agcreativelab - stock.adobe.com
Wie sich die Sicherheitskultur in Unternehmen ändern muss
Die Rolle des CISO und der Sicherheitskontrollen müssen als Folge des wachsenden Home-Office-Anteils überarbeitet werden. Es ändern sich nicht nur technische Sicherheitsfaktoren.
Viele Unternehmen haben bereits zum Ausdruck gebracht, dass nach dem Abklingen der akuten COVID-19-Situation die Arbeitswelt nicht mehr dieselbe sein wird wie zuvor. Impulsgeber aus Wirtschaft und Finanzwelt sagen voraus, dass große Büros der Vergangenheit angehören könnten, und der viel gepriesene flexible Arbeitsplatz der Zukunft durch die Pandemie schneller zur Realität wird, als ursprünglich prognostiziert.
Ein Wandel der Arbeitsgewohnheiten wirft eine Reihe wichtiger Fragen für die IT auf. Eine davon ist die Rolle, die die IT-Sicherheit in einer Arbeitswelt mit einer zunehmend verstreuten Belegschaft spielen muss. Wie die gegenwärtige Krise gezeigt hat, verschwimmen durch eine längere Phase der Heimarbeit die Grenzen zwischen der IT-Umgebung des Unternehmens und des Privatlebens der Mitarbeiter.
Dabei gehen technologiegestützte Sicherheitsvorgaben und -prozesse mitunter verloren. Ein Beispiel: Mitarbeiter benutzen in der Zeit der sozialen Distanz von zu Hause aus Unternehmensgeräte zum persönlichen Surfen im Internet oder erlauben ihren Kindern von einem Business-Notebook aus auf ihre Lieblingsanwendungen zuzugreifen.
Solange die Mitarbeiter im Büro angesiedelt sind, sorgen die Sicherheitsvorkehrungen des Unternehmens für einen Schutzschirm beim Zugriff auf Anwendungen, das Internet und auf alle in die Cloud verlagerten Daten und Applikationen.
Durch eine flächendeckende Verlagerung der Arbeit in das Home-Office gilt es neu zu bewerten, wie Unternehmen das gleiche Sicherheitsniveau aufrechterhalten können, wenn sich die Mitarbeiter nicht mehr in dem Bereich der Unternehmenskontrollfunktion aufhalten. Diese Situation erfordert nicht nur ein Überdenken der Sicherheitsmaßnahmen, sondern auch eine Neubewertung von Notfallplänen. Es gilt zu klären, wo die Sicherheitsverantwortung in diesem weiter gefassten Arbeitsumfeld liegen sollte.
Büroausstattung zu Hause auf dem Prüfstand
Es ist einfach, die gleichen Sicherheitskontrollen auf das Personal im Büro anzuwenden, wie auf die Mitarbeiter im Außendienst. Zero Trust Network Access (ZTNA) als Teil des von Gartner entwickelten SASE-Rahmenwerks (Secure Access Service Edge) kann sicherstellen, dass Mitarbeiter unabhängig von ihrem Aufenthaltsort und dem verwendeten Gerät beim Zugriff auf das Internet und auf Arbeitsanwendungen den gleichen Schutz genießen.
Die Idee hinter dem SASE-Konzept besteht darin, dass der Datenverkehr auf seinem gesamten Weg von einem Benutzer zu einer Anwendung gesichert ist, unabhängig davon, wo der Benutzer sich befindet oder wo die Anwendung gehostet wird. Auf diese Weise wird der traditionelle Perimeter in Richtung des einzelnen Anwenders verschoben.
Regelmäßiges Arbeiten von zu Hause aus geht jedoch mit einem größeren kulturellen Wandel einher, der nicht mehr ausschließlich die technische Sicherheit des Arbeitsgeräts umfasst. Es gilt, weiter gefasste Sicherheitsebenen in die Überlegungen einzubeziehen. Schon vor der aktuellen Krise zeigte eine Analyse des Zscaler ThreatLabZ-Teams beispielsweise den Vormarsch von Schatten-IoT-Geräten auf, die über das Unternehmensnetzwerk mit dem Internet verbunden sind.
