Home Office fordert die Cybersecurity

Neun von zehn Unternehmen (89 Prozent) der Digitalwirtschaft empfehlen ihren Mitarbeitern, im Home Office zu arbeiten. Zwei Drittel (64 Prozent) haben das sogar angeordnet. Unter dem Eindruck der Corona-Krise wird flexibles Arbeiten zum Standard, erklärt der Digitalverband Bitkom.

Doch was bedeutet diese Entwicklung für die Security? Hierüber haben sich zahlreiche IT-Sicherheitsexperten Gedanken gemacht, sind auf Einladung der COMPUTERWOCHE zusammengekommen und haben sich ausgetauscht. Dabei zeigte sich ein deutlicher Handlungsbedarf in der Cybersecurity, sowohl während der Corona-Pandemie als auch nach der Bewältigung der Krise.

"Die Corona-Krise hat zu einem Digitalisierungsschub in Deutschland geführt. Dabei wurde die Bedeutung von Datenschutz und Datensicherheit besonders sichtbar", sagt Stratos Komotoglou, Business Lead Microsoft 365 Security bei Microsoft.

Eine große Herausforderung in der Krise waren und sind die Home Offices.

"Bei vielen Unternehmen fehlten Maßnahmen zur Absicherung des Home Offices im Notfallplan", moniert Rüdiger Trost, Manager Pre-Sales bei F-Secure. "Es ging häufig zuerst um Business Continuity, dann erst um Security. Entscheidend ist es, eine Balance zu finden zwischen den notwendigen Zugriffen auf Unternehmensressourcen aus dem Home Office und der erforderlichen Security."

Informationen zu den Partner-Paketen der Studie Cybersecurity

Home Office ist eine Bewährungsprobe

Auch wenn Home Office an sich kein neues Thema ist, waren viele Unternehmen nicht vorbereitet.

"Vieles wurde pragmatisch gelöst, um Home Offices zu etablieren, doch die Security blieb dabei zurück", berichtet Tim Berghoff, Security Evangelist bei G Data CyberDefense. "Die Verantwortung für die IT-Sicherheit liegt nun plötzlich bei den Mitarbeitern selbst, aber die notwendige Awareness ist nicht überall vorhanden."

Wie stark improvisiert werden musste, macht Tim Berghoff sehr deutlich: "In einigen Fällen wurden einfach die Desktop-PCs aus den Büros mit ins Home Office genommen, da es keine anderen Geräte gab. Im Home Office wurden die Geräte aber möglicherweise anders verwendet als im Büro, vielleicht auch zu privaten Zwecken. Man kann nicht davon ausgehen, dass die erneute Integration der Geräte ins Firmennetzwerk risikolos ist."

"Bei der Nutzung der Endgeräte kann es zu einer Vermischung von Privatem und Beruflichem kommen", warnt Dr. Michael von der Horst, Managing Director CyberSecurity bei Cisco. "Ohne die richtige Endpoint Security entstehen dadurch Security-Probleme. Ebenso fehlt in vielen Unternehmen eine Zwei-Faktor-Authentifizierung. Identity-Diebstahl ist eines der kommenden großen Probleme."

Um die IT-Sicherheit im Home Office steht es nicht gut, wie auch eine Umfrage des Bundesverbands IT-Sicherheit e.V. (TeleTrusT) zeigt.

Auf die Frage, welche der empfohlenen Sicherheitsvorkehrungen die Home Office-Nutzer vorhalten, sagten nur 65 Prozent, ihr Rechner sei passwortgeschützt, 61 Prozent haben ein Virenschutzprogramm installiert, 49 Prozent nutzen den privaten Computer und den Dienstrechner getrennt, 37 Prozent haben eine VPN-Verbindung, 27 Prozent verwenden Mehr-Faktor-Authentifizierung, und ganze zwölf Prozent geben zu, dass sie keine besonderen Sicherheitsmaßnahmen im Home Office ergriffen haben.

