Steigende Arbeitslosenzahlen in vielen Ländern der Welt, Aktienkurse auf Talfahrt, Homeoffice Shift und Remote-Szenarien - die Corona-Pandemie hat drastische Folgen für viele Bereiche des Arbeitslebens. Während nicht wenige Firmen ob der Herausforderungen ums Überleben kämpfen, lauern im Cyberspace immer mehr Gefahren, die die Lage weiter verschärfen können.
Foto: Kimberly Boyles - shutterstock.com
Für Unternehmen liegt ein Schlüssel zur Abwehr dieser Gefahren im Identity & Access Management (IAM). Fragt sich nur, ob Ihre IAM-Systeme der aktuellen Bedrohungslage gewachsen sind.
Wie COVID-19 Unternehmen gefährdet
Cyberkriminelle sind die treibende Kraft hinter den wachsenden Security-Gefahren während der Corona-Krise. Gewiefte Scammer wissen genau, wie die menschliche Psyche funktioniert und haben in der Pandemie eine willkommene Chance erkannt, sich zu bereichern:
Job-Verlust: Das Weltwirtschaftsforum (World Economic Forum, WEF) analysierte im Mai 2020 die Zahl der im Zuge der Krise verlorengegangenen Jobs innerhalb der G7-Staaten. Die Zahlen rangieren zwischen 30 Millionen (USA) und 1,7 Millionen (Japan). In Deutschland stieg die Zahl der Arbeitslosen im April um fast 400.000. Für das zweite Quartal 2020 rechnet das WEF weltweit mit dem Verlust von 305 Millionen Vollzeit-Arbeitsplätzen. Das Problem im Zusammenhang mit Security: Die Gefahr von Datenlecks steigt bei Mitarbeitern, die ein Unternehmen verlassen. Einer Studie zufolge haben 89 Prozent der Entlassenen weiterhin Zugriff auf Unternehmensdaten.
Our new data shows the social and economic impact of #COVID19 is being felt hardest by informal workers and by enterprises in high-risk sectors.
— Guy Ryder (@GuyRyder) April 29, 2020
It has exposed the frailties and inequalities of our societies. We must build a better normal that supports the most vulnerable first. pic.twitter.com/5H58geOusA
Heimarbeit: Speziell in der Technologie-Branche setzte man verstärkt auf die Verlagerung der Workflows ins Homeoffice. Zahlreiche Unternehmen wie Facebook oder Twitter erlauben ihrer Belegschaft inzwischen, permanent auf Heimarbeit umzusatteln. Allerdings erfordern Remote-Work-Szenarien auch die Durchsetzung neuer Sicherheitsstandards und Kontrollmechanismen.
Cybercrime-Anstieg: Betrachtet man die Tor-Metriken während der Pandemie, zeigt sich ein massiver Anstieg bei Webseiten, die über das Netzwerk gehostet werden. Waren es im April 2020 noch rund 100.000 .onion-Seiten, sind es Ende Mai 2020 knapp 200.000. Diese Seiten dienen zwar nicht per se maliziösen Zwecken, der Anteil problematischer Seiten dürfte jedoch relativ hoch sein.
Wie eine Studie von Proofpoint belegen will, erfordern 99 Prozent aller Cyberangriffe menschliches Zutun. Datenlecks werden dabei vor allem durch privilegierte Zugänge verursacht - wie auch der Insider Threat Report 2020 zeigt: User mit 'privileged access' stellen für 63 Prozent der befragten Unternehmen die größte Bedrohung dar.
Die COVID-19-Krise hat eine Situation geschaffen, die eine systematische Neubewertung aller Zugangskontrollmechanismen im Unternehmensumfeld erfordert. Nur so lassen sich die Gefahren der massiv erweiterten Zugangs-Landschaft abfedern.
Wie Zugangskontrolle heute geht
Den meisten Unternehmen war bereits vor der Corona-Krise bewusst, dass sie in Sachen Identity & Access Management neue Wege beschreiten sollten, um die Vielzahl der Zugangsrechte von Mitarbeitern und Nicht-Mitarbeitern angemessen managen zu können.
Moderne IAM-Systeme wie etwa Directory as a Service oder CIAM stehen dazu ebenso bereit wie zentralisierte Identity Services, die speziell auf das On- und Offboarding von Mitarbeitern und Nicht-Mitarbeitern ausgelegt sind. Diese Tools können sich Unternehmen zunutze machen, um ihr Identity & Access Management zu härten:
Offboarding von Mitarbeitern: Einer Umfrage von OneLogin zufolge bringen 20 Prozent der befragten Unternehmen Datenlecks mit dem Umstand in Verbindung, scheidenden Mitarbeitern die Zugangsrechte zu entziehen. Dieser Offboarding-Vorgang sollte oberste Priorität genießen: Auch wenn der betreffende Ex-Mitarbeiter keine bösen Absichten hat, stellt es eine Gefahr dar, wenn weiterhin Zugriff auf Unternehmensdaten besteht.
