Anzeige

Login

Corona hat dem Home-Office allerorts enormen Auftrieb verschafft. Welche Sicherheitsaspekte dabei aber oft vernachlässigt wurden, erläutert Sascha Martens, CTO und Cybersecurity Evangelist der MATESO GmbH.  

Die Corona-bedingten Kontakteinschränkungen haben Unternehmen aller Branchen und Größen gezwungen, ihre gewohnte Arbeitskultur radikal umzustellen und eine Vielzahl von Büro-Arbeitsplätzen innerhalb kürzester Zeit ins Home-Office auszulagern. Der Security-Fokus lag dabei häufig nur auf den Endgeräten und der Anbindung, obgleich der "Faktor Mensch" auch – und gerade – in der Abgeschiedenheit des Home-Office die größte Gefahr für die IT-Sicherheit des Unternehmens darstellen kann.

Die enormen technischen und organisatorischen Herausforderungen der letzten Monate brachten selbst personell und finanziell hervorragend ausgestattete IT-Abteilungen dicht an ihre Belastungsgrenze. Alleine die Beschaffung geeigneter Endgeräte erforderte viel Einsatz und Kreativität, da nicht nur in Deutschland oder der EU, sondern auf der ganzen Welt der Bedarf förmlich explodierte. Standen diese nicht in ausreichender Anzahl zu Verfügung, galt es, die vorhandenen Privatgeräte à la BYOD zu prüfen und ggf. anzupassen. Gleichzeitig mussten externe Zugänge zu den unternehmensinternen Infrastrukturen und Servern eingerichtet und abgesichert werden. Sobald die "Telearbeiter" dann weitestgehend arbeitsfähig waren, schienen die drängendsten Probleme erledigt und ein akzeptables Sicherheitsniveau erreicht. Diese Einschätzung erwies sich aber nicht selten als fataler Trugschluss, der bis heute ein erhebliches Risiko für zahlreiche Betriebe, Organisationen und Behörden birgt. 

Schwachstelle Passwort-Sicherheit

Der Mensch ist von seiner Natur aus darauf programmiert, mit dem geringstmöglichen Einsatz das gewünschte Ergebnis anzustreben. Dieses Prinzip hat auch im Berufsumfeld Gültigkeit, greift aber leider im Bereich der IT-Sicherheit viel zu kurz. Bei der Wahl eines wirklich sicheren Passworts sind Bequemlichkeit und Gewohnheit die denkbar schlechtesten Berater. Überlässt man es den Mitarbeitern, ihre Passwörter selbst zu erstellen, zu verwalten und regelmäßig zu ändern, stößt man Cyber-Kriminellen das Scheunentor zu den sensiblen Unternehmens- und Kundendaten weit auf. Ein paar Zahlen aus unserer täglichen IT-Security-Praxis die immer wieder für erschreckendes Erstaunen sorgen (Sailpoint Umfrage):

  • 56 Prozent der Berufstätigen nutzen für private und geschäftliche Logins komplett identische Passwörter. 
  • Einer von sieben Mitarbeitern würde sein Passwort an Dritte verkaufen.
  • Jeder fünfte Angestellte teilt sein Passwort mit Team- oder Abteilungsmitgliedern.

Falsches Sicherheitsempfinden im Home-Office

Unabhängig davon, ob die Mitarbeiter einen vorkonfigurierten Firmen-Laptop oder einen von der IT-Abteilung entsprechend eingerichteten privaten Rechner benutzen, gehen viele davon aus, dass die Anbindung ans Unternehmen schon sicher genug sei. Demzufolge sinkt das Risiko-Bewusstsein – und infolgedessen die Qualität der gewählten Passwörter. Aber auch die Angewohnheit, beim Verlassen des Arbeitsplatzes regelmäßig den Rechner zu sperren, leidet durch die Vertrautheit der heimischen Umgebung. 

Risikofaktoren Kurzarbeit und Job-Unsicherheit

Der weltweite wirtschaftliche Einbruch führte in Deutschland zu einer massiven Ausweitung der Kurzarbeit. Dieses bewährte Krisen-Werkzeug wirkt sich zwar stabilisierend auf die finanzielle Situation betroffener Unternehmen aus, wird aber von vielen Arbeitnehmern nichtsdestotrotz als sehr belastend wahrgenommen. Gerät das bis vor kurzem noch als stabil und wertschätzend wahrgenommene Arbeitsverhältnis vermeintlich ins Wanken, bekommt bei einigen Menschen auch die Loyalität deutliche Risse. Diese Personen stellen dann keine passiven Sicherheitsrisiken mehr dar, sondern verwandeln sich zu besonders gefährlichen Insidern, die ungeheuren Schaden anrichten können. 