Gleichzeitig steigt aber die Zahl der Cyber-Attacken. Internetkriminelle versuchen, die Gunst der Stunde zu nutzen und mit Spam, Phishing, Malware, Identitätsdiebstahl und Datenklau schnelle Beute zu machen.

"Die steigende Nutzung von Remote-Diensten für Video-Konferenzen und virtuelle Zusammenarbeit bringt ebenso neue Risiken mit sich wie die Verwendung neuer Geräte und BYOD", sagt Frank Kölmel, VP Central Europe, Cybereason. "Die Business-Units verändern die IT zu schnell für die Security. Die Security muss aufholen, denn die Remote-Dienste sind gekommen, um zu bleiben."

Konsolidierung der Security-Konzepte notwendig

Die Security-Experten sind sich einig, dass die in der Coronakrise sichtbar gewordenen Sicherheitsprobleme zu einer grundlegenden Veränderung in der Cybersecurity führen müssen. Das betrifft sowohl die Sicherheit der Endgeräte und der Clouds als auch die Netzwerksicherheit.

"Die Fragmentierung der IT und die Nutzung vieler, verschiedener Cloud-Dienste macht eine Konsolidierung in der Security notwendig", so G Data-Experte Tim Berghoff.

Endgeräte müssen standortunabhängig geschützt werden, ob im Home Office, unterwegs oder im Büro. Netzwerksicherheit muss ebenso standortübergreifend gesehen werden, Zugänge müssen flexibel, aber auch sicher möglich sein. Die Bedeutung von Cloud-Diensten ist sehr deutlich geworden, deshalb dürfen Schutzmaßnahmen für Clouds nicht mehr fehlen. Dabei müssen die verschiedenen Security-Maßnahmen ineinandergreifen.

"Die IT erfordert eine zentrale Security. Der größte Vorteil einer zentralen Security wird bei Threat Intelligence, dem Wissen um Bedrohungen sichtbar. Die Security-Lösungen müssen miteinander kommunizieren und Signale austauschen, um bestmöglich schützen zu können. Die Coronakrise hat die Einsicht dafür verstärkt", erklärt Stratos Komotoglou von Microsoft.

Der notwendige übergreifende Schutz spricht ebenso für eine Konsolidierung der Security wie der Kostendruck, den die Coronakrise mit sich bringt. Es wird jetzt stärker die Frage gestellt, welche Kosten durch die Security entstehen.

"Die Art, wie Security gesehen wird, wird sich in einer Rezession verändern", meint Sergej Epp, Chief Security Officer Central Europe von Palo Alto Networks. "Unternehmen haben sich bisher viele Security-Lösungen geleistet, doch nun wird man stärker nach den Kosten und dem RoI fragen. Es wird zu einer Konsolidierung in der Security kommen, das sollte auch als Chance begriffen werden."

Dabei sind durchaus weiterhin Budgets für Security verfügbar.

"Anfangs wurden viele Budgets eingefroren, doch das hat sich schnell wieder geändert", so Rüdiger Trost von F-Secure. "Die steigenden Angriffszahlen machen deutlich, dass man an Security nicht sparen sollte."

Informationen zu den Partner-Paketen der Studie Cybersecurity

Auf vertrauenswürdige Service-Provider setzen

Der Fachkräftemangel in der Security bleibt in und nach der Corona-Krise ein spürbares Problem. Die Security-Experten sehen deshalb einen klaren Trend hin zu Managed Security Services (MSS).

"Dabei spielen auch neue Services eine Rolle", erklärt Michael von der Horst. "Der Schutz durch VPNs für Endgeräte im Home Office ist löchrig, da diese oft auch ohne VPN-Verbindung für private Zwecke genutzt werden. Schutzmaßnahmen auf der DNS-Ebene (Rückkanal) und SD-WAN werden hier in Zukunft eine wichtige Rolle spielen können."

