Wie war das nochmal mit der IT-Sicherheit vor Corona?

Picture of Paul Hamich

Paul Hamich

Eins vorweg… Maßnahmen zur Verringerung der Unsicherheit sind stets vorteilhaft. Somit sollen die nachfolgenden Gedanken unter keinen Umständen als „finger-pointing“ verstanden werden. Der Fokus liegt auf einer objektiven Betrachtung der im Zuge der Pandemie auftauchenden Hinweise und Hilfestellungen. Ob als Checkliste, Fließtext oder Webinar: Hinweise bleiben Hinweise und wem es hilft, dem hilft es und das ist sodann in jedem Fall positiv.

Besonders das Thema Home-Office ist in den Fokus gerückt, da Corona die Mitarbeiter vieler Unternehmen unvorbereitet und gezwungenermaßen dorthin gedrängt hat.

Durch mobiles Arbeiten und Telearbeit entstehen weitere Szenarien, die es zusätzlich zur klassischen Büroarbeit zu betrachten gilt, um risikobasiert geeignete Maßnahmen zu etablieren.

Grund dafür sind die neuen Herausforderungen, die im Home-Office auf die Mitarbeiter zukommen: Dazu zählt unter anderem veraltete Technik/Systeme, fehlendes Verständnis und Awareness, ein eventuell schlecht zu erreichender Help-Desk oder der fehlende Kollege vor Ort, den man schnell mal fragen kann.

Angriffe auf Unternehmen steigen im Kontext Corona merklich an. Im Fokus steht die Ausnutzung der Unsicherheit sowie des Informationsbedarfs der Mitarbeiter. Jürgen Stock, der Generalsekretär von Interpol sagte dazu sehr treffend:

“Cybercriminals are developing and boosting their attacks at an alarming pace, exploiting the fear and uncertainty caused by the unstable social and economic situation created by COVID-19.”

Unternehmen ab einer mittleren Größe oder mit einschlägigen zertifizierten Management-Systemen sollten diese zusätzlichen Szenarien weniger überraschen.

Entsprechend sollten diese Unternehmen beim Verdauen der „Maßnahmen für mehr IT-Sec im Home-Office“ nicht vom Hocker fallen.

Umso mehr überrascht uns beim Überfliegen der zahlreichen Angebote dieser Hilfestellungen, dass der Großteil davon ein ziemlich alter Schuh ist.

Sehr wohl muss man bei der Analyse der Medien stets das adressierte Publikum berücksichtigen. Somit ist aus Sicht einer Tageszeitung und in Verbindung mit Absatz 1 (Eins vorweg) völlig legitim, sichere Passwörter, das Installieren von Patches und das Mitdenken zu empfehlen.

Mit oder ohne Pandemie, im Büro oder anderswo, diese Maßnahmen sind immer richtig und wichtig.

Zusammenfassend kann festgestellt werden, dass sich wenige Autoren bei der Preisgabe Ihrer „Checklisten für IT-Security in Zeiten von Corona“ tatsächlich auf die durch die Pandemie erforderlich werden Maßnahmen beschränkt haben. Vielmehr entsteht das Gefühl, dass mit der Gießkanne gearbeitet wird. Dazu werden „alte“ (und dabei auch wertvolle) Hinweise gegeben, die jedoch nicht ausschließlich „in Zeiten von Corona“ sondern stets passend sind. Problematisch könnte sein, dass in der Masse die notwendigen oder zeitkritischen Maßnahmen untergehen oder verzögert Beachtung finden.

Nun ist es natürlich immer recht einfach und bequem aus der zweiten Reihe zu schießen und hinterher schlauer als die anderen zu sein. Darum geht es uns hierbei jedoch nicht.

Wir wünschen uns eine differenzierte Berichterstattung und Unterscheidung bei der Maßnahmenempfehlung, damit ein angemessener Schutz stattfinden kann.

Schlussendlich muss jede Organisation für sich abwägen, welche Maßnahmen wie sinnvoll sind.

Wenn beim Verarbeiten der zahlreichen bereitgestellten Tipps zu viele als „das müssen wir schnell machen“ angesehen werden, dann ist das im Endeffekt gut. Es fördert zu Tage, dass es bisher anscheinend keine gebührende Würdigung der Informationssicherheit gab.

In diesem Fall sollte zeitnahe über sichere Passwörter, das Installieren von Patches und das Mitdenken gesprochen werden.

Anschließend empfiehlt sich eine grundlegende Diskussion, um dem Thema Sicherheit einen geregelten und geachteten Prozess zu verleihen. Ansonsten läuft man Gefahr zu viel oder gar ausschließlich mit dem Umsetzen von vereinzelten Maßnahmen zu verbringen, anstatt sich dem großen Ganzen zu widmen und die vorhandenen Ressourcen effizient einzusetzen. Shon Harris und Fernando Maymí schlussfolgern:

„The main reason organizations do not develop and roll out an enterprise security architecture is that they do not fully understand what one is and the task seems overwhelming. Fighting fires is more understandable and straightforward, so many companies stay with this familiar approach.”

