmanagers LastPass [2] zum Gebrauch von Passwörtern am Arbeitsplatz ergeben. Dadurch stellen diese Log-in-Daten noch immer das größte Sicherheitsrisiko in Unternehmen dar.

Bedenkt man, dass Datenverstöße in der digitalen Welt an der Tagesordnung stehen und sich nachweislich 80 Prozent der Datenschutzverletzungen [3] auf schwache und mehrfach verwendete Passwörter zurückführen lassen, sollten Mitarbeiter immer wieder über Passworthygiene informiert werden.

Dennoch nutzen viele Anwender oft dieselben, unsicheren Passwörter über verschiedene Accounts hinweg. Zu den Favoriten zählen leider noch immer Zahlenfolgen wie „123456“ oder nebeneinanderliegende Tastenkombinationen wie „qwertz“. Auch Kombinationen mit Zahlen aus dem Geburtsdatum sind keine gute Idee. Mit einer Business-Passwort-Manager-Lösung erlangen Unternehmen mehr Kontrolle über das Passwort-Verhalten ihrer Mitarbeiter. So können IT-Verantwortliche und Nutzer Verstöße rechtzeitig abwenden und den Aufwand für die Verwaltung so gering wie möglich halten. Passwort-Manager verwalten alle Passwörter, die Nutzer individuell für die unterschiedlichsten Accounts aufsetzen, in einem sicheren Tresor. Dieser ist nur über ein starkes Master-Passwort des Users erreichbar. Die Mitarbeiter müssen sich also nur ein Passwort merken. Das vermeidet unsichere, einfache Passwörter und die mehrfache Verwendung desselben Passworts in unterschiedlichen Accounts.

Single-Sign-On und Multifaktor-Authentifizierung als zusätzliches Security Layer

Der Vorteil solcher Passwortmanager: Sie bieten zusätzliche Funktionen, wie beispielsweise Single-Sign-On (SSO) oder Multi-Faktor-Authentifizierung (MFA). Mit SSO können IT-Verantwortliche den Aufwand für die Passwortverwaltung verringern, indem sie die Anzahl der zu verwaltenden Passwörter erheblich reduzieren. Auf diese Weise verbinden sich die Nutzer sicher mit den Anwendungen, ohne dass sie extra ein weiteres Passwort eingeben müssen. Unternehmen können so die vollständige Kontrolle sowohl über die Passwörter als auch den Benutzerzugriff erlangen, sofern die Accounts über SSO mit einem Passwortmanager verbunden sind. Dadurch erhalten die Log-ins eine zusätzliche Sicherheitsstufe.

MFA bietet darüber hinaus noch eine weitere Sicherheitsebene. Beim Einloggen müssen die Nutzer neben dem Passwort auch einen weiteren Code eingeben. Dieser wird in dem Moment des Einloggens kreiert und an ein anderes Gerät des Nutzers geschickt. Eine Variante dieses Verfahrens nutzt biometrische Sensoren für einen Fingerabdruck oder eine Gesichtserkennung. Nur mit dieser zweiten Sicherheitsebene lässt sich der Anmeldevorgang durch eine MFA abschließen.Solche Verfahren sind sehr vorteilhaft für IT-Admins, denn sie müssen sich keine Sorgen mehr um unsichere Passwörter ihrer Kollegen machen, um die Unternehmensnetzwerke zu sichern. Die gesamte Belegschaft ist geschützt, aber kann gleichzeitig ohne große Leistungseinbußen oder komplexe Sicherheitsprozesse sowohl im Büro als auch aus der Ferne arbeiten.

Auch der Netzwerkzugriff muss abgesichert sein

Zum Arbeiten aus der Ferne gehört in den meisten Fällen auch eine VPN-Verbindung, denn die einfache Nutzung mit einem einzigen Zugangspunkt und einer sicheren Datenübertragung ist sehr intuitiv. Laut der Umfrage von IDG gibt fast die Hälfte der IT-Verantwortlichen (45 Prozent) zu, dass die Mitarbeiter auf ungesicherte WLAN-Netze zugreifen. Dies liegt an einer nur geringfügigen Absicherung der VPN-Verbindung. Auch diese sollten IT-Administratoren zusätzlich absichern.

Jedoch sorgen genau die intuitiven, einfachen Eigenschaften von VPN für eine hohe Anfälligkeit gegenüber Cyber-Angriffen. Bereits ein Satz gestohlener Log-in-Daten oder ein durch Malware kompromittierter Computer reichen aus, um Hackern Zugriff auf sensible Unternehmensdaten zu gewähren. Im schlimmsten Fall können sie diese verschlüsseln und Lösegeld fordern. Um dies zu verhindern, benötigt die VPN-Verbindung ein zusätzliches Security-Layer. Auch hier kommt wieder MFA zur doppelten Absicherung ins Spiel. So vermeiden Unternehmen, dass sich unberechtigte PersonenZugang zum Netzwerk verschaffen – ohne zusätzliche, komplexe Anmeldeprozesse für die Mitarbeiter.

Der Weg zur sicheren flexiblen Arbeitswelt

Remote Work hat nach der Pandemie seinen festen Platz im Arbeitsleben gefunden und wird langfristig seinen Stellenwert behalten. Die IT muss sich daher auf eine flexiblen IT-Umgebung anpassen, um die dadurch steigenden Cyber-Risiken im Griff zu behalten. Die richtigen Tools und Features unterstützen sie dabei, das Angriffsrisiko zu minimieren, während die Mitarbeiter ohne große Einschränkungen produktiv und sicher von jedem Ort der Welt arbeitenkönnen. Unternehmen sollten die risikoreichere Bedrohungslandschaft aus dem Homeoffice ernst nehmen und auf die richtigen Lösungen setzen, um für eine sichere flexible Belegschaft gewappnet zu sein.

Quellen und Referenzen

[1] https://www.logmein.com/de/newsroom/press-release/2021/logmein-study-shows-cyber-threats-productivity-concerns-and-pressure-on-it-support-drives-consolidation-of-remote-access-support-solutions-as-flexible-work-becomes-business-as-usua#

[2] https://blog.lastpass.com/de/2019/10/der-dritte-globale-jahresreport-zur-passwortsicherheit-von-lastpass-ist-da/

[3] https://www.verizon.com/business/resources/reports/dbir/

 

Über den Autor / die Autorin:


Dan De Michele verantwortet als Vice President Product die Business Unit LastPass bei LogMeIn. Zuvor war er als Vice President Offering Managin bei IBM tätig.