Das Homeoffice wird bleiben – zumindest für eine Vielzahl von Mitarbeitern, die ungeachtet der Corona-Situation auch längerfristig teilweise von Zuhause aus arbeiten wollen. Sicherheitsverantwortliche, die darauf gehofft hatten, es handle sich um eine zeitlich begrenzte Ausnahmesituation, müssen spätestens jetzt dauerhafte Lösungen finden. Und durch die neue Flexibilität kommen zusätzliche Herausforderungen hinzu.
Es ist keine neue Erkenntnis, dass durch die Verbreitung von Remote-Arbeitsplätzen die Überwachung und Erkennung von Sicherheitsvorfällen deutlich schwieriger geworden sind. Auch Ansätze, die bei der Bedrohungserkennung auf einzelne Faktoren wie etwa Geo-Standorte oder unübliche Arbeitszeiten setzen, sind hierbei an ihre Grenzen gekommen. Mit den verschwommenen Grenzen zwischen Arbeit und Privatleben ist es wesentlich komplizierter geworden, abnormales Verhalten zu identifizieren. Die Benutzer bewegen sich, arbeiten zu ungewöhnlichen Zeiten und wechseln öfter auch ihre mobilen Endgeräte. Mit der Flexibilisierung des Arbeitslebens wird diese Erkennung sogar noch schwieriger werden, da sich Arbeitszeiten und -orte noch stärker verändern. So hat unser Incident Response Team erst kürzlich einen Fall untersucht, bei dem ein Nutzer mehrere Tage hintereinander um vier Uhr morgens auf Daten zugegriffen hat, was durchaus ungewöhnlich erschien. Mithilfe der Kombination unterschiedlicher Informationen wie Ereignisdaten, VPN- und Authentifizierungsaktivität, war eine Bewertung möglich, ob die Aktivitäten vor dem Morgengrauen abnormal waren oder nicht. In diesem Fall konnte festgestellt werden, dass es sich um legitime Aktivitäten gehandelt hat: Der Benutzer arbeitete zu untypischen Zeiten, um Arbeit nachzuholen, bevor seine Kinder später am Morgen aufwachten und seine Aufmerksamkeit benötigen.

Insider-Aktivitäten nehmen zu

Ein weiteres, oftmals unterschätztes Risiko sind sogenannte Insider-Bedrohungen. Erfahrungsgemäß nehmen derartige Aktivitäten gerade in Krisenzeiten deutlich zu. Wir konnten dies schon während der Finanzkrise beobachten, und auch während COVID-19 war ein deutlicher Anstieg zu verzeichnen. Dabei stellen in diesen Zeiten nicht die besonders motivierten und technisch hochqualifizierten Insider das größte Problem dar. In aller Regel ist es eher unwahrscheinlich (wenngleich natürlich nicht völlig ausgeschlossen), dass sich jemand wie Edward Snowden unter den eigenen Mitarbeitern befindet, also ein hochqualifizierter Netzwerkadministrator mit einer besonderen Zielsetzung. Stattdessen sollten Sicherheitsverantwortliche auf die durchschnittlichen Anwender achten: ein Angestellter, der jeden Tag an einem Computer sitzt, aber weit entfernt ist von einem IT-Experten, und der möglicherweise aus Sorgen um seinen Arbeitsplatz Daten und Informationen sammelt. Die Zahl der Nutzer, die Inhalte von lokalen Laufwerken oder Microsoft Office-Datenspeichern anhäufen, hat sich in den letzten Monaten verdreifacht. Sie verschieben zahlreiche Dateien vom Arbeitsplatz und Office 365 und laden diese auf ihre privaten PCs herunter oder teilen diese Daten über private Clouddienste. Allein der Umfang und die Art der so Beiseite geschafften Dateien deutet darauf hin, dass dies nicht aus beruflichen Gründen, also zum Erledigen ihrer Arbeit, geschieht.

