Sicherheitsleck Büroarbeitsplatz: Mehr Schutz dank Cloud
Der Desktop am Arbeitsplatz ist eine beliebte Zielscheibe für Cyberkriminelle. Aber auch die eigenen Mitarbeiter können zum Sicherheitsrisiko werden – teils unwissentlich, teils mutwillig. Um äußere wie innere Bedrohungen effektiv in den Griff zu bekommen, bietet der Arbeitsplatz aus der Cloud die besten Voraussetzungen.
Bild: © Andriy Onufriyenko / Getty Images
Hackerangriffe gegen IT-Systeme, Phishing durch E-Mails, private USB-Sticks von Mitarbeitern, Schatten-IT – die Liste der potenziellen Gefahren für die IT-Sicherheit am Arbeitsplatz ist lang. An der Spitze stehen Hacker, die Schwachstellen nutzen, um von außen die IT-Systeme von Unternehmen zu attackieren.
Lange Gefahrenliste: Die Bedrohungen für die IT-Sicherheit am Arbeitsplatz
Erpressung und Manipulation von Software durch Hacker-Angriffe: Oft setzen Angreifer Ransomware-Programme ein oder verbreiten Viren und Würmer in der Unternehmens-IT, die den Betrieb komplett lahmlegen können. Am Ende bezahlen die Unternehmen häufig ein Lösegeld, um ihre Daten zurückzubekommen und mit ihren Systemen wieder arbeiten zu können – die Dunkelziffer gilt in diesen Fällen als hoch. Dass Kriminellen auch der Zugang über ein manipuliertes Hersteller-Software-Update gelingen kann, zeigte erst kürzlich der Asus-Hack, bei dem schätzungsweise über eine Million Computer und Laptops mit einer Backdoor unterwandert wurden.
Der unsichtbare Gegner: Andere Angreifer verschaffen sich in einem mehrstufigen Angriffsszenario (Advanced Persistent Threat, APT) immer mehr Zugangsberechtigungen und gelangen so immer tiefer in die Systemlandschaft. Gern genutzte Einfallstore sind neben den E-Mail-Accounts von Mitarbeitern beispielsweise SCADA- und ICS-Systeme, denen in der Industrie Steuerungs- und Überwachungsaufgaben obliegen. Haben die Cybergangster erst einmal Zugriff, ist es für sie ein Kinderspiel, weiter vorzudringen und Berechtigungen, Passwörter, Daten und Betriebsgeheimnisse abzufischen – und lange unentdeckt zu bleiben.
Menschliche Schwächen: Neben Szenarien wie dem aufwändigen APT-Angriff, der vor allem auf technische Sicherheitslücken abzielt, gibt es auch Methoden, die direkt die Schwachstelle Mensch ins Visier nehmen. Kontaktiert ein Angreifer mit gefälschter Identität per E-Mail einen Mitarbeiter, kann er ihn auf eine Phishing-Website führen oder auch Trojaner und andere Malware einschleusen, die etwa in einem PDF-Dokument im Mail-Anhang versteckt sind. Oder er versucht auf besonders dreiste Weise, vertrauliche Daten abzugreifen, indem er sich als Geschäftsführer oder CEO des Unternehmens ausgibt und mit scheinbar legitimer Mail-Adresse einem Mitarbeiter der Buchhaltung die Aufforderung schickt, ihm Gehalts- und Bankdaten von Kolleginnen und Kollegen mitzuteilen. Die Chancen für den Betrüger stehen gut, dass der Mitarbeiter die Anweisung ausführt und nicht hinterfragt.
Mutwillig oder unvorsichtig? Oft sind raffinierte Betrugsmaschen gar nicht nötig. Schwache Passwörter – 123456 ist nach wie vor das am meisten genutzte Passwort in Deutschland – und der unvorsichtige Umgang mit privaten USB-Sticks sowie Nachlässigkeiten bei Software-Updates und Virenscans erleichtern Cyberkriminellen weiterhin das Handwerk.
Mangelnde Vorsicht ist eine Sache – Mitarbeiter können jedoch auch mutwillig zu einer Bedrohung werden und aus eigenem Antrieb Unternehmensdaten kopieren beziehungsweise stehlen. Das ist besonders dann der Fall, wenn sie planen zu kündigen oder ihnen die Kündigung durch den Arbeitgeber bevorsteht. Schätzungsweise jedes fünfte Unternehmen fällt dem Datenklau durch Mitarbeiter zum Opfer.
Risiko Schatten-IT: Laut einer Citrix-Umfrage nutzen bereits 28 Prozent aller Arbeitnehmer eigenmächtig installierte oder vom Arbeitgeber beziehungsweise dem IT-Leiter nicht freigegebene Programme. Zu bedenken ist hierbei auch, dass häufig unbekannte („im Schatten“) genutzte Programme wie Teamviewer und Dropbox, deren Anwendung für Privatleute gratis ist, im Business-Umfeld Geld kosten, wenn Mitarbeiter regelmäßig darauf zurückgreifen.
