Vertrauen ist gut? Gegen Pishing hilft nur Zero Trust!

Mit der Corona-Pandemie wechselten zahlreiche Teams vom Büro ins heimische Arbeitszimmer – der „Everywhere Workplace“ war geboren. Ein flexibles Modell, das aber auch Schattenseiten mit sich bringt: Denn die Mitarbeiter greifen auf Firmenressourcen von Geräten aus zu, die sich oftmals der Kontrolle der IT-Abteilung entziehen. Damit einher gehen Gefahren für die Cybersecurity, beispielsweise Phishing. Die ideale Lösung: Zero Trust Security. 

Herausforderung Everywhere Workplace

Sowohl Mitarbeiter als auch Unternehmen schätzen die Flexibilität, von überall aus zu arbeiten. Denn der „Everywhere Workplace“ erhöht das Engagement, die Freiheit und Effizienz für alle Beteiligten. Dafür spricht auch eine Gartner-Umfrage[1]: Demnach planen 90 Prozent der befragten Unternehmen, ihren Mitarbeitern zumindest teilweise die Möglichkeit zu geben, aus der Ferne zu arbeiten.

Mit diesen Vorteilen gehen aber auch Herausforderungen einher. Denn ortsunabhängiges Arbeiten bedeutet, dass Mitarbeiter von überall aus auf IT-Netzwerke, Anwendungen und Daten zugreifen. Dabei nutzen sie verschiedene, oftmals auch private Geräte und Internetverbindungen. Fakt ist deshalb: Sicherheitsmaßnahmen, mit denen IT-Teams Ressourcen normalerweise schützen, greifen hier oft nicht mehr – sofern die Mitarbeiter sich nicht so umsichtig verhalten, wie es erforderlich ist. Insofern hat diese Remote-Arbeitswelt auch die Angriffsfläche vergrößert und bringt neue Sicherheitsherausforderungen für Unternehmen mit sich.

Ausgangslage: Mehr Phishing am Everywhere Workplace

Zu diesem Schluss gelangt auch eine Studie des Security-Anbieters Ivanti[2] zum Ausmaß von Pishing- Angriffen in Unternehmen. Mit der umfassenden Verlagerung der Arbeitsplätze an Remote- Standorte sind demnach die Angriffe, deren Raffinesse und die Auswirkungen von Phishing-Attacken deutlich gestiegen. Fast drei Viertel (74 Prozent) der Befragten sagen, dass ihr Unternehmen im letzten Jahr Opfer eines Phishing-Angriffs geworden ist, wobei alleine 40 Prozent im letzten Monat eine solche Attacke erlebt haben. Für die Studie wurden im Frühjahr 2021 über 1.000 IT-Experten in Unternehmen in den USA, Deutschland, Großbritannien, Frankreich, Australien und Japan befragt.

Hintergründe sind vielschichtig

Remote-Mitarbeiter greifen verstärkt mit mobilen Geräten auf Unternehmensdaten zu. Diese Situation nutzen Hacker offenbar aus und nehmen speziell Sicherheitslücken in diesem Umfeld in den Blick. Zu den neuesten Varianten der Angriffe gehören daher Smishing (SMS-Phishing)- und Vishing- Scams (Voice-Phishing).

Doch woran liegt es, dass die Attacken erfolgreich sind? Auch dazu gibt die Pishing-Studie Aufschluss. 37 Prozent der Befragten nennen als Hauptursache für erfolgreiche Phishing-Angriffe sowohl einen Mangel an entsprechender Technologie als auch zu wenig Achtsamkeit der Mitarbeiter. Viel zu oft verwenden Verbraucher ihre Arbeits-E-Mail oder berufliche Passwörter, um sich bei Verbraucher- Websites und -Anwendungen wie Essenslieferungs-Apps und Online-Einkaufsseiten anzumelden – mit entsprechenden Risiken für die IT-Security.