Onboarding von Nicht-Mitarbeitern: In der Post-COVID-Ära sollte es unter Umständen nur noch Nicht-Mitarbeiter geben. Dabei handelt es sich eigentlich um Berater, Provider oder auch Devices. In Sachen Access Management müssen diese Nicht-Mitarbeiter wegen ihres Work Lifecycle gesondert behandelt werden.
- Rudi Hugelshofer, Business Development Lead, Airlock by Ergon
„Es gibt immer noch kleine und mittelständische Unternehmen, die haben oft kein eigenes Rechenzentrum, die betreiben ihre Systeme im Keller. Für mich stellt sich damit die Frage, wie Installation, Konfiguration und Daten der Kunden geschützt sind." - Markus Draeger, Enterprise and Cyber Security, Fujitsu
„Wir müssen die Vernetzung und das IoT auf einer Meta-Ebene diskutieren. Wir werden gesellschaftliche Folgen des privaten Konsumverhaltens sehen. Wer beispielsweise in einem Connected Car unterwegs ist und mit einem solchen kommuniziert, der muss wissen, dass sein Gegenüber der ist, für den er sich ausgibt. Wer verwaltet all diese Identitäten?“ - Eckhard Schaumann, Sales Director DACH, Nordics, CEE bei Sailpoint
„Auch technische Identitäten müssen letztlich auf einen Menschen zurückzuführen sein, der dafür verantwortlich ist. Es muss einen „warm body“ geben, wie man in den USA sagt. Das ist eine Management-Aufgabe, keine technische.“ - Christian Garske, Associate Director Lufthansa Industry Solutions
„Bei allen Systemen, die neu implementiert werden, sollte das Zero-Trust-Prinzip umgesetzt werden. Man kann sich nicht mehr allein auf den Perimeterschutz verlassen. Gleichzeitig weiß jedoch jeder, dass es Legacy-Systeme gibt, die uns noch zehn, zwanzig Jahre ärgern werden!“ - Amir Alsbih, CEO Key Identity
„Use Cases für die Blockchain gibt es nur dann, wenn drei Bedingungen gleichzeitig erfüllt sind: Man muss etwas speichern, nicht jeder Akteur mit Schreibrechten ist vertrauenswürdig, und die Akteure benötigen Lesezugriff auf die Daten. Für alle anderen Fälle gibt es auf dem Markt sinnvollere Lösungen.“
Zero Trust und die IAM-Zukunft
Der Zero-Trust-Ansatz könnte ein geeignetes Mittel darstellen, um eine konsistente Zugangskontrolle im Unternehmensumfeld sicherzustellen. Zero Trust ist allerdings kein Allheilmittel, sondern liefert lediglich ein passendes Framework für zeitgemäße Access Control und verfährt dabei nach dem Grundsatzprinzip "always verify, never trust".
Die von den Mitarbeitern abverlangte Flexibilität sollte sich auch in den Methoden widerspiegeln, die beim Zugriff auf Unternehmensdaten zur Anwendung kommen. Diese dynamische Anpassungsfähigkeit ist eine Schlüsselkomponente von katastrophensicheren IAM-Systemen (catastrophe-hardened IAM, CHIAM) und wird beispielsweise durch die Einbeziehung von Machine Learning und anderen KI-Fähigkeiten realisiert.
Eine Kombination aus Zero-Trust-Ansatz und CHIAM stellt dabei einen Lösungsweg in Aussicht, der allen Anforderungen gerecht wird - egal ob Mitarbeiter, Nicht-Mitarbeiter oder Devices.
Es steht außer Frage, dass die Arbeitswelt nach der Pandemie eine andere sein wird, wobei COVID-19 lediglich ein Verstärker für die ohnehin bereits vorhandenen Tendenzen war: Der Klimawandel wird virtuelle Events und Remote Work begünstigen, der Trend zur Einbindung von freien Mitarbeitern und sonstigen , externen Dienstleistern wird sich weiter verstärken und die ungewisse wirtschaftliche Situation wird zu verstärkter Mitarbeiter-Fluktuation führen.
An diese Verhältnisse muss sich auch das Identity & Access Management der Unternehmen anpassen - nur so lassen sich unvorhersehbare Risiken minimieren. (fm)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.