Mit dem neuen Arbeitsplatz aus der eigenen Wohnung oder dem Smart Home muss nun eine noch breitere Palette von oftmals ungesicherten Geräten, von Smart TVs bis hin zu Kühlschränken mit Internetanschluss oder HVAC-Systemen, als potenzielle Bedrohung betrachtet werden. Das bedeutet, dass weit mehr als nur ein Notebook und ein Smartphone abgesichert werden müssen, wenn Mitarbeiter von zu Hause aus arbeiten.
Sicherheitsüberlegungen müssen darüber hinaus weitaus mehr Faktoren einbeziehen, als nur die Gewährleistung der Verbindung des Remote-Mitarbeiters mit dem Unternehmensnetzwerk. Angesichts dieser neuen Normalität muss jeder Arbeitgeber überdenken, was das Unternehmensnetzwerk in der erweiterten Betrachtung heute ausmacht.
Sind die Privatwohnungen der Mitarbeiter jetzt womöglich in das Sicherheitskonzept des Unternehmensnetzwerks einzubeziehen? Das würde bedeuten, dass die Arbeitgeber die umfassenderen Bedrohungen in der häuslichen Umgebung genauso berücksichtigen müssen in ihrer Strategie, wie im Firmennetz und dementsprechend Privatwohnungen in ihre Programme zum Management des Gefährdungspotenzial einbeziehen müssten.
Die Büro-Psychologie
Ein zweiter, weniger greifbarer aber dennoch wichtiger Aspekt der Sicherheit ist kultureller Natur. Die Denkweise bei der Arbeit zu Hause unterscheidet sich mitunter erheblich von der im Büro. Ein Firmen-Notebook kann, wenn er nach Hause mitgebracht wird, leicht zu einem Heim-Notebook zweckentfremdet werden, der zum persönlichen Surfen benutzt wird. Sogar der Rest der Familie könnte versucht sein, dieses Notebook für Hausaufgaben oder soziale Interaktion mit Freunden zu benutzen.
An dieser Stelle verschwimmen die Grenzen noch mehr und begünstigen zusätzliche Risikofaktoren, die bei traditionellen hardwarebasierten Infrastrukturen nur schwer aus der Ferne gesichert werden können. Darüber hinaus müssen Arbeitgeber möglicherweise überdenken, wie Heimbüroumgebungen abgetrennt und damit gesichert werden können.
Zu berücksichtigen ist zusätzlich ein weiterer, nicht-technischer Aspekt. Denn die Einstellung in punkto Arbeitssicherheit könnte von zu Hause aus entspannter betrachtet werden. Im Büro gibt es kollaborative Sicherheitsprozesse, die durch Remote-Arbeit nicht mehr greifen. Eingespielte Praktiken, wie das Sperren des Bildschirms beim Verlassen des Büroschreibtisches oder die Durchführung vertraulicher Besprechungen oder Telefongespräche, ohne dass andere Mitarbeiter in Hörweite sind, bleiben zu Hause oft auf der Strecke.
Zu bedenken gilt es, dass Cyberkriminalität nicht immer im digitalen Raum stattfindet. Und in einem Haushalt mit Kindern, die gegebenenfalls zeitgleich betreut werden müssen, kann es zu Nachlässigkeiten kommen. Social Engineering ist ein Hauptangriffsvektor und aufgrund der psychologischen Faktoren durch die Arbeit von zu Hause, sind Mitarbeiter auch aufgrund der Mehrfachbelastungen durch die Familie gegebenenfalls ein leichteres Ziel für Manipulation.
