Suchen

#ITfightsCorona IT-Sicherheit und Datenschutz in Krisenzeiten

Autor / Redakteur: Mark Großer / Sarah Böttcher

Covid-19 hält uns weiter in Atem. Noch immer befindet sich der Großteil der Belegschaft vieler Unternehmen im Homeoffice. Der Umstieg zu Remote Work wurde meistens schnell vollzogen, wichtige Aspekte des Datenschutzes und der Datensicherheit jedoch bisher wenig berücksichtigt.

Firmen zum Thema

Bei der plötzlichen Umstellung auf Remote Work waren vor allem Improvisation und Pragmatismus gefragt. Jetzt muss die Datensicherheit im Fokus stehen.
Bei der plötzlichen Umstellung auf Remote Work waren vor allem Improvisation und Pragmatismus gefragt. Jetzt muss die Datensicherheit im Fokus stehen.
(Bild: kraft2727 - stock.adobe.com)

Was vorher für viele Betriebe undenkbar war, ist in der aktuellen Coronakrise plötzlich von heute auf morgen möglich geworden: Homeoffice. Auch bisher skeptische Entscheider mussten ihre Zweifel über Bord werfen, um in dieser schwierigen Situation das Geschäft insgesamt aufrechtzuerhalten. Doch eine schnelle Umstellung bedeutet für so manches Unternehmen auch neue Herausforderungen. Wie wir bereits in Klagen gegen Plattformanbieter gesehen haben: Bei dem Ad-hoc-Umstieg zur Remote-Arbeit wurden nicht alle Aspekte des Datenschutzes und der Datensicherheit berücksichtigt. Ein Fehler, der Unternehmen zusätzlich zur schon angespannten wirtschaftlichen Situation in Erwartung einer Rezession teuer zu stehen kommen kann.

Mark Großer, Associate Partner Detecon International
Mark Großer, Associate Partner Detecon International
(Bild: Toby Giessen / Tobias Giessen)

Vorsicht ist geboten – auch vom Homeoffice aus

Hacker und Betrüger versuchen auch jetzt, die plötzliche Ausnahmesituation für ihre kriminellen Machenschaften zu nutzen. Druck und Stress vermindern die Aufmerksamkeit der Mitarbeiter, übliche formale und „soziale“ Kontrollmöglichkeiten greifen bei Remote-Betrieb nicht wie zuvor. Für Unternehmen wie Belegschaft stellen sich daher mit großer Dringlichkeit neue Herausforderungen in Bezug auf Datenschutz und Datensicherheit: Die Phishing-Gefahr steigt im Homeoffice deutlich an. Hacker versuchen hier mit unverdächtig aussehenden Mails sensible Daten und Passwörter abzugreifen – sei es über Browser im Netz, Mails, USB-Ports oder lokale Kopplungen zu anderen Endgeräten, die „gemanaged“ werden. Das hat zur Folge, dass Identitäten gekapert werden, eine Straftat, die Unternehmen finanziell empfindlich treffen kann, sollten sensible Unternehmensdaten abgeflossen sein oder im Namen des Unternehmens intern wie extern „dolose Handlungen“ folgen. Besonders, wenn der Identitäts-Klau nicht direkt auffällt.

Mangels direkter physischer Kontakte steigt auch die Anfälligkeit gegen Social Engineering, also die gezielte Ausnutzung von Telefonaten, Mails oder Bots im direkten oder digitalen Kontakt zu Mitarbeitern. Ein Beispiel ist hier der sogenannte „CEO-Fraud“. Hierbei wird darauf abgezielt, Mitarbeiter zum Vorteil der externen Angreifer zu manipulieren oder zu instrumentalisieren, zum Beispiel über das Vortäuschen zeitkritischer Situationen und Anweisungen „von oben“. Der Klassiker: „Überweisen Sie kurzfristig Betrag X an das Unternehmen Y“ per vermeintlicher Mail des Vorgesetzten oder sogar mit täuschend ähnlicher Stimmen-Imitation per Telefon. 1

Bei der plötzlichen Umstellung auf Remote Work waren vor allem Improvisation und Pragmatismus gefragt. Das ist grundsätzlich richtig und wichtig, doch müssen Unternehmen bei den schnell zum Einsatz gebrachten Kollaborations-Tools auf die Sicherheit schauen – insbesondere bei kostenlosen Tools. Diese müssen analysiert und es muss geprüft werden, ob sie den Sicherheitsanforderungen im Hinblick auf Verschlüsselung und Datenfreigabe entsprechen.

