Security trotz COVID-19

No-Gos für die IT in der Coronavirus-Krise

24.03.2020
Von 


Alexei Balaganski ist als Lead Analyst für KuppingerCole tätig und legt einen speziellen Fokus auf Cybersecurity-Themen und Artificial Intelligence. In seinen regelmäßigen Blogs und Research Papers deckt er ein breites Spektrum an sicherheitsrelevanten Themen ab: von der Datenbank-, Anwendungs- und API-Sicherheit bis hin zum Informationsschutz, der Kryptographie und der KI-basierten Sicherheitsautomatisierung.
Das Internet ist voller Empfehlungen zu Dingen, die Sie in der Coronavirus-Krise tun sollten. Wir sagen Ihnen, was Sie in Sachen IT-Security trotz COVID-19 unbedingt vermeiden sollten.

Wir leben in schwierigen Zeiten: Noch vor wenigen Wochen hat die Welt China bei der Bekämpfung des Coronavirus-Ausbruchs beobachtet und ernsthaft gedacht, dass so etwas in anderen Ländern sicherlich nie passieren könnte. Heute stehen Europa und die Vereinigten Staaten vor der gleichen Krise, und wir kommen schnell zu der Erkenntnis, dass weder Memes noch Gedanken und Gebete helfen können: Viele Länder haben bereits umfangreiche Quarantänemaßnahmen eingeführt, um die sozialen Interaktionen zu begrenzen und damit die Ausbreitung des Virus zu verlangsamen.

Trotz Coronavirus-Krise: Diese IT-Sicherheits-No-Gos sollten Sie unbedingt vermeiden.
Trotz Coronavirus-Krise: Diese IT-Sicherheits-No-Gos sollten Sie unbedingt vermeiden.
Foto: Gajus - shutterstock.com

Viele Unternehmen müssen, wenn sie ihre Geschäfte weiterführen wollen, ihre Mitarbeiter von zu Hause aus arbeiten lassen. Natürlich ist das Internet voller Empfehlungen zu Dingen, die Sie tun müssen, um diesen Übergang zu erleichtern. Zur Abwechslung möchte ich eine kurze und praktische Liste von IT- und sicherheitsbezogenen Dingen zusammenstellen, die Sie jetzt vermeiden sollten, um später nichts zu bereuen. Dies richtet sich vor allem an kleinere Betriebe, die wahrscheinlich noch nie Pläne für Situationen wie diese hatten, aber immerhin schneller und flexibler sein können, wenn es darum geht, Änderungen in ihren Prozessen kurzfristig umzusetzen.

DSGVO verpflichtet - trotz COVID-19!

Zuallererst gilt der Grundsatz keine Panik (zu wissen wo Ihr Handtuch ist, würde auch nicht schaden)! Es ist nicht leicht, angesichts der schlimmen Berichte aus Ländern wie Italien und China ruhig und besonnen zu bleiben, aber impulsiv irrationale Entscheidungen zu treffen, ist das Schlimmste, was man in einer Krise tun kann. Das gilt nicht nur für den Hamsterkauf von Toilettenpapier und Nudeln: Wenn Sie heute Aktionen wie die Anschaffung von 100 Laptops in Erwägung ziehen, um morgen jeden Mitarbeiter damit auszustatten, sollten Sie vielleicht zweimal überlegen.

Glauben Sie nicht, dass die Pandemie eine Universal-Ausrede für jedwede Verletzung von Sicherheits- und Compliance-Vorschriften sein könnte. Die Krise wird früher oder später vorbei sein, DSGVO oder PCI DSS werden dann aber immer noch gelten. Dennoch sollten Sie nicht blind auf die Empfehlungen von irgendjemandem vertrauen - nicht einmal auf unsere! Lassen Sie sich nicht von den skrupellose Marketingaktivitäten mancher Anbieter beeinflussen, die versuchen, von der Coronavirus-Krise zu profitieren. Nur Sie können die Risiken eines Fernzugriffs auf bestimmte, sensible Unternehmens- oder Kundendaten richtig einschätzen und Ihre Geschäftsprozesse entsprechend anpassen.

Keinesfalls sollten Sie in dieser Situation versuchen, ein virtuelles Büro für die Mitarbeiter im Home Office aufzubauen. Mit einer Handvoll offensichtlicher Ausnahmen wie zum Beispiel dem Zugriff auf Legacy-Geräte vor Ort oder dem Umgang mit hochsensiblen, vertraulichen Daten müssen sich Ihre Mitarbeiter im Home Office nicht wirklich als im Büro anwesend ausgeben. Vielleicht bietet die gegenwärtige Situation ja sogar die Gelegenheit, angestammte Geschäftsprozesse radikal zu vereinfachen? Muss denn wirklich jeder Mitarbeiter seine Arbeitszeit immer noch mit der Stechuhr erfassen? Sind Ihre täglichen Morgenbesprechungen so wichtig, dass Sie eine Online-Plattform bezahlen müssen, um sie fortzusetzen? Auch hier können natürlich nur Sie entscheiden!

Sie brauchen kein VPN!

Im Ernst, wenn Sie noch keine VPN-Lösung haben, sollten Sie auch nicht mehr darin investieren. Virtual Private Networks sind keine neue Technologie und in Situationen wie dieser kaum skalierbar. Dabei verursachen sie aber klaffende Lücken im Bereich der IT-Sicherheit, indem sie den Benutzern vollen Zugang zum gesamten Unternehmensnetz ermöglichen. Da es mehrere bekannte Schwachstellen in VPN-Produkten gibt, die von überlasteten IT-Teams wahrscheinlich nicht rechtzeitig gepatcht werden, erhalten böswillige Angreifer zusätzliche Möglichkeiten, Ihre Sicherheit zu gefährden.