Dr. Jessica Barker, Co-CEO und Sozio-technische Leiterin bei Cygenta und Vorsitzende des ClubCISO, weist darauf hin, dass das Sicherheitsbewusstsein und die Sicherheitskultur im Szenario des Heimarbeitens eine neue Rolle einnehmen müssen: „In den letzten Monaten haben viele Organisationen eine radikalere digitale Transformation durchgemacht, als dies in den letzten Jahren der Fall war. Für viele gab es keine andere Wahl, als Daten in die Cloud zu verlagern oder Remote-Arbeit in großem Maßstab zu ermöglichen – es wurde schlichtweg überlebensnotwendig für Unternehmen. Wir müssen uns die Auswirkungen, die diese Veränderungen auf unsere Abhängigkeit von der Technologie haben, bewusst vor Augen führen.“
Ebenso wichtig sei es laut Barker, dass wir uns damit befassen, wie sich unser Verhalten und die Kultur im Hinblick auf Cybersicherheit in der Folge verändern müssen. „Es ist von entscheidender Bedeutung, dass Organisationen die Folgen der Telearbeit im Unterschied zum Büroarbeitsplatz in Punkto Sicherheitsbewusstsein von Einzelpersonen und Teams berücksichtigen“, fügt sie hinzu.
„Es muss untersucht werden, welche Auswirkungen die geänderte Arbeitsumgebung auf das Sicherheitsverhalten haben könnte, beispielsweise ob den Mitarbeitern überhaupt bekannt ist, wie sie einen Sicherheitsvorfall melden können. Jeder Angestellte muss sich der Bedeutung bewusst sein, dass im Falle einer Sicherheitsverletzung eine solche Meldung auch erfolgen muss. Zeitgleich mit dieser enormen Veränderung der Arbeitsumgebung versuchen Angreifer mit Social Engineering-Taktiken, die Unsicherheiten, den Stress und die Angst auszunutzen, die durch COVID-19 geschürt wurden; Bewusstsein, Verhalten und Kultur sind in dieser Situation im Hinblick auf die Sicherheit wichtiger denn je“, so Barker.
Abschätzung eines neuen Risikoniveaus
Insbesondere die psychologischen Faktoren, die durch die Heimarbeitssituation eingeführt werden, gehen über die Parameter zur Sicherheitsbewertung der Security-Verantwortlichen im Unternehmen weit hinaus. Diese neuen Risikofaktoren liegen außerhalb der Kontrolle des Unternehmens.
Dies eröffnet eine neue Ebene der Risikobewertung innerhalb einer Organisation. Welche Mitarbeiter könnten möglicherweise vertrauliche Daten in ihren eigenen vier Wänden bearbeiten, und wie kann ein Unternehmen das damit einhergehende Risiko mindern? Wenn Telearbeit tatsächlich zur neuen Normalität wird, welche Schritte müssen Unternehmen dann unternehmen, um eine sicherere Arbeitsumgebung zu gewährleisten?
„Die CISO-Funktion muss schnell lernen, die durch die erweiterte Arbeitsumgebung hinzukommenden Risikofaktoren zu bewerten, um eine neue Sicherheitskultur etablieren.“
Marc Lueck, Zscaler
Letztendlich läuft es darauf hinaus, festzulegen, welche Abteilung innerhalb des Unternehmens für zusätzliche Maßnahmen zuständig ist, die über die technologische Infrastruktur hinausgehen. Traditionell würden einige dieser Aktivitäten in den Zuständigkeitsbereich der Personalabteilung oder des Datenschutzbeauftragten fallen. Aber ist die Personalabteilung darauf vorbereitet, diese Art von Risikobewertungen und Risikominderung durchzuführen?
Die Funktion des CISOs sollte für die Betreuung von Unternehmensdaten in all ihren möglichen Formen verantwortlich sein. Die Risiken für Unternehmensdatenverändern sich durch die Ausweitung der Home-Office-Umgebung und es wird schwieriger, den bestehenden Sicherheitsstatus des Unternehmens aufrechtzuerhalten.
Um dem Risikoniveau neuen einer Home-Office-Kultur gerecht zu werden, muss der Verantwortungsbereich des CISOs erweitert werden. Die CISO-Funktion muss schnell lernen, die durch die erweiterte Arbeitsumgebung hinzukommenden Risikofaktoren zu bewerten, um eine neue Sicherheitskultur etablieren. Nur wenn ein Unternehmen sich des neuen Risikos bewusst ist, kann es kalkuliert und in ein aktualisiertes Risikorahmenwerk aufgenommen werden.
Über den Autor:
Marc Lueck ist EMEA CISO bei Zscaler.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.