Remote Work bedarf klarer Richtlinien und Sensibilisierung

Welche Maßnahmen müssen Unternehmen also kurzfristig umsetzen, damit ihre Belegschaft (weitgehend) datenschutzkonform und sicher arbeitet? An erster Stelle sind klare Richtlinien und ein hohes Maß an Sensibilisierung gefragt. So können im ersten Schritt die Risiken, primär im Umgang mit Daten, verringert werden. Es muss unter anderem klar definiert sein, welche Tools genutzt werden dürfen, wie Daten-Sharing funktioniert und wie sensible Inhalte und Daten verschlüsselt werden.

Getunnelte VPN-Verbindungen

Um einen sicheren Fernzugriff auf das Unternehmensnetz sowie dessen Anwendungen bereitzustellen, bedarf es ein durch Verschlüsselung abgesichertes Virtual Private Network (VPN); es lässt sich auch remote einrichten. IT-Administratoren können VPNs zudem managen, das heißt entscheiden, wer wann auf welche Anwendungen zugreifen kann und welche Rechte – zum Beispiel Lese- oder Schreibrechte – die Nutzer erhalten. Gerade im Hinblick auf VPN-Verbindungen haben deutsche Unternehmen dringenden Nachholbedarf: Laut einer Umfrage des Bundesverband IT-Sicherheit e.V. im März 2020 nutzten lediglich 37 Prozent der befragten Unternehmen VPN-Verbindungen und nur 38 Prozent verschlüsselte Datenübertragungen. Eine Schwachstelle aus Sicht des Datenschutzes.

Einführung eines Zero-Trust-Modells

Besonderen Zugriffsschutz für die Nutzung von Cloud-Diensten liefert das noch neuwertige Zero-Trust-Modell. Hierbei wird der Datenaustausch sowohl innerhalb als auch außerhalb des Unternehmensnetzwerk zentral DSGVO-konform gestaltet. Auch ohne dedizierte Systemumgebung, ohne zusätzliche Hardware und ohne VPN kann das Zero-Trust-Verfahren innerhalb von maximal zwei Tagen realisiert werden. Der Zugriff und die Authentifizierung erfolgen über den Aufruf einer Landingpage im Browser und via Single-Sign-On. Das Zero-Trust-Modell bietet besonderen Schutz vor einer unbemerkten Infiltrierung von Schadsoftware beziehungsweise dem unbemerkten Abfischen von Unternehmensdaten.

Sicheren Datenraum schaffen

Auch im Homeoffice müssen Mitarbeiter Daten austauschen und gemeinsam auf Daten zugreifen. Sichere Datenräume, sogenannte Secure Data Rooms, ermöglichen die sichere Ablage und Nutzung vertraulicher Dokumente. Die Datenräume erfüllen wichtige Risiko-Management-Vorgaben und Standard-Richtlinien im Umgang mit vertraulichen Dokumenten. Bisher wurden sie primär zur Verwaltung von Aufsichtsrat- und Vorstandskommunikation sowie in der Rechts- und Finanzabteilung genutzt, nun auch für die digitale unternehmensübergreifende Zusammenarbeit. Für die Einwahl wird eine zweifache Authentifizierung mit zeitbegrenzten TANs, die per SMS verschickt werden, genutzt – eine zur Verschlüsselung der Daten auf dem Server und eine zur verschlüsselten Datenübertragung. Die Dokumente sind zusätzlich auf dem Client-Rechner durch Verschlüsselung geschützt. Und jeder Zugriff auf den Datenraum sowie die Dokumente oder Änderungen an den Daten werden revisionssicher und nachvollziehbar dokumentiert.

Die Risiken durch externe Hackerangriffe steigen in Krisenzeiten an, Hacker nutzen die besonderen Situationen der Unternehmen aus und nutzen gezielt akute Schwachstellen der Unternehmen – primär im Homeoffice-Umfeld – für ihre betrügerischen Machenschaften. Das bedeutet, dass gerade in Krisenzeiten IT-Sicherheit und Datenschutz wichtiger denn je ist und das, auch wenn die Unternehmen sich in Ausnahmesituationen befinden, auf keinen Fall vernachlässigt werden sollten. Weitere Tipps sind zum Beispiel vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegeben.

(ID:46595451)