Gegenmaßnahme: rollenbezogene Remote-Verwaltung von Passwörtern

Um sowohl die passive Unbekümmertheit und Bequemlichkeit vieler Mitarbeiter als auch die immer wieder auftretende aktive Korrumpierbarkeit weniger schwarzer Schafe wirklich in den Griff zu bekommen, führt meiner Einschätzung nach auf lange Sicht kein Weg an einer zentralen Passwort-Management-Lösung vorbei. Diese sollte die Organisations- und Verantwortungsstruktur des Unternehmens 1:1 abbilden, eine flexible Rollen- und Rechteverwaltung mitbringen und über eine hochsichere, End-to-End-verschlüsselte Verbindung auch das ortsunabhängige Arbeiten ermöglichen.

Wichtig dabei: Die Mitarbeiter sollten nicht mit komplexen Einwahl-Prozeduren belastet werden. Damit auch der Faktor Mensch – mit und ohne böse Absichten – das IT-Security-Konzept nicht kompromittieren kann, sollten besonders wichtige Rollen und Accounts mit einer Mehrfaktor-Authentifizierung geschützt und ggf. auch nach dem Mehr-Augen-Prinzip verfahren werden. Die Passwort-Generierung selbst wird natürlich vollständig automatisiert und der Verantwortung der Nutzer entzogen. Nicht zuletzt sorgt dann auch die Wahl eines in Deutschland ansässigen Anbieters für die strikte Einhaltung der hiesigen Datenschutzbestimmungen.

Sascha Martens, CTO & Cybersecurity Evangelist
Sascha Martens
CTO & Cybersecurity Evangelist, Mateso | Password Safe

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

IAM
Aug 27, 2020

Auch im Homeoffice sicher: Automatisiertes Identity- und Accessmanagement

Aus der Not heraus waren viele Mitarbeiter gezwungen, in Eile auf Remote Work umzustellen…
Passwort
Mai 07, 2020

Der Umgang mit Passwörtern ist unverändert schlecht

Sichere Logins sind im Home Office wichtiger denn je. Doch das Passwortverhalten der User…
Cybersecurity
Apr 07, 2020

Cybersicher Einloggen im Homeoffice - Was die IT jetzt tun kann

Wenn man sich fragt, was Unternehmen in diesen Tagen tun können, um ihre Cybersicherheit…

Weitere Artikel

Archivierung

DSGVO-konforme Archivierung aus der Cloud

Dokumentenmanagement ist schon per Definition ein auf Langfristigkeit und Sicherheit ausgerichtetes Thema. Moderne Softwareanwendungen unterstützen Unternehmen heute bei der elektronischen Dokumentation, rechtssicheren Verwaltung und Archivierung sämtlicher…
Clean

IT-Hygiene - Was hat Datenschutz mit Händewaschen zu tun?

Händewaschen ist eine wirksame Hygiene-Maßnahme, die vor einer Ansteckung mit Keimen, Bakterien und Viren schützen kann. Unternehmen sollten das Thema Datenschutz nach dem gleichen Prinzip angehen, erklärt der Sicherheitsspezialist Virtual Solution.
Datenschutz

Beschäftigtendatenschutz während der Pandemie

Immer mehr Arbeitnehmer kehren aus dem Homeoffice an ihren Büroarbeitsplatz zurück. Was das für den Datenschutz bedeutet und worauf dabei zu achten ist. Die Coronakrise hat uns alle kalt erwischt. Plötzlich war alles anders – im Privatleben, in der Freizeit,…
DSGVO

Datenschutz-Grundverordnung verbessern

Rechtswissenschaftler der Universität Kassel haben die Defizite der Datenschutz-Grundverordnung (DSGVO) evaluiert und machen in ihrem Buch „Datenschutz-Grundverordnung verbessern“ 33 leicht umsetzbare Vorschläge, wie sie – vor allem für Bürgerinnen und Bürger…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!