Auch der Pishing-Studie zufolge ist insbesondere das fehlende Gefahrenbewusstsein der Mitarbeiter der primäre Grund für erfolgreiche Angriffe. Hier beläuft sich die Zustimmung der Befragten auf 34 Prozent. Ein wichtiger Hebel zum Gegensteuern ist die entsprechende Schulung der Mitarbeiter – die offenbar auch vom überragenden Großteil der Unternehmen durchgeführt wird: Fast alle Unternehmen (96 Prozent) bieten Cybersecurity-Trainings an, um die Teams für häufige Angriffsarten wie Phishing und Ransomware zu sensibilisieren. Doch die Umsetzung lässt zu wünschen übrig. So stimmt nicht einmal ein Drittel (30 Prozent) der Befragten zu, dass ein Großteil der Mitarbeiter, also mehr als 80 Prozent, diese Schulungen auch absolviert haben.

Personalmangel verschärft die Situation

Das Verhalten der Mitarbeiter ist aber nur ein Grund für die verschärfte Lage. Denn wenn es darum geht, die Sicherheitslage eines Unternehmens unter Kontrolle zu bringen, braucht es entsprechende IT-Fachkräfte. Leider herrscht gerade in diesem Bereich ein großer Mangel. Das bestätigte im vergangenen Jahr rund die Hälfte der Befragten (52 Prozent). Davon sehen wiederum 64 Prozent das fehlende Personal als Ursache dafür, dass es zu lange dauert, Vorfälle zu beheben. Entsprechend glaubt nahezu die Hälfte (46 Prozent), dass die Zunahme von Phishing-Angriffen direkt aus einem Mangel an IT-Fachkräften resultiert.

Zero Trust Security als geeignete Strategie

Doch wie lassen sich in einem solchen Umfeld geeignete Sicherheitsmaßnahmen umsetzen? Zero Trust Security ist hier der geeignete Weg. Er ermöglicht es Unternehmen, jedes Asset und jede Transaktion umfassend zu verifizieren, bevor sie auf das Netzwerk zugreifen können. Dazu zählt etwa die starke Authentifizierung von Nutzern, laufend geprüfte Wartungszustände der Geräte und die Mikrosegmentierung von Netzwerken.

Zero Trust nimmt zudem die gesamte Umgebung des Nutzers in den Blick, bevor der Zugriff gewährt wird. Ein Beispiel hierfür ist die Analyse, ob Mitarbeiter von einem firmeneigenen Gerät über ein sicheres Unternehmensnetzwerk auf sensible Kundendaten zugreifen oder von einem privaten Smartphone über das kostenlose WLAN im Zug. Das Zero-Trust-Modell hilft Unternehmen dabei, sich zielführend gegen die wichtigsten Gründe von Datenschutzverletzungen wie gestohlene Anmeldedaten, die Wiederverwendung von Passwörtern und das Imitieren von Nutzern zu wappnen.

Automatisierung treibt Zero Trust

Automatisierung, die den Kontext berücksichtigt, ist der entscheidende Teil einer effektiven Zero- Trust-Authentifizierungsstrategie. Automatisierungstools enthalten in der Regel grundlegende Zero- Trust-Sicherheitsfunktionen wie die kontinuierliche Bewertung des Gerätezustands, rollenbasierte Nutzerzugriffskontrolle und Standorterkennung. Mit Deep Learning haben Unternehmen die Möglichkeit, proaktiv und prädiktiv Probleme mit Konfigurationsdrift, Leistung, Anwendungsverfügbarkeit, Sicherheitsschwachstellen und mehr auf Geräten zu erkennen und dagegen vorzugehen, noch bevor der Endnutzer eine Störung feststellt.

Der Everywhere Workplace bringt Mitarbeitern und Unternehmen eine neue, flexible Arbeitswelt. Damit er aber seine volle Kraft entfalten kann, gilt es für Unternehmen, insbesondere das Thema Security rigide nach einem Zero-Trust-Modell zu managen. Auf diese Weise können sie sich optimal gegen Hackerangriffe rüsten.

Quellen und Referenzen

[1] https://www.gartner.com/en/newsroom/press-releases/12-14-2020-gartner-survey-finds-ninety-percent-of-hr-leaders-will-allow-employees-to-work-remotely-even-after-covid-19-vaccine-is-available
[2] https://www.ivanti.de/resources/v/doc/infographics/ivi-2594_9-must-know-phishing-attack-trends-ig-de