Warum es IT-Freelancern egal sein kann, ob Angestellte im Homeoffice bleiben oder zurück in die Büros gehen
Die Frage Büro oder (hybrides) Homeoffice bleibt Makulatur, solange vorher eine wichtigere Frage nicht geklärt ist: Haben Verantwortliche inzwischen genug unternommen, um die Endgeräte ihrer Angestellten im Kampf gegen Cyber-Angriffe zu sichern? Denn: Momentan ist nur sicher, dass die Zahl der Cyber-Attacken nicht abnimmt und dass sich die Angriffe auch nicht nur gegen Großkonzerne richten. Der Schutz gegen Ransomware, Erpressungen und Co. wird an jedem Arbeitsort benötigt! – Wo die Zeitbomben im Büro und Zuhause ticken und wie IT-Selbständige sie effektiv entschärfen können.
Aktuell wird heiß argumentiert, ob Homeoffice das Arbeitsmodell der Zukunft ist, ob hybride Konzepte für Arbeitgebende und Arbeitnehmende die beste Lösung sind oder ob alle zurück in die Büros gehen sollen. Der aus Sicht der IT-Sicherheit wohl wichtigste Aspekt dieser Diskussion wird dabei ausgeblendet: Sind die Arbeitsplätze – zuhause und im Büro – überhaupt sicher genug vor Cyber-Angriffen? Insbesondere für KMUs gilt: Sich darauf zu verlassen, dass in den Büroräumlichkeiten der Spuk vorbei ist, ist ebenso sträflich, wie die ungesicherten Endgeräte im Homeoffice, frei nach dem Motto „es ist doch bisher gut gegangen“!
Ja, Ransomware und Cyber-Angriffe gab es schon vor Corona, aber durch die Pandemie wurden die Schwachstellen zahlreicher Sicherheitssysteme offengelegt. Die Annahme, dass sich das Angriffsverhalten von Cyber-Kriminellen genauso zurück verändert wie die Arbeitsgewohnheiten, ist gefährlich. Warum sollten sie auch, denn sowohl das Büro, als auch das Zuhause sind noch immer nicht sicher genug.
Nach einer Umfrage des Bundesamts für Sicherheit in der Informationstechnik (BSI) geben acht Prozent der befragten Unternehmen an, dass sie aktiv auf Cyber-Angriffe während der Corona-Pandemie reagieren mussten. Und: Je kleiner das Unternehmen, desto schlimmer waren die Folgen. Für ein Viertel der Unternehmen mit weniger als 50 Beschäftigten waren sie sehr schwer bis existenzbedrohend. Dennoch geben sich über 90 Prozent mit ihren aktuellen Schutzmaßnahmen zufrieden! Gut die Hälfte investiert gerade einmal ein Zehntel des IT-Budgets in Cybersicherheit – das BSI empfiehlt mindestens das Doppelte.
Warum das Homeoffice noch immer unsicher ist
Derselben Umfrage zur Folge kann sich kaum ein Unternehmen bei der Frage, warum Homeoffice noch immer unsicher ist, hinter schlechter IT verstecken. Natürlich sind private Endgeräte selten so gut gesichert wie Firmen-IT. Aber: Größenübergreifend nutzen fast die Hälfte der Unternehmen ausschließlich unternehmenseigene IT für das Homeoffice, in etwa jedem vierten kommen auch private Geräte zum Einsatz. Nach ersten, wahrscheinlich hastigen Reaktionen auf Homeoffice, wäre also in einem Jahr Pandemie genug Zeit gewesen, um die Geräte sicherer zu machen. Jedoch ist ein einfacher Passwortschutz vieler Orts schon das höchste der Gefühle.
Ein empfohlener Schutzmechanismus ist dagegen bspw. die Mehr-Faktor-Authentisierung, bei der sich Nutzer bei der Anmeldung auf einem Gerät, durch ein anderes legitimieren müssen. Eine andere Sicherheitsmaßnahme ist die Einführung eines Sicherheitsmanagements für mobile und stationäre Endgeräte. Den Unterschied zwischen ungesichertem Homeoffice und effektivem Schutz machen dann bereits schon Lösungen, die ergänzend zu Virenscanner oder Firewalls, die den eingehenden Datenverkehr kontrollieren, auch den ausgehenden überwachen. Selbst die fortschrittlichsten Firewalls können einen Angriff nicht vollständig verhindern. Durch die Kontrolle des Outbound-Traffics ist dann zumindest sichergestellt, dass sich auch ein noch so gut getarnter Trojaner nicht mehr aktivieren bzw. nach außen verbinden kann.
Abgerundet wird die Sicherheit dann durch die dauerhafte Überwachung aller Server und Endpoints, ob jene Zuhause oder im Büro. Das Monitoring kann helfen, präventiv zu agieren, statt mit viel Aufwand zu reagieren. Doch gerade diese Aufgabe scheint in Unternehmen aller Größen vergessen zu werden.
