Anzeige

Login

Corona hat dem Home-Office allerorts enormen Auftrieb verschafft. Welche Sicherheitsaspekte dabei aber oft vernachlässigt wurden, erläutert Sascha Martens, CTO und Cybersecurity Evangelist der MATESO GmbH.  

Die Corona-bedingten Kontakteinschränkungen haben Unternehmen aller Branchen und Größen gezwungen, ihre gewohnte Arbeitskultur radikal umzustellen und eine Vielzahl von Büro-Arbeitsplätzen innerhalb kürzester Zeit ins Home-Office auszulagern. Der Security-Fokus lag dabei häufig nur auf den Endgeräten und der Anbindung, obgleich der "Faktor Mensch" auch – und gerade – in der Abgeschiedenheit des Home-Office die größte Gefahr für die IT-Sicherheit des Unternehmens darstellen kann.

Die enormen technischen und organisatorischen Herausforderungen der letzten Monate brachten selbst personell und finanziell hervorragend ausgestattete IT-Abteilungen dicht an ihre Belastungsgrenze. Alleine die Beschaffung geeigneter Endgeräte erforderte viel Einsatz und Kreativität, da nicht nur in Deutschland oder der EU, sondern auf der ganzen Welt der Bedarf förmlich explodierte. Standen diese nicht in ausreichender Anzahl zu Verfügung, galt es, die vorhandenen Privatgeräte à la BYOD zu prüfen und ggf. anzupassen. Gleichzeitig mussten externe Zugänge zu den unternehmensinternen Infrastrukturen und Servern eingerichtet und abgesichert werden. Sobald die "Telearbeiter" dann weitestgehend arbeitsfähig waren, schienen die drängendsten Probleme erledigt und ein akzeptables Sicherheitsniveau erreicht. Diese Einschätzung erwies sich aber nicht selten als fataler Trugschluss, der bis heute ein erhebliches Risiko für zahlreiche Betriebe, Organisationen und Behörden birgt. 

Schwachstelle Passwort-Sicherheit

Der Mensch ist von seiner Natur aus darauf programmiert, mit dem geringstmöglichen Einsatz das gewünschte Ergebnis anzustreben. Dieses Prinzip hat auch im Berufsumfeld Gültigkeit, greift aber leider im Bereich der IT-Sicherheit viel zu kurz. Bei der Wahl eines wirklich sicheren Passworts sind Bequemlichkeit und Gewohnheit die denkbar schlechtesten Berater. Überlässt man es den Mitarbeitern, ihre Passwörter selbst zu erstellen, zu verwalten und regelmäßig zu ändern, stößt man Cyber-Kriminellen das Scheunentor zu den sensiblen Unternehmens- und Kundendaten weit auf. Ein paar Zahlen aus unserer täglichen IT-Security-Praxis die immer wieder für erschreckendes Erstaunen sorgen (Sailpoint Umfrage):

  • 56 Prozent der Berufstätigen nutzen für private und geschäftliche Logins komplett identische Passwörter. 
  • Einer von sieben Mitarbeitern würde sein Passwort an Dritte verkaufen.
  • Jeder fünfte Angestellte teilt sein Passwort mit Team- oder Abteilungsmitgliedern.

Falsches Sicherheitsempfinden im Home-Office

Unabhängig davon, ob die Mitarbeiter einen vorkonfigurierten Firmen-Laptop oder einen von der IT-Abteilung entsprechend eingerichteten privaten Rechner benutzen, gehen viele davon aus, dass die Anbindung ans Unternehmen schon sicher genug sei. Demzufolge sinkt das Risiko-Bewusstsein – und infolgedessen die Qualität der gewählten Passwörter. Aber auch die Angewohnheit, beim Verlassen des Arbeitsplatzes regelmäßig den Rechner zu sperren, leidet durch die Vertrautheit der heimischen Umgebung. 

Risikofaktoren Kurzarbeit und Job-Unsicherheit

Der weltweite wirtschaftliche Einbruch führte in Deutschland zu einer massiven Ausweitung der Kurzarbeit. Dieses bewährte Krisen-Werkzeug wirkt sich zwar stabilisierend auf die finanzielle Situation betroffener Unternehmen aus, wird aber von vielen Arbeitnehmern nichtsdestotrotz als sehr belastend wahrgenommen. Gerät das bis vor kurzem noch als stabil und wertschätzend wahrgenommene Arbeitsverhältnis vermeintlich ins Wanken, bekommt bei einigen Menschen auch die Loyalität deutliche Risse. Diese Personen stellen dann keine passiven Sicherheitsrisiken mehr dar, sondern verwandeln sich zu besonders gefährlichen Insidern, die ungeheuren Schaden anrichten können. 