Weitere interessante Artikel

COVID-19 und die Informationssicherheit beim Home-Office

Picture of Henrik Schilling

Henrik Schilling

Das COVID-19 Virus wird durch seine weltweiten Auswirkungen in die Geschichtsbücher als eine der weitreichendsten Krisen der jüngeren Geschichte eingehen. Die gesundheitlichen Auswirkungen sind immens und auch die Wirtschaft leidet unter der Ausnahmesituation. Immer mehr werden auch die Auswirkungen auf die Informationssicherheit sichtbar, die zu Beginn der Pandemie nicht beachtet wurden, aber eine sehr wichtige Rolle spielen, da sie immer brisanter werden. Durch die Tatsache, dass viele Unternehmen ihre Mitarbeiterinnen und Mitarbeiter in das Home-Office geschickt haben, ergeben sich zwar weniger gesundheitliche Risiken, dafür aber umso mehr für die Informations- und Datensicherheit.

Woher kommt das?

Nicht alle Mitarbeiterinnen und Mitarbeiter nutzen zuhause einen Firmenrechner, um ihren Aufgaben nachzugehen. Durch die Nutzung von privaten PCs ergeben sich von Natur aus schon mehr Risiken, da der Nutzungszweck deutlich vielseitiger ist, als sonst und beispielsweise durch das vermehrte Surfen im Internet Schadprogramme leichteres Spiel haben.

Auch kann der WLAN-Zugang zuhause eine geringere Sicherheitsstufe aufweisen als im Büro und vor allem beim Arbeiten im Freien und bei öffentlichen WLAN-Zugängen haben Angreifer ein deutlich leichteres Spiel, auf sensible Daten zuzugreifen. Nicht zu verachten ist hierbei außerdem der physische Diebstahl von Geräten oder der Zugriff durch kurzes Außerachtlassen und Nicht-Einstellen der Bildschirmsperre.

Des Weiteren sind vermehrt falsche und betrügerische Emails im Umlauf, die entweder durch vermeintliche Lagesituationen in Anhängen informieren möchten oder um Spenden an verschiedene Organisationen werben. Diese Emails sehen auf den ersten Blick vertrauenswürdig aus, häufig sind sie selbst von einer Emailadresse abgeschickt, die der Originalen (wie von Organisationen wie der WHO etc.) ähnelt oder gleicht. Allerdings sind die Zahlinformationen, die oft auf Krypto-Währung hinauslaufen, gefälscht, sodass das Geld nicht bei der vermeintlichen Organisation, sondern bei Betrügern ankommt.

Wie kann ich mich schützen?

Beim Arbeiten im Home-Office ist es wichtig, die nötigen Sicherheitsvorkehrungen, die im Büro eingehalten werden, ebenfalls zu beachten und darüber hinaus noch einige Dinge für die eigene Informationssicherheit zu unternehmen.

  1. Wählen Sie immer (WLAN, Email, Benutzerzugänge etc.) starke Passwörter. Verstecken Sie keine Zettel mit Ihren Passwörtern unter der Tastatur oder überhaupt in der Nähe des Computers. Solche physischen Passworthilfen sollten eigentlich auf keinen Fall angefertigt, bzw. zugänglich gemacht werden.
  2. Nutzen Sie, wenn möglich einen Arbeitsrechner und trennen Sie strikt private und professionelle Nutzung.
  3. Denken Sie auch im privaten Raum daran, bei Verlassen des Arbeitsplatzes stets eine Bildschirmsperre einzuschalten.
  4. Nutzen Sie aktuelle Sicherheitssoftware auf ihren Rechnern.
  5. Nutzen Sie, wenn möglich einen VPN-Client und am Besten eine Zwei-Wege Authentifizierung für das Einloggen in solche Systeme.
  6. Öffnen Sie keine Emails und vor allem keine Anhänge von unbekannten Absendern oder Absendern, mit denen Sie eigentlich nichts zu tun haben.
  7. Nutzen Sie Home Office- oder online Mitarbeiterschulungen, wenn diese von Ihrem Unternehmen angeboten werden. Für Unternehmen gilt: Bieten Sie unbedingt online Schulungen an, wie Ihre Mitarbeiterinnen und Mitarbeiter sich und das Unternehmen beim Home-Office schützen können.

Genauso wie beim Corona-Virus eine Mischung aus ganz normalem präventivem Schutz wie Händewaschen, Niesetikette etc. zu beachten und weitergehender Umsicht, wie das Meiden von Menschenansammlungen gilt, sind auch im Home-Office die normalen Richtlinien, an die man sich sowieso halten sollte. Also sichere Passwörter wählen oder unbekannte Emails nicht zu öffnen, gepaart mit weiteren Vorsichtsmaßnahmen, essentiell wichtig für eine Bewältigung der gegenwärtigen Situation.

Kleine Unachtsamkeiten und vor allem Unwissenheit können schnell zu großen Schäden führen, weswegen es sehr wichtig ist, dass Sie die Maßnahmen zur Informationssicherheit anwenden und sich, und im Falle eines Unternehmens, auch Ihre Mitarbeiterinnen und Mitarbeiter darüber informieren. Wenn diese Maßnahmen konsequent angewendet werden, haben Betrüger, die das Virus ausnutzen, zumindest ein deutlich schwereres Spiel an wichtige Daten zu kommen.

Wie es momentan so häufig heißt: Nur gemeinsam kommen wir durch diese außergewöhnliche Situation und das trifft auch in der Informationssicherheit zu. Achten Sie also auf sich und Ihre Daten und bleiben Sie gesund!

Weitere interessante Artikel