Hybrides Arbeiten ist en vogue und nicht mehr wegzudenken. Seit Beginn der Pandemie haben sich viele Beschäftigte ans Arbeiten im Home Office gewöhnt. Es stellt sich vielfach die gleiche Frage: Geht es wieder Vollzeit zurück ins Büro? Diese Vorstellung scheint für viele Beschäftigte undenkbar. Arbeitgeber müssen sich auf eine hybride Belegschaft einstellen, die sowohl von zu Hause aus als auch im Büro arbeitet. Die Art und Weise, wie sich Mitarbeiterinnen und Mitarbeiter mit Unternehmensnetzwerken verbinden, spielt dabei eine wichtige Rolle für die Endpunkt-Sicherheit.
Aktuelle Studien von AT & T zeigen, dass 35 Prozent der Befragten ihre vom Arbeitgeber zur Verfügung gestellten Geräte (Endpunkte) mit Smart-Home-Geräten koppeln. Dies erhöht die Wahrscheinlichkeit eines Angriffs. Zu den beliebtesten vernetzten Heimgeräten gehören Sprachassistenten und intelligente Lautsprecher (jeweils 14 Prozent) sowie intelligente Beleuchtung (zwölf Prozent). Aus demselben AT & T-Bericht geht hervor, dass jeder fünfte Mitarbeiter (20 Prozent) nicht dazu motiviert werden kann, sich über Cybersicherheitsrisiken Gedanken zu machen. Darin offenbart sich ein tiefsitzendes und grosses Problem: Das Risiko, dass Mitarbeiter, die auf Endgeräte angewiesen sind, Opfer von Cyberattacken werden, steigt. Daher kann es sich kein Unternehmen leisten, diese Gruppe von Beschäftigten zu ignorieren – vor allem in Anbetracht der Zahlen des Bundeskriminalamtes (D), aus denen hervorgeht, dass die Online-Kriminalität in Deutschland seit Jahren steigt. Das ist in der Schweiz nicht anders. Wie kann ein Unternehmen also seine Technologie, seine Endgeräte und seine Mitarbeiter trotz fehlendem Sicherheitsbewusstsein schützen? Dazu unterbreite ich in den nächsten Abschnitten eine Reihe von praktischen Tipps. Ich habe sie in drei Bereiche aufgegliedert.
1. Optimales Cyberwissen
Es ist nicht ungewöhnlich, dass Mitarbeiter nichtautorisierte Software oder Dienste nutzen, um ihre Aufgaben zu erledigen. Indem sie Umgehungslösungen oder «Schatten-IT-Software» verwenden, haben die Beschäftigten oft das Gefühl, produktiver zu sein. Das liegt daran, dass eine solche Arbeitsweise für den durchschnittlichen Mitarbeiter einfacher ist als der vorgeschriebene Ansatz. Ursachen für dieses Problem in Unternehmen und staatlichen Einrichtungen sind hauptsächlich veraltete Systeme. Erschwerend kommen Sicherheitsmassnahmen, bei denen die Benutzerfreundlichkeit auf der Strecke bleibt, hinzu.
In der Mehrzahl der Fälle sind Hacks die Folge menschlicher Fehler. Vor allem, wenn die Mitarbeiter nicht wissen, was sie in Bezug auf Cybersicherheit tun oder lassen sollen, birgt das grosse Risiken. Unternehmen und Institutionen sollten deshalb Sorge tragen, dass alle Mitarbeiter über die richtigen Vorgehensweisen und die Konsequenzen von riskantem digitalem Verhalten informiert sind. Auf diese Weise werden sie für die Bedrohungslage sensibilisiert – und auch die grössten Skeptiker können erkennen, dass die Lage ernst ist.
