NET 09/2021

22 www.net-im-web.de 09/21 Wenn sich zwei streiten, … Das Hypothetische beiseite bleibt dieTat- sache, dass nach Angaben der IDC-Studie „NetworkTransformation inDeutschland 2021“ knapp 50 % aller Unternehmen das eigene Netz als reine Kostenstelle sieht und nur rund ein Drittel das Netz aus Gründen der Sicherheit modernisiert. Die Crowdsourced-Security-Plattform Yeswehack ermittelte sogar, dass obwohl die Hälfte der über 500 befragten Unter- nehmen in den letzten zwölf Monatenmit mindestens einemCybersicherheitsvorfall zu kämpfen hatte, jedes siebte Unterneh- men überhaupt keine Maßnahmen zum Schutz der IT ergreift und außerdem in jedem dritten Unternehmen keine Per- son oder Gruppe hauptsächlich für das IT-Sicherheits- und Risikomanagement zuständig ist. Das Wissen natürlich auch An- greifer. So berichtet Sophos in seiner Studie „State of Ransomware 2021“, dass groß angelegte, generische und automatisierte Angriffe zwar rückläufig seien, jedoch dafür gezielter bzw. präziser werden.Mit demBes- serwerden der Ransomware wächst damit auch die Bedrohung für Unternehmen. Ein wenig Sicherheit für alle Zusammengefasst lässt sich sagen, dass bereits einfache und vor allem bekannte Maßnahmen die Sicherheit des Arbeits- ortes deutlich verbessern. Konkret sind die Überwachung des ausgehendenDatenver- kehrs und das ununterbrochene Monito- ring aller Endpunkte und -geräte Maß- nahmen, die einen enormen Mehrwert bieten. Freilich wird es den vollständigen Schutz niemals geben. Aber wer weiß, was jederzeit auf seinen Geräten passiert, dem kann es dann weniger wichtig sein, wo seineMitarbeiter gerade sind. Aus Sicht der IT-Sicherheit angemerkt: Die anderen Für und Wider der Diskussion rund um das Homeoffice können dann die jeweiligen anderen Experten übernehmen. www.redeagle-it.de der Anmeldung auf einemGerät, durch ein anderes legitimieren müssen. Eine andere Sicherheitsmaßnahme ist die Einführung eines Sicherheitsmanagements für mobile und stationäre Endgeräte. Den Unter- schied zwischen ungesichertemHomeof- fice und effektivem Schutz machen dann bereits schon Lösungen, die ergänzend zu Virenscanner oder Firewalls, die den eingehenden Datenverkehr kontrollieren, auch den ausgehenden überwachen. Selbst die fortschrittlichsten Firewalls können einen Angriff nicht vollständig verhin- dern. Durch die Kontrolle des Outbound- Traffics ist dann zumindest sichergestellt, dass sich auch ein noch so gut getarnter Trojaner nicht mehr aktivieren bzw. nach außen verbinden kann. Abgerundet wird die Sicherheit dann durch die dauerhafte Überwachung aller Server und Endpunkte, egal ob jene Zuhause oder im Büro. Das Monitoring kann helfen, präventiv zu agieren, statt mit viel Aufwand zu reagieren. Doch gerade diese Aufgabe scheint in Unternehmen aller Größen vergessen zu werden. Ist es im Büro sicherer? So war es am Ende eine Angestellte Mi- crosofts, deren Endgerät im Homeoffice infiziert wurde und beim Einloggen in der Firmenzentrale das Netz befiel. Es vergingen dann noch Wochen, bis zum eigentlichenAngriff. Damit bleiben einmal mehr unvorsichtige respektive unwissende Mitarbeiter auch im Büro eine Gefahr für das gesamte Unternehmen. Aufklärungs- arbeit, beispielsweise in Sachen Phishing, ist jedoch nur der erste Schritt. Auch hier hilft ein flächendeckendes Monitoring der Endgeräte. Durch einen simplen Check des Laptops der Mitarbeiterin wären ungewöhnliche Prozesse auf dem Ge- rät unmittelbar aufgefallen, es wäre nie angeschlossen worden, und die Hacker hätten sich einen anderen Weg in das System suchen müssen. Folgen. Für ein Viertel der Unternehmen mit weniger als 50 Beschäftigten waren sie sehr schwer bis existenzbedrohend. Dennoch geben sich über 90 %mit ihren aktuellen Schutzmaßnahmen zufrieden. Gut die Hälfte investiert gerade einmal ein Zehntel des IT-Budgets in Cybersicher- heit – das BSI empfiehlt mindestens das Doppelte. Noch immer unsicher? Derselben Umfrage zur Folge kann sich kaum ein Unternehmen bei der Frage, warum Homeoffice noch immer unsi- cher ist, hinter schlechter IT verstecken. Natürlich sind private Endgeräte selten so gut gesichert wie die Firmen-IT. Aber: Größenübergreifend nutzen fast die Hälfte der Unternehmen ausschließlich unter- nehmenseigene IT für das Homeoffice, in etwa jedem vierten kommen auch private Geräte zum Einsatz. Nach ersten, wahr- scheinlich hastigen Reaktionen auf den Übergang zum Homeoffice, wäre also in einem Jahr Pandemie genug Zeit gewesen, um die Geräte sicherer zu machen. Jedoch ist ein einfacher Passwortschutz vielerorts schon das höchste der Gefühle. EmpfohleneSchutzmechanismen sind dagegen beispielsweise Mehr-Faktor- Authentifizierung, bei der sich Nutzer bei Christian Ullrich Sind Arbeitsplätze überhaupt sicher genug vor Cy- berangriffen? Sich darauf zu verlassen, dass in den Büroräumlichkeiten der Spuk vorbei ist, ist ebenso sträflich, wie ungesicherte Endgeräte im Homeoffice.