Der sichere Umgang mit dem Home-Office

AktuellessecuriCAD

Der sichere Umfang mit dem Home-Office

Das Thema Covid-19 beschäftigt uns beruflich wie privat nun seit knapp 1,5 Jahren. In dieser Zeit hat sich einiges verändert. Beispielsweise der Umfang und die Sichtweise zum Thema Home-Office. Das hat gute und weniger gute Auswirkungen auf die IT-Sicherheit. 

Die Möglichkeit zum heimischen Arbeiten wurde in den Unternehmen unterschiedlich gehandhabt. Durch die pandemische Situation hat das Thema Digitalisierung und Digitale Transformation im Unternehmen, besonders beim Thema Home-Office, eine rasche Entwicklung erlebt. Immer mehr Mitarbeitern wurde durch die geänderte Lage die Arbeit zu Hause ermöglicht.

Aus Sicht der IT-Sicherheit wurde mit den neuen Anforderungen an den heimischen Arbeitsplatz unterschiedlich umgegangen. Um es gleich vorwegzunehmen. Es gab einige vorbildliche Beispiele, wie das Thema Home-Office in mittelständigen, aber auch großen Unternehmen umgesetzt wurde. Doch wie immer bei einem Thema, das derart viele Unternehmen betrifft, gilt: Wo Licht ist, ist auch Schatten. Denn auch die Beispiele, wie man es nicht tun sollte nehmen zu, wie sowohl die Berichterstattung, hier am Beispiel golem.de, als auch an der Reaktion des Bundesamt für Sicherheit in der Informationstechnik zu diesem Thema zeigen.

Unternehmen sind Risiken ausgesetzt und müssen mit diesen umgehen. Informations-Sicherheit deckt dabei ein weites Feld ab. Von technischen Herausforderungen über Cyber-Angriffen bis hin zum Faktor Mensch. Das Bestreben in der IT-Sicherheit ist daher, Infrastrukturen so zu bauen, dass sie möglichst risikoarm betrieben werden. Das beginnt beispielsweise damit, dass es definierte Ablageorte für Unternehmensdaten gibt. So können einheitliche Schutzmaßnahmen für diese Bereiche definiert werden, die dann im kompletten Unternehmen gelten.

Durch das flächendeckende Angebot von Home-Office wurde die IT-Landschaft mindestens so weit angepasst, um das Arbeiten remote zu ermöglichen. Beispielsweise durch Einführung / Verteilung von VPN- (Virtual Private Network) oder Reverse-Proxy-Lösungen mit integrierter Authentifizierung.

Durch die Brille der IT-Sicherheit beobachten wir, dass Unternehmen in denen mobiles Arbeiten vorher in vielen Bereichen Praxis war, relativ schnell in eine Umsetzung gegangen sind. Meist mit gutem Sicherheits-Ergebnis. Gleichzeitig fällt auf, dass Teams bei denen mobiles Arbeiten vorher kein Thema war, beispielsweise in Bereichen in denen streng vertrauliche Daten (Medizin- oder Gehaltsdaten), deutlich größere Hürden zu meistern haben, wenn es um die Sicherheit geht. Unter anderem wurde der Frage, welche Auswirkung das Home-Office auf die Informations-Sicherheit hat, nicht überall flächendeckend nachgegangen.

Grundsätzlich ist diese Tatsache nicht verwunderlich. Digitale Transformation stellt das Unternehmen vor Herausforderungen. Dabei geht es nicht drum, Papier abzuschaffen und nach Möglichkeit durch PDFs zu ersetzten, sondern darum, Abläufe und Prozesse zu digitalisieren. Aus den digitalen Prozessen werden dann Anforderungen an Infrastruktur und Sicherheit abgleitet, die im Anschluss an die Planung in die Umsetzung gehen. Doch das alles braucht Zeit für die Vorplanung. Etwas, das durch die Pandemie knapp geworden ist. Die Folge ist, dass wir an verschiedenen Stellen technische Lösungen geschaffen haben, ohne die digitale Transformation zu Ende zu denken. Daraus resultiert ein Prozess, der zwar digital funktioniert, im Zweifel aber nicht effizient ist. Oder der nicht überall funktioniert.

Ein sinnvoller Schritt in die richtige Richtung ist, die geänderte Sicherheits-Lage durch die Einführung von Home-Office zu überprüfen. Dafür ist notwendig, die geänderte Arbeitsweise, die geänderte IT-Landschaft und die angepassten Prozesse der Datenverarbeitung zu erfassen und das in Kontext des IT-Sicherheits-Risikos zu setzen.

Ein möglicher Ansatz ist dabei das Threat-Modeling. Dabei wird ein Prozess bzw. ein IT-Segment in einem Logikmodell beschrieben und einer Angriffs-Simulation unterzogen. Die Angriffs-Simulation mit securiCAD überprüft dabei, welche Angriffs-Wege möglich sind und wie hoch die Korrumpierungs-Wahrscheinlichkeit ist. Die Widerstandsfähigkeit wird dabei in einem Messwert angegeben. Durch einen Ansatz mit gemessenen Werten ergibt sich die Möglichkeit, verschiedene Zustände zu vergleichen. Beispielsweise „vor Pandemie“ und „mit mehr Home-Office“. Die erneute Angriffs-Simulation gemäß aktueller IT-Landschaft zeigt auf, wie sich die Risiken und Angriffswege geändert haben.

So lassen sich sowohl Fragen für den Datenschutz als auch für das interne ISMS (Informations-Sicherheits-Management-System) ableiten. Die gewonnenen Erkenntnisse zeigen, ob die geänderte Arbeitsweise eine geänderte Risiko-Lage zur Folge hat. Zudem lässt sich die aktuelle Systemlandschaft auf logische Schwachstellen hin überprüfen. Als Ergebnis wird sichtbar, ob die bewährten Sicherheits-Maßnahmen ihre volle Wirkung in der geänderten Systemlandschaft entfalten. Oder ob es ggfs. notwendig ist, das Netzwerk weiter zu segmentieren, um einen Bereich zwischen Home-Office und sensibler Infrastruktur zu schaffen.

All diese Maßnahmen sind im Tagesgeschäft nicht nur zeitaufwändig, sondern können auch den Betriebsablauf stören. Bei der Lösungswahl sollte deshalb darauf geachtet werden, dass die Risiko-Evaluierung rückwirkungsfrei für die IT-Systeme abläuft und ein effizientes Arbeiten, beispielsweise auf Grundlage von Bestandsdaten, erlaubt. 

Vorheriger Beitrag
kontinuierliche Angriffssimulation und automatisierte Bedrohungsmodellierung
Nächster Beitrag
Threat Modeling für Dev und Ops

Aktuelles von CYBEResilienz

Hier lesen Sie Aktuelles rund um Themen zu Cyber-Attacken, wie man sich schützen kann und wie CYBEResilienz Ihnen hilft, Ihre Systemlandschaft sicherer zu machen.

Menü