Kein blindes Vertrauen – gerade im Home Office Zero Trust im Homeoffice

Autor / Redakteur: Volker Sommer / Peter Schmitz

Zero Trust ist ein beliebtes Thema in IT-Security-Kreisen, wenn es um die unternehmensinterne Sicherheitsstrategie geht. Doch welche Rolle spielt eigentlich Zero Trust in Zeiten von Remote Work?

Firmen zum Thema

Die beiden Zero-Trust-Grundsätze, alles in Frage zu stellen und jeden als Außenseiter zu betrachten, bieten eine Möglichkeit für Menschen zu Hause, die Zero-Trust-Methode anzuwenden.
Die beiden Zero-Trust-Grundsätze, alles in Frage zu stellen und jeden als Außenseiter zu betrachten, bieten eine Möglichkeit für Menschen zu Hause, die Zero-Trust-Methode anzuwenden.
(© CROCOTHERY - stock.adobe.com)

Das Zero-Trust-Prinzip fordert Unternehmen dazu auf, ihre Security-Lösungen so auszuwählen und einzustellen, dass diese gewohnheitsmäßig hinterfragen, wer jemand ist und was er tun will. Der Ansatz eliminiert somit das blinde Vertrauen in jegliche Benutzer, die sich beispielsweise von einem bestimmten Gerät aus einloggen. Im Idealfall vergewissern sich Betriebe bei der Anwendung von Zero Trust kontinuierlich, dass ihre Benutzer die sind, für die sie sich ausgeben, und dass ihr Zugriff auf bestimmte Anwendungen und Systeme immer einwandfrei ist. Einfacher ausgedrückt ist die Idee hinter dem Konzept: „Trust no one“.

Das Grundprinzip spielt bereits im privaten Alltag von Mitarbeitern eine große Rolle – schließlich sind Türklingeln, hauseigene Sicherheitssysteme oder ein Wachhund Beispiele für Vorsichtsmaßnahmen, die uns darauf aufmerksam machen, dass sich jemand in der Nähe unseres Hauses aufhält, der sonst nicht da wäre – selbst wenn wir die Person kennen. Das gleiche Prinzip kann angewandt werden, wenn es darum geht, aus beruflichen oder privaten Gründen online zu gehen – Türklingeln funktionieren in dieser Umgebung nicht – doch dies ist der Punkt, an dem Zero Trust ins Spiel kommt. Im Zuge der Verschmelzung von Arbeits- und Familienleben im letzten Jahr muss dieses Konzept zu Hause bei den unzähligen Risiken angewandt werden, die sich hier ergeben. Der Großteil der Büroangestellten in Deutschland arbeitet seit fast einem Jahr remote und trotz oftmals bester Bemühungen seitens Unternehmen im Bereich Passworttraining und Security-Awareness stellt sich die Frage: Wie steht es wirklich um das Sicherheitsbewusstsein der Angestellten? Hier ist es leicht, nachlässig zu werden, doch es gibt Möglichkeiten, Zero-Trust effektiv zu Hause einzuführen, in Anlehnung an die Prinzipien des berühmten Security Frameworks – und somit auch für den Rest des Jahres 2021 sicher zu bleiben.

Es gilt, alles und jeden zu hinterfragen

Ein Medienbericht nach dem anderen zeigte in den vergangenen Monaten, dass die Phishing-Bedrohungen im Jahr 2020 erheblich zugenommen haben. Laut einer Anfang 2020 veröffentlichten Bitkom-Studie lag die Zahl der Zahl der deutschen Unternehmen, die Schäden durch Phishing-Angriffe verzeichneten, 2019 bei 23 Prozent – 2017 waren es noch 15 Prozent. Angriffe auf Passwörter allgemein richteten bei 25 Prozent Schaden an, zwei Jahre zuvor lag die Zahl bei 18 Prozent. Hier ist wichtig zu betonen, dass dieser deutliche Abstieg also bereits vor der Pandemie zu beobachten war und durch die aktuelle Krise noch deutlich zugenommen haben dürfte. So gab fast die Hälfte der US-Arbeitnehmer an, in den ersten sechs Monaten gezielte Phishing-E-Mails, SMS und Telefonanrufe erhalten zu haben. Diese Zahlen machen deutlich: Cyberkriminelle machen Überstunden und nutzen eine globale Krise aus, indem sie bösartige Links in sorgfältig gestalteten E-Mails an berufliche oder private Adressen senden. Wenn Mitarbeiter (privat oder während der Arbeit) auf diese klicken, laden sie unwissentlich eine Keylogging-Software auf ihren PC herunter und geben ihre Anmeldedaten an böswillige Akteure weiter. Ein Hacker kann dann ungehindert auf wichtige Unternehmensressourcen und -daten zugreifen, indem er sich als legitimer Mitarbeiter ausgibt.