Cloud: Mehr Sicherheit – und doch Angst vor dem Kontrollverlust
In puncto Cloud sind die Beschäftigten ihren Arbeitgebern schon voraus: Der Citrix-Umfrage zufolge äußern 60 Prozent der Arbeitnehmer den Wunsch, in der Cloud zu arbeiten. Gleichwohl halten sich auf der IT-Leitungsebene recht hartnäckig gewisse Vorbehalte vor allem gegenüber den Public-Cloud-Angeboten. Vor allem bestehen Unsicherheiten bezüglich Datensicherheit, Datenschutz, Datenzugriff und Verteilung der Daten. Mit anderen Worten: Es herrscht die Angst vor Kontrollverlust.
Um diese Bedenken auszuräumen, enthalten Lösungen rund um den Cloud-Arbeitsplatz, wie etwa Werkzeuge für die Verwaltung von Identitäten oder für die digitale Zusammenarbeit, zentrale Mechanismen und Maßnahmen, die das Bedrohungspotenzial beider Schwachstellen – Mensch wie Maschine – deutlich verringern. Zudem ermöglichen diese Security- und Monitoring-Tools es Unternehmen, jederzeit den Überblick über Daten, Systeme und Mitarbeiter zu behalten.
Wie schafft die Cloud mehr Schutz für die Arbeitsplatz-IT?
Zunächst gilt es für Unternehmen, eine Bedrohungsanalyse der eigenen ITK-Landschaft durchzuführen und das gewünschte Sicherheitslevel zu definieren. Keine Abstriche bei der Sicherheit darf es bei dem für Hacker so wichtigen Einfallstor E-Mail geben. Anhänge und Links sollten grundsätzlich überprüft werden – hierfür stellt etwa Office 365 entsprechende Technologien wie Scan- und Filter-Engines zur Verfügung. Daher sind Exchange und andere standardisierte Dienste (Commodities) in einer Cloud mit ihren zentralen Sicherheitsmaßnahmen – wie automatisierten Updates und Patches – gut aufgehoben. Auch Telefonie und Collaboration-Werkzeuge wie Konferenzsysteme, Sharepoint und Onedrive sowie übergreifende Unified-Communications-Lösungen (UC) sind Kandidaten für die Cloud.
Zu den unbedingt empfehlenswerten Security-Maßnahmen gehören ein zentrales Rechte- und Identitätsmanagement, die Sicherheitsklassifizierung von Daten, E-Mail-Verschlüsselung sowie eine zentrale Software-Verteilung. Um den Schutz vor Datenverlusten und sichere Backups zu gewährleisten, stehen zudem Systeme wie Data Loss Prevention bereit. Mittels Intrusion Detection lassen sich Daten und Anwendungen vor Eindringlingen wie Viren und Würmern schützen und mithilfe von Threat Intelligence Bedrohungsanalysen im Vorfeld von möglichen Angriffen durchführen.
Last, but not least bietet Microsoft mit Advanced Threat Protection (ATP) unter anderem die Möglichkeit, Anomalien in Datenverkehr und -nutzung zu erkennen und automatisierte Warnungen (Alerts) mit direkten Maßnahmen gegen Angreifer zu kombinieren. So lässt sich etwa via ATP erkennen, ob der Rechner eines Mitarbeiters gerade durch eine noch unbekannte Malware infiziert wurde (Anomalie-Erkennung) und gleichzeitig alle weiteren Rechner der Organisation z.B. durch das Löschen des Anhangs aus den Exchange-Postfächern schützen (Aktion und Eindämmung). Hier greifen die Vorteile der Cloud, da solche Schutzmechanismen in einer lokalen Infrastruktur kaum budget- und aufwandstechnisch realisierbar sind.
Externe Cloud-Dienstleister einbinden
Das Sicherheitslevel, das ein professioneller Dienstleister für Cloud-Arbeitsplätze bietet, erreichen mittelständische Unternehmen in Eigenregie nur mit einem hohen personellen, zeitlichen und finanziellen Aufwand.
Auch für geschäftskritische Individualsoftware und Legacy-Anwendungen, die für die tägliche Arbeit erforderlich sind und nur unter großen Mühen „cloudifiziert“ werden können, lässt sich erfahrungsgemäß mithilfe eines Dienstleisters eine Lösung finden. Meist ist es ratsam, einen iterativen Ablösungsprozess in mehreren Schritten durchzuführen. Dieser kann etwa ein Outsourcing beinhalten, in dessen Rahmen alle Neuerungen im Zuge der Applikations-Modernisierung über Cloud-Systeme realisiert werden. Zudem ist in der Regel auch ein hybrider Betrieb mit einer Mischung aus Cloud- und On-Premises-Installationen möglich.
