Da die Beschränkungen für Schließungen im gesamten Vereinigten Königreich weiter abnehmen, beginnen die Unternehmen, eine Rückkehr zur Arbeit in Betracht zu ziehen - zumindest in Teilzeit. Dies wird jedoch für viele Unternehmen eine völlig neue Situation schaffen: Eine hybride Arbeitsumgebung, die zwischen Arbeit und Privatleben besteht und erhebliche Risiken für die Cybersicherheit mit sich bringt.
Als die COVID-19-Sperre im März das Vereinigte Königreich traf, mussten sich die Unternehmen schnell und umfassend anpassen. Aber auch Cyber-Kriminelle passten sich an diese neue Umgebung an und verschickten massenhaft gezielte Phishing-E-Mails und SMS-Betrügereien.
Im April meldete Google , dass in nur einer Woche täglich mehr als 18 Millionen Malware- und Phishing-E-Mails im Zusammenhang mit COVID-19 auftauchten. Im Mai waren laut Berichten an das National Fraud Intelligence Bureau über 800.000 Pfund durch Coronavirus-Betrug verloren gegangen.
Phishing ist oft ein Weg, um Ransomware zu verbreiten - eine Form von Malware, die Geschäftsdaten verschlüsselt, bis ein Lösegeld gezahlt wird. Im April erklärte die Interpol-Abteilung Cybercrime Threat Response, sie habe einen "signifikanten Anstieg" bei der Zahl der versuchten Ransomware-Angriffe auf wichtige Organisationen in aller Welt festgestellt.
Und in jüngster Zeit hat der mutmaßliche Ransomware-Angriff auf das Technologieunternehmen Garmin gezeigt, wie leicht ein Cyberangriff den Geschäftsbetrieb zum Erliegen bringen kann, was sich auf die Kundenwahrnehmung und letztlich auf den Ruf eines Unternehmens auswirkt.
Während COVID-19 kann der durch eine Sicherheitsverletzung verursachte Imageschaden sogar noch größer sein. Denken Sie nur an die angeschlagene Fluggesellschaft EasyJet, die im Mai zugab, dass sie Anfang des Jahres bei einem "hochentwickelten Cyberangriff" gehackt wurde.
Wie können Sicherheitsverantwortliche also die Risiken vermeiden, die ihrem Unternehmen letztlich schaden können, wenn die Belegschaft zwischen Arbeit und Privatleben pendelt?
Erkennen der Risiken
Zunächst ist es wichtig, sich der Herausforderungen bewusst zu werden, die sich bei der Arbeit von zu Hause aus bereits ergeben haben. Da die gesamte Bevölkerung in den letzten Monaten durch die COVID-19-Pandemie unter Druck stand, wollten die Unternehmen ihre Mitarbeiter nicht noch weiter belasten.
Das bedeutet, dass in vielen Fällen die Schulung zur Cybersicherheit auf der Strecke geblieben ist - ein großes Problem angesichts der Phishing-Angriffe, die während der COVID-19 nur allzu häufig vorkommen.
In der Zwischenzeit haben viele Unternehmen es versäumt, ihre Politik an dieses plötzlich veränderte Arbeitsumfeld anzupassen, was ein weiteres Risiko darstellt.
Ohne die optimierten Kommunikationssysteme, an die sie gewöhnt sind, können Mitarbeiter auf Phishing-Versuche hereinfallen und in einigen Fällen unwissentlich wertvolle Geschäftsdaten preisgeben - oder sogar den Weg für Ransomware-Angriffe ebnen.
Drei Szenarien zur Cybersicherheit
Die hybride Arbeitsumgebung von COVID-19 bringt Herausforderungen mit sich, die drei Szenarien umfassen: Bring Your Own Device (BYOD), Arbeiten von zu Hause und Arbeiten im Büro.
Den BYOD-Trend gibt es schon seit Jahren, und die Unternehmen haben gelernt, mit Richtlinien und Tools wie der Verwaltung mobiler Geräte damit umzugehen. Aber die Cybersicherheit während der Pandemie eröffnet noch mehr Möglichkeiten für Risiken.
Die Mitarbeiter nehmen ihre Arbeitslaptops mit nach Hause, oder sie verwenden ihre eigene Hardware, um sich mit dem Unternehmensnetz zu verbinden. Sie können ein virtuelles privates Netzwerk (VPN) verwenden oder auch nicht.
Gleichzeitig werden die Unternehmen die Nutzung von Software für die Zusammenarbeit fördern, damit die Mitarbeiter zwischen Zuhause und dem Büro in Verbindung bleiben. Das kann bedeuten, dass Mitarbeiter Apps wie Microsoft Teams auf ihre Telefone herunterladen oder nicht genehmigte Apps nutzen, um effizienter zu arbeiten - und das alles ohne das Wissen der IT-Abteilung.
Darüber hinaus sind weitere Risiken der Heimarbeit sowie soziologische und administrative Veränderungen zu berücksichtigen. Oft wird mehr als eine Person von zu Hause aus arbeiten. Die Menschen werden natürlich wertvolle Geschäftsdaten auf ihren Bildschirmen anzeigen, die jeder sehen kann, der den Haushalt betritt.
Es kommt nur allzu oft vor, dass Menschen ihren Computer verlassen, ohne ihn abzuschließen. Was aber, wenn dabei versehentlich sensible Geschäftsinformationen angezeigt werden, die von einer anderen Person, die in der Immobilie wohnt oder sie besucht, preisgegeben werden könnten?
Heimrouter sind eine weitere Herausforderung. Sie sind anfällig für verschiedene Arten von Cyberangriffen, die Geschäftsdaten gefährden könnten, wie z. B. Man-in-the-Middle-Angriffe, bei denen Angreifer den Netzwerkverkehr ausspähen können.
Das Szenario der Arbeit vom Büro aus macht die Sache noch komplexer. Nimmt der Mitarbeiter