Dabei machen es viele Unternehmen ihren Mitarbeitern auch im Homeoffice sehr einfach, auf sensible Unternehmensdateien zuzugreifen. Oft fehlen Kontrollen, die sie davon abhalten, Unmengen an Firmendokumenten auch auf persönliche Geräte zu kopieren. Zudem können Mitarbeiter in aller Regel auf zu viele Dateien und Ordner zugreifen. Der Data Risk Report [1] hat gezeigt, dass durchschnittlich 22 Prozent der Ordner eines Unternehmens für jeden Mitarbeiter zugänglich sind und in jedem zweiten Unternehmen alle Mitarbeiter auf mehr als 1.000 sensible Dateien zugreifen können. Diese Exposition von sensiblen Daten öffnet nicht nur Insider-Bedrohungen Tür und Tor, sondern ermöglicht es auch externen Angreifern mit einem kompromittierten Konto relativ einfach an wertvolle Informationen zu gelangen. Zudem können – je nach Inhalt der betroffenen Dateien – auch empfindliche DSGVO-Bußgelder drohen. Es braucht nicht mehr als eine sensible Datei, die in die falschen Hände gerät, um einem Unternehmen verheerende Schäden zuzufügen.

Schläferzellen

Aus Security-Sicht ist der Moment besonders kritisch, wenn die Mitarbeiter an ihre Schreibtische zurückkehren und ihre Laptops an das Unternehmensnetzwerk anschließen. Aufgrund der häufig schwach gesicherten Heimnetzwerke ist es durchaus wahrscheinlich, dass einige der verwendeten Endgeräte im Homeoffice unwissentlich mit Malware infiziert wurden. Diese kann sich wie eine terroristische Schläferzelle zunächst im Homeoffice versteckt halten und inaktiv bleiben. Ist der richtige Zeitpunkt gekommen, ist sie in der Lage, aktiv zu werden und den Angreifern eine direkte Verbindung in das Unternehmensnetzwerk zu ermöglichen. Von dort aus können sie sich lateral bewegen, möglichst ohne einen Alarm auszulösen oder von gänggen Sicherheitslösungen erkannt zu werden.

Die Sicherheitsanforderungen bei hunderten von Homeoffice-Anwendern unterscheiden sich wesentlich von denen des klassischen Büros, bei dem sämtliche Assets unter der direkten Kontrolle des Unternehmens sind. Es ist auch nicht praktikabel, zwei Sicherheitstrategien parallel zu betreiben, also eine für das Unternehmensnetzwerk und eine für das Homeoffice. Flexible Arbeitsplatzmodelle erfordern einen hybriden Ansatz, der sämtliche Bereiche abdeckt. Dabei erweist sich Zero Trust als das geeignetste Modell. Hierbei wird – einfach gesagt – niemandem vertraut, ganz gleich, ob er sich innerhalb oder außerhalb des Unternehmens-Perimeters befindet. Will sich also ein Mitarbeiter mit einer Ressource verbinden, wird er und das Gerät jedes Mal vorher genau überprüft, etwa im Hinblick auf Sicherheitsstatus oder Zugriffsrechte. Dabei spielt das Least-Privilege-Prinzip eine entscheidende Rolle: Jeder erhält demnach nur Zugriff auf jene Ressourcen, die er für seine Arbeit auch tatsächlich benötigt. Auf diese Weise kann ein potenzieller Schaden wirkungsvoll auf ein Minimum reduziert werden. In der heutigen hybriden Welt aus lokalen und Cloud-Datenspeichern mit Mitarbeitern, die zwischen Büro und Homeoffice pendeln verschwindet der Perimeter immer mehr. Der Zero Trust-Ansatz tritt so an die Stelle des klassischen Perimeterschutzes und stellt eine wesentliche und effektive Verteidigungslinie gegen Cyberkriminelle dar.

Quellen und Referenzen

[1] https://www.varonis.com/2019-data-risk-report/