Hier bietet sich die Chance für IT-Freelancer, durch entsprechende Fachkenntnis und Software-Lösungen gerade mittelständische Geschäftsführer zu überzeugen, welche Maßnahmen die Sicherheit enorm steigern und gleichzeitig bezahlbar sind. Zudem können sie nach der Beratung auch bei der Implementierung unterstützen, KMU-Chef:Innen die Arbeit abnehmen und dienstfertige Smartphones und PCs übergeben. Diesen Servicecharakter können IT-Freelancer zusätzlich ausbauen, indem sie den Geschäftsführenden zeigen, wie sie das Mpnitoring in Ihrem Unternehmen umsetzen – frei nach dem Motto „Verteile keine Fische, lehre zu Angeln!“
Warum es um die IT-Sicherheit im Büro nicht besser steht
Ein prominentes Beispiel ist die Attacke auf Microsoft-Exchange-Server. Wie sich herausstellte, war es am Ende eine Angestellte Microsofts, deren Endgerät im Homeoffice infiziert wurde und beim Einloggen in der Firmenzentrale das Netzwerk befiel. Dabei vergingen noch Wochen, bis zum eigentlichen Angriff. Damit bleiben einmal mehr unvorsichtige respektive unwissende Mitarbeiter auch im Büro eine Gefahr für das gesamte Unternehmen.
Auch hier hilft ein flächendeckendes Monitoring der Endgeräte. Durch einen simplen Check des Laptops der Mitarbeiterin wären ungewöhnliche Prozesse auf dem Gerät unmittelbar aufgefallen, es wäre nie angeschlossen worden und die Hacker hätten sich einen anderen Weg in das System suchen müssen.
Das Hypothetische beiseite bleibt die Tatsache, dass nach Angaben der IDC-Studie „Network Transformation in Deutschland 2021“ knapp 50 Prozent aller Unternehmen das eigene Netzwerk als reine Kostenstelle sieht und nur rund ein Drittel das Netzwerk aus Gründen der Sicherheit modernisiert. Die Crowdsourced-Security-Plattform YesWeHack ermittelte sogar, dass obwohl die Hälfte der über 500 befragten Unternehmen in den letzten zwölf Monaten mit mindestens einem Cyber-Sicherheitsvorfall zu kämpfen hatte, jedes siebte Unternehmen überhaupt keine Maßnahmen zum Schutz der IT ergreift und außerdem in jedem dritten Unternehmen keine Person oder Gruppe hauptsächlich für das IT-Sicherheits- und Risikomanagement zuständig ist.
Das Wissen natürlich auch Angreifer. So berichtet Sophos in seiner Studie „State of Ransomware 2021“, dass groß angelegte, generische und automatisierte Angriffe zwar rückläufig seien, jedoch dafür gezielter und präziser werden. Mit dem Besserwerden der Ransomware wächst damit auch die Bedrohung für Unternehmen.
Auf der anderen Seite bietet sich IT-Freelancern damit die Chance, im Sinne eines MSSPs (Managed Security Service Providers) die Sicherheit der Arbeitsplätze zu erhöhen. Sie können neben Monitoring-Schulungen auch Aufklärungs- bzw. Weiterbildungsarbeit in Sachen Phishing anbieten. Übrigens: Auch wenn solche Dienste remote möglich sind, ist der direkte Bürobesuch hier auch aus IT-Sicherheitssicht vorteilhaft: Erstens können unter Umständen echte Phishing-Mails direkt besprochen werden. Zweitens werden andere IT-Sicherheitsmängel, wie zum Beispiel selbst installierte Programme, behoben.
Ein wenig Sicherheit für alle
Zusammengefasst lässt sich sagen, dass bereits einfache und vor allem bekannte Maßnahmen die Sicherheit des Arbeitsortes deutlich verbessern. Solche Maßnahmen können und sollten nicht nur von den großen MSSPs der Branche angeboten werden. Konkret sind die Überwachung des ausgehenden Datenverkehrs und das ununterbrochene Monitoring aller Endpoints und Geräte Maßnahmen, die einen enormen Mehrwert bieten. Schließlich ist Security kein einmaliger, abgeschlossener Arbeitsschritt, sondern eine Dauerleistung, die viele Unternehmen auch von IT- Freelancern realisieren lassen.
Freilich wird es den vollständigen Schutz niemals geben. Aber wer weiß, was jederzeit auf seien Geräten passiert, dem kann es dann weniger wichtig sein, wo seine Mitarbeiter gerade sind. Aus Sicht der IT-Sicherheit angemerkt. Die anderen Für und Wider der Diskussion rund um das Homeoffice können dann die jeweiligen anderen Experten übernehmen.