"MSS-Provider bringen entscheidende Vorteile für viele Firmen, die selbst kein Cybersecurity-Know-How aufbauen wollen. Damit werden die MSSPs selbst ein zunehmend lukratives Ziel für die Angreifer", sagt Sergej Epp. "Einige MSSP haben es mit APT10/CloudHopper bereits auf die harte Tour gelernt."

In der jüngeren Vergangenheit haben diese gezielten Angriffe auf MSS-Dienste zugenommen. Dabei erhoffen sich die Angreifer, über mögliche Schwachstellen bei den MSS-Anbietern (MSSP) gleich mehrere der Kunden erfolgreich attackieren zu können. Deshalb kommt es darauf an, einen zuverlässigen, vertrauenswürdigen MSS-Anbieter auszuwählen.

"Die Sicherheit bei einem MSS-Anbieter ist in aller Regel höher als die interne Sicherheit eines Unternehmens", meint Tim Berghoff von G Data CyberDefense. "Das Vertrauen in den MSS-Anbieter und eine regelmäßige Kommunikation zwischen Kunde und MSS-Provider sind wichtig."

"Als Unternehmen sollte man sich fragen, welcher MSS-Anbieter passt zu mir", erklärt Christian Koch, Director GRC & IoT/OT bei NTTs Security Division. "Dabei sollte man auf die Erfahrung und etablierten Vorgehensweisen und Betriebsmodelle des MSS-Providers vertrauen und nicht nur erwarten, dass der eigene Anforderungskatalog vollständig umgesetzt wird."

CISO und CIO müssen stärker kooperieren

Der Bedarf an einer konsolidierten und zentralen Security ist offensichtlich geworden, auch durch die Corona-Krise. Doch wer soll die notwendigen Veränderungen einleiten? Ist es eine Aufgabe für den CISO alleine, oder ist eher der CIO gefragt?

"Wir sehen den Wandel, dass CISOs sich zunehmend als Geschäftsgestalter in ihren Unternehmen etablieren und auf Augenhöhe mit dem CIO stehen. In der Finanzindustrie ist es sogar nicht nur ein Trend, sondern eine Forderung der Regulatoren", berichtet Sergej Epp.

Neben der Branche spielt auch die Größe der Unternehmen eine Rolle.

"Es kommt darauf an, dass CISO und CIO eng zusammenarbeiten. Security ist durchaus ein Thema für den CISO, in kleineren Unternehmen, ohne CISO, muss sich der CIO darum kümmern", meint Stratos Komotoglou von Microsoft.

"Ein CISO sollte nicht an den IT-Leiter berichten", lautet die klare Empfehlung von Christian Koch, Director GRC & IoT/OT in der NTT Security Division. "Es kann sonst zu Interessenkonflikten kommen. Der CISO sollte an die Geschäftsprozesse denken, die es abzusichern gilt, nicht nur an die einzelnen IT-Systeme, die der CIO im Blick hat."

Gibt es sowohl einen CIO als auch einen CISO im Unternehmen, muss ihre Beziehung genau geklärt sein.

"Aufgrund des Aufgabenspektrums, welches über IT-Sicherheit hinausgeht und wegen möglicher Interessenkonflikte ist es nicht empfehlenswert, dass der CISO an den CIO berichtet", meint auch Ibrahim Koese, Director Solutions und Consulting bei Spike Reply. "Für die effektive Umsetzung der Security ist der CISO auf den CIO angewiesen, und daher muss die Verantwortung für operative IT-Security beim CIO liegen."

Diese Beziehung zwischen CIO und CISO gilt es nun umgehend zu prüfen und anzupassen, damit die notwendigen Änderungen in der Security zeitnah angegangen werden können.

Die Security-Konsolidierung hilft nicht nur in Krisenzeiten und als Krisenvorsorge, sie ist eine notwendige Folge der fortschreitenden Digitalisierung. Die Krise hat den Bedarf nur sichtbarer gemacht.

Informationen zu den Partner-Paketen der Studie Cybersecurity