Gegenmaßnahme: rollenbezogene Remote-Verwaltung von Passwörtern

Um sowohl die passive Unbekümmertheit und Bequemlichkeit vieler Mitarbeiter als auch die immer wieder auftretende aktive Korrumpierbarkeit weniger schwarzer Schafe wirklich in den Griff zu bekommen, führt meiner Einschätzung nach auf lange Sicht kein Weg an einer zentralen Passwort-Management-Lösung vorbei. Diese sollte die Organisations- und Verantwortungsstruktur des Unternehmens 1:1 abbilden, eine flexible Rollen- und Rechteverwaltung mitbringen und über eine hochsichere, End-to-End-verschlüsselte Verbindung auch das ortsunabhängige Arbeiten ermöglichen.

Wichtig dabei: Die Mitarbeiter sollten nicht mit komplexen Einwahl-Prozeduren belastet werden. Damit auch der Faktor Mensch – mit und ohne böse Absichten – das IT-Security-Konzept nicht kompromittieren kann, sollten besonders wichtige Rollen und Accounts mit einer Mehrfaktor-Authentifizierung geschützt und ggf. auch nach dem Mehr-Augen-Prinzip verfahren werden. Die Passwort-Generierung selbst wird natürlich vollständig automatisiert und der Verantwortung der Nutzer entzogen. Nicht zuletzt sorgt dann auch die Wahl eines in Deutschland ansässigen Anbieters für die strikte Einhaltung der hiesigen Datenschutzbestimmungen.

Sascha Martens, CTO & Cybersecurity Evangelist
Sascha Martens
CTO & Cybersecurity Evangelist, Mateso | Password Safe

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

IAM
Aug 27, 2020

Auch im Homeoffice sicher: Automatisiertes Identity- und Accessmanagement

Aus der Not heraus waren viele Mitarbeiter gezwungen, in Eile auf Remote Work umzustellen…
Passwort
Mai 07, 2020

Der Umgang mit Passwörtern ist unverändert schlecht

Sichere Logins sind im Home Office wichtiger denn je. Doch das Passwortverhalten der User…
Cybersecurity
Apr 07, 2020

Cybersicher Einloggen im Homeoffice - Was die IT jetzt tun kann

Wenn man sich fragt, was Unternehmen in diesen Tagen tun können, um ihre Cybersicherheit…

Weitere Artikel

EU - UK

Datenaustausch mit UK – Die Rechtslage in Sachen Datenschutz

Seit dem Austritt Großbritanniens aus der EU wird die Rechtsgrundlage für den gegenseitigen Datenaustausch über den Ärmelkanal neu diskutiert. Derzeit gilt für Firmen im Vereinigten Königreich eine Übergangsfrist, in der sie zusätzlich zu ihren geltenden…
Digitale Identität

Unterschrift per Mausklick: So lässt sich digitale Identität datenschutzkonform anwenden

Die Welt tickt zunehmend digital: Erkennen lässt sich das zum einen am rasanten technologischen Fortschritt und an der Reaktion vieler Unternehmen auf die Corona-Pandemie, in der eine Vielzahl von Arbeits- und Kommunikationsprozessen digitalisiert wurden und…
Datenschutz

Datenschutz im Homeoffice

Laut einer aktuellen Personenbefragung der Hans-Böckler-Stiftung arbeitet derzeit rund ein Viertel der Erwerbstätigen in Deutschland vorwiegend oder ausschließlich im Homeoffice.
Datensicherheit

Apps und Datenschutz 2020 - Ein Jahresrückblick in Zahlen

Das Jahr 2020 hat aufgrund der Corona-bedingten Beschleunigung von Digitalisierungsprozessen und der Umstellung auf Homeoffice-Modelle die Wichtigkeit und Verbreitung von Apps überdurchschnittlich gesteigert.
Valentinstag Betrug

Wie du verhindern kannst, dass Hacker am Valentinstag dein Herz brechen

Der Valentinstag steht vor der Tür und viele Menschen machen sich online auf die Suche nach der großen Liebe.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!