Eine Methode der Cyberkriminellen, die sich auf dem Vormarsch befindet, stellt das sogenannte „Vishing“ dar, also „Voice Phishing“. Das FBI, die zentrale Sicherheitsbehörde der USA, gab im Januar eine Warnung hierzu heraus und auch das deutsche BSI erwähnte die Angriffsmethode im aktuellen Bericht „Die Lage der IT-Sicherheit in Deutschland 2020“. Dies bedeutet, dass Mitarbeiter im Home Office die Zero Trust-Methode nicht nur bei E-Mails und SMS, sondern auch bei Anrufen ihres Arbeitgebers oder unbekannten Absendern anwenden sollten. Hier gilt es, alles zu hinterfragen und die Person an der anderen Leitung gründlich zu prüfen – wichtig ist hier das Ausschauhalten nach verräterischen Zeichen. Ein Beispiel ist etwa, dass die Person sie auffordert, etwas Bestimmtes sofort zu unternehmen, oder wenn es um finanzielle Angelegenheiten, sensible Daten oder andere kritische Anfragen geht – denn: diese wichtigen Aktionen werden seitens des Arbeitgebers oder der Bank in der Regel nicht mithilfe eines übereilten Anrufs geklärt, in dem Angestellte zum sofortigen Handeln aufgefordert werden.

Jeder ist ein „Outsider“

Auch wenn es sich befremdlich anhören mag: Jeder ist ein Außenseiter oder „Outsider“ wenn er von zu Hause aus arbeitet. Unter dem persönlichen, beruflichen und finanziellen Druck der Pandemie wird die menschliche Komponente innerhalb der IT-Sicherheit durch die gemeinsame Nutzung von Passwörtern und Geräten überdeutlich. Die gemeinsame Nutzung von Passwörtern für berufliche und private Konten und die Weitergabe dieser Passwörter an die Familie oder an Freunde kann dazu führen, dass mehrere Systeme gleichzeitig kompromittiert werden – selbst das Spotify-Passwort ist gefährdet, wenn Mitarbeiter hier dasselbe Passwort zur Anmeldung wie für beispielsweise ihr Outlook-Konto verwenden. Sobald ein Hacker diese Anmeldedaten hat, kann er direkt in das Unternehmensnetzwerk eindringen. Doch Passwörter sind nicht die einzigen gemeinsam genutzten Elemente. Schließlich haben Menschen im Laufe des Tages mehr als eine Rolle inne – als Berufstätige, Lehrer, Eltern, Betreuer, etc. Infolgedessen ist die gemeinsame Nutzung von Geräten mit Ehepartnern, Kindern und anderen Familienmitgliedern ein typischer und verbreiteter Vorgang.

Wenn Mitarbeiter hier die Zero-Trust-Methode anwenden würden, müssten sie die gemeinsame Nutzung von Passwörtern und Geräten sofort beenden. Stattdessen sollten sie jeden als Außenseiter betrachten – sogar die eigene Familie, wenn es um die Arbeit und den Schutz kritischer Daten geht. Einige Möglichkeiten, dies umzusetzen, sind die Nutzung eines Passwortmanagers oder das Anlegen mehrerer Familienkonten für bestimmte Anwendungen (Spotify, Netflix usw.). Angestellte können ihren Arbeitgeber außerdem fragen, ob sie ihren alten Arbeitscomputer kaufen können, um einen gemeinsamen Familiencomputer für zu Hause zu haben. Dieser Service wird in vielen Firmen angeboten – oftmals können Mitarbeiter ihren Arbeitslaptop nach wenigen Jahren erwerben, nachdem alle arbeitsrelevanten Daten gelöscht wurden.

Zero Trust ist eine Lebenseinstellung

Wichtig ist hier: Zero Trust ist kein Trend, sondern vielmehr eine Lebenseinstellung. Die beiden bereits erwähnten Grundsätze kombiniert – alles in Frage zu stellen und jeden als Außenseiter zu betrachten – bietet eine Möglichkeit für Menschen zu Hause, die Zero-Trust-Methode anzuwenden. Ein Punkt, der in diesem Zusammenhang allerdings auch entscheidend: Zero-Trust ist kein Allheilmittel. Es ist eine Denkweise, oder vielleicht noch besser gesagt, ein Ansatz. Das gesamte Konzept soll Mitarbeiter, privat und während der Arbeitszeit, sensibilisieren. Es dient dazu, Angestellte dazu aufzufordern, anders darüber nachzudenken, wie sie eine unbekannte E-Mail empfangen, wie sie darüber denken, ein Passwort oder ein Gerät freizugeben, und auch darüber, wie sie ihren Sicherheitsansatz zu Hause umsetzen. Wenn Angestellte diese "Lebensweise" auf ihre Arbeit zu Hause anwenden, wird ihr Unternehmen es ihnen danken, und auch der eigene Seelenfrieden beim Remote Work wird sichergestellt. In diesem Sinne – Willkommen zu Hause, Zero-Trust.

Über den Autor: Volker Sommer ist Area VP DACH bei SailPoint.

(ID:47470467)