Ziehen Sie stattdessen einen moderneren Zero-Trust-Ansatz in Betracht. Software-Defined-Perimeter-Lösungen können granularen und vollständig dokumentierten Zugriff auf bestimmte interne Dienste und Anwendungen von überall und ohne VPN-Engpass ermöglichen. Unternehmen wie Zscaler, Akamai oder CloudFlare bieten beispielsweise Lösungen an, die vollständig aus der Cloud geliefert und verwaltet werden. CloudFlare bietet seine Lösung für kleine Unternehmen zur aktuellen COVID-19-Pandemie sogar kostenlos an.

Wenn sich die Sicherheit Ihres Unternehmens immer noch auf eine Architektur stützt, die über Firewalls den gesamten Unternehmens-Traffic zentralisiert filtert, schützen Sie die Mitarbeiter im Home Office mit einer VPN-Anbindung nicht ausreichend. Dieser Ansatz hat sich seit langem als ineffizient und schwer skalierbar erwiesen, daher sollten Sie auch hier die Gelegenheit nutzen, auf eine Cloud-basierte Sicherheitslösung umzusteigen. Egal für welche Lösung Sie sich hierbei entscheiden, Sie sollten eine wählen, die keine Änderungen am Netzwerk oder Software-Installationen erfordert, damit Ihre Mitarbeiter auch von ihren persönlichen Geräten aus sicher arbeiten können.

Home Office ohne Kompromisse!

Wenn Sie sich mit Bring Your Own Device (BYOD) nicht wohlfühlen, brauchen Sie keine Kompromisse einzugehen! Ziehen Sie eine viel bequemere und sicherere (wenn auch etwas teurere) Lösung für das Mobilitätsmanagement im Unternehmen in Betracht, die auf dem Gerät jedes Mitarbeiters eine sichere Grenze zwischen privaten und geschäftlichen Dingen zieht. Für welchen Anbieter Sie sich in Sachen Mobile Device Management auch entscheiden, Sie behalten die volle Kontrolle über die IT-Sicherheitsrichtlinien - unabhängig vom aktuellen Standort jedes Mitarbeiters.

Sie müssen auch kein zusätzliches Geld ausgeben, um mit Ihren Kollegen und Geschäftspartnern in Kontakt zu bleiben: Zahlreiche Online-Kommunikationsplattform stehen zu diesem Zweck zur Verfügung. Jede hat ihre eigenen kleinen Macken, aber im Grunde erledigen Videokonferenz-Tools ihre Arbeit ziemlich gut. Wenn Sie sich noch nicht sicher sind, kann es sich lohnen, einen Blick auf den "Open for Business"-Hub zu werfen: Einige Anbieter bieten spezielle Test- oder gar Gratis-Versionen ihrer Tools für kleine Unternehmen an.

Faktor Mensch schützen!

Humanitäre Krisen wie die aktuelle Coronavirus-Pandemie bieten Anlass für verschiedene Social-Engineering-Angriffe, die darauf abzielen Benutzer zu täuschen, um bösartige Software zu installieren und Account- oder persönliche Daten zu stehlen. Sicherheitsforscher berichten bereits über verschiedene Angriffe, bei denen die Angst vor COVID-19 ausgenutzt wird.

Da die E-Mail immer noch der beliebteste (und übrigens auch der unsicherste) Kommunikationskanal im Unternehmensumfeld ist, haben Sie wahrscheinlich bereits eine E-Mail-Sicherheitslösung für Ihre Mitarbeiter im Einsatz. Allerdings ist keine dieser Lösungen undurchdringlich und die Menschen werden oft Opfer eines einfachen Betrugs, der nicht unbedingt immer mit Malware zu tun haben muss. Es ist wichtig, Ihre Mitarbeiter über potenzielle Risiken zu informieren, aber der proaktive Schutz ist wichtiger.

Wenn Sie also in Ihrem Unternehmen immer noch keine Multi-Faktor-Authentifizierung eingesetzt haben, sollten Sie nicht länger zögern. Das muss übrigens nicht zwingend teuer werden - die meisten namhaften Online-Dienste unterstützen eine Reihe verschiedener Authentifizierungs-Methoden. Selbst das einfachste Einmal-Passwort, das von einer Smartphone-Anwendung generiert wird, ist weitaus sicherer als gar keinen mehrstufigen Authentifizierungsprozess zu haben. Für zusätzliche Sicherheit bei mehreren Online-Diensten sollten Sie FIDO2-basierte Authentifizierungsgeräte in Betracht ziehen.

Hinter dem schönen Security-Schein

Natürlich ist der traditionelle Malware-Schutz für jedes Endgerät nach wie vor wichtig, aber was wäre das beste Produkt, das Sie kaufen können? Auf diese Frage gibt es keine Antwort - ob Sie sich nun für ein Best-of-Breed-Produkt für den Endpoint-Schutz, eine integrierte Cloud-native Schutzplattform oder einen radikalen KI-basierten Antivirus-Ersatz entscheiden, eines sollten Sie keinesfalls tun: sich vom schönen Schein der Security-Produktetiketten blenden lassen! Fragen Sie den Anbieter Ihrer Wahl gezielt nach technischen Funktionen und Zusammenhängen. Anhaltspunkte darüber, welche Fragen Sie stellen sollten liefert Ihnen beispielsweise dieser Buyer's Compass for Endpoint Protection. (fm)