2. Zero Trust
Eine Methode, um interne und externe Personalakten einfach zu sichern, ist der Zero-Trust-Ansatz für den Zugriff auf Geschäftsdateien. Damit lassen sich Geräte und Technologien angemessen schützen. Wie der Name schon sagt, wird jedwedem Anmeldeversuch zunächst null Vertrauen entgegengebracht. Mehrere Authentifizierungsfaktoren, zum Beispiel Standortdaten, sind erforderlich, damit ein Benutzer den Zugriff auf das Unternehmensnetzwerk erhält. Im Hintergrund findet eine kontinuierliche Bewertung des Sicherheitsrisikos statt, sodass Unternehmen und ihre Mitarbeiter durchweg geschützt sind.
Die Idee hinter Zero Trust ist einfach: Alles, was mit Unternehmensdaten kommunizieren will, muss zunächst als vertrauenswürdig eingestuft werden. Standardmässig beginnt alles mit einer Zuverlässigkeitsbewertung von Null. Je nachdem, wie die Interaktionen zwischen der Unternehmensinfrastruktur und einem externen Gerät verlaufen, steigt oder sinkt die Vertrauensstufe. Die Häufigkeit des Zugriffs auf ein Gerät ändert sich in Echtzeit zusammen mit seiner Vertrauensbewertung.
Zero-Trust-Sicherheitsprinzipien sind der sicherste Weg, um Mitarbeitern einen standortunabhängigen Zugriff auf Dateien und Produktivitätssoftware zu ermöglichen.
Zero-Trust-Lösungen, die maschinelles Lernen (ML) und prädiktive künstliche Intelligenz (KI) nutzen, können auch Angriffe blockieren und dynamisch angepasste Sicherheitsrichtlinien durchsetzen. So lässt sich damit das Unternehmensnetzwerk erfolgreich vor menschlichen Fehlern und gut gemeinten, aber fehlgeleiteten Sicherheitsmassnahmen schützen.
3. Zero Touch
Der Zero-Trust-Ansatz löst das Sicherheitsproblem, wenn privat genutzte Technologie mit Arbeitsgeräten verbunden wird. Doch die Gefahr menschlicher Fehler muss auch behoben werden. Wie können Unternehmen also eine sichere, produktive und benutzerfreundliche Umgebung schaffen? Und wie lassen sich dabei die 20 Prozent der Beschäftigten, die nicht für Cybersicherheitsrisiken sensibilisiert werden können, schützen, ohne dass ihre aktive Mitarbeit erforderlich ist? Die Antwort hierauf gibt der Zero-Touch-Ansatz für Cybersicherheit.
Zero Touch ermöglicht den Benutzern einen sofortigen Zugriff auf ihre Dateien, ohne dass viele Zwischenschritte erforderlich sind. Mitarbeiter können so ihre Arbeit ohne Zeitverzögerungen erledigen, weil sie keine Passwörter eingeben, spezielle Berechtigungen anfordern oder sich mehrfach authentifizieren müssen. Dadurch sind sie weniger geneigt, nach unsicheren Alternativlösungen zu suchen. Wenn es – wie mit Zero Touch – keine zusätzlichen, zeitraubenden Sicherheitsroutinen für die Benutzer gibt, spielt es keine Rolle, wenn einer von fünf Mitarbeitern die neuen Sicherheitsmassnahmen ignoriert, denn sie werden komplett in den Arbeitsablauf integriert. Das Endergebnis: Die Infrastruktur des Unternehmens ist durchgehend gesichert, während die Produktivität der Mitarbeiter nicht beeinträchtigt wird.
Es heisst oft, dass Passwörter eine ungenügende Massnahme für die Online-Sicherheit sind, weil viele Nutzer unsichere oder leicht zu knackende Passwörter verwenden. Statt den Usern zu raten, kompliziertere, komplexere Passwörter zu verwenden, sollten IT-Teams auf fortschrittliche KI, kontinuierliche Authentifizierung und einen robusten TCP / IP-Stack setzen. Sicherheitsansätze wie Zero Trust und Zero Touch können dies leisten. Auf diese Weise können sie sichere Interaktionen ermöglichen, die die Nutzer bei den ersten Anzeichen eines Cyberangriffs schützen.