Ein guter Cloud-Dienstleister ist darüber hinaus in der Lage, umfassende Sicherheitsmechanismen für alle Arbeitsplatzsysteme bereitzustellen und insbesondere die Einhaltung von Compliance- und Datenschutz-Vorschriften wie der Datenschutzgrundverordnung (DSGVO) zu gewährleisten. Damit stehen Unternehmen die erforderlichen Instrumente zur Verfügung, um Arbeitsplätze sicher als Service aus der Cloud zu beziehen. Sie müssen sie nur nutzen.
Chefsache: Sensibilität für Sicherheitsthemen vermitteln
Cloud-Dienstleister sorgen somit für die sichere Übertragung und Speicherung von Daten und bieten Unternehmen einen umfangreichen Baukasten mit Sicherheitswerkzeugen. Gleichwohl müssen Unternehmen und Mitarbeiter ihren Teil dazu beitragen, die Sicherheit von Cloud-Arbeitsplätzen zu gewährleisten. Es gilt, Verständnis und Sensibilität für Sicherheitsthemen zu vermitteln, um den virtuellen Arbeitsplatz im Büro, im Homeoffice oder unterwegs sorgenfrei zu nutzen.
Unverzichtbar ist hierbei eine zentrale Sicherheits-Policy. Unternehmen müssen unterschiedliche Schutzklassen für Daten und Dokumente definieren und ihre Mitarbeiter dafür sensibilisieren. So können diese erkennen, ob etwa ein auf Sharepoint eingestelltes Dokument vertraulich zu behandeln oder für den öffentlichen Gebrauch freigegeben ist.
Sicherheitsvorschriften sollten darüber hinaus mit Augenmaß und situationsgerecht definiert werden. So empfiehlt es sich beispielsweise, die Zwei-Faktor-Authentifizierung nur dann zu verlangen, wenn die Anmeldung eines Nutzer als möglicherweise riskant eingestuft wird. Dies kann bei einem Aufenthalt im Ausland, bei besonders sensiblen Applikationen oder für eine bestimmte Benutzergruppe der Fall sein.
Das Umdenken gelingt nicht von heute auf morgen. Notwendig ist ein Change-Management-Prozess, in dessen Rahmen unternehmensinterne Ansprechpartner (Change Agents) festgelegt werden sollten. So wissen Mitarbeiter, an wen sie sich bei Problemen als erste Anlaufstelle wenden können. Darüber hinaus sind Weiterbildungsveranstaltungen, Workshops und Live-Demos sehr nützlich. Um das Bewusstsein für Sicherheitsthemen kontinuierlich zu prüfen, haben sich etwa auch Audits im Spiel- oder Quizformat bewährt: Wer erkennt eine Phishing-Mail und kann erklären, was sie von echten Mails unterscheidet? Nicht zuletzt muss der Change-Prozess der Migration der Arbeitsplätze in die Cloud vorgelagert werden und darf nicht erst am Umzugstag beginnen.
Wer (den Einstieg) nicht wagt, der nicht gewinnt
Mittelständischen Unternehmen sollten den Einstieg in den Cloud-Arbeitsplatz nicht auf die lange Bank schieben. Nur wer die Cloud auf die Probe stellt, kann Vertrauen gewinnen. Die Cloud vermag keinen hundertprozentigen Schutz zu bieten. Gleichwohl können Unternehmen mithilfe der Cloud ihre eigene IT deutlich unattraktiver für Einbrecher machen.
Mit Cloud-Arbeitsplätzen verfügen Unternehmen über sichere Übertragungswege und Speicherplätze sowie umfassende Schutzsysteme für ihre Daten. So können Mitarbeiter ihren Desktop-Arbeitsplatz jederzeit und überall auf allen Endgeräten nutzen. Zudem greifen sie auf stets aktualisierte Versionen der Softwaresysteme wie Office 365 zu. Ein zentrales Rechtemanagement und Sicherheitssysteme sorgen dafür, Daten und Identitäten besser zu schützen; ein zentrales Monitoring vereinfacht die Verwaltung und Kontrolle der Cloud-Arbeitsplätze. Fortgeschrittene Security-Tools wie ATP ermöglichen rechtzeitige Reaktionen auf Sicherheitsvorfälle und die Abwehr von Angreifern.
Der Trend geht bei Büroarbeitsplätzen zweifellos Richtung Cloud – das zeigt auch die Geschäftspolitik von Microsoft. Die Cloud-Varianten von Büro- und Collaboration-Software wie Office 365 und Sharepoint bieten Unternehmen schon jetzt mehr innovative Funktionen und sind den lokal betriebenen Versionen ein ganzes Stück voraus.
Weitere Informationen:
IT-Dienstleister wie die QSC AG liefern alle Services, um Unternehmen den Weg in die Cloud zu ebenen und beraten sie zum Einsatz von Multi-Cloud-Konzepten, Hyperscalern oder Edge-Computing. Digital-Workplace-Konzepte gehören zum Kerngeschäft des ITK-Angebots von QSC. Siehe auch:
Enterprise Workplace Services (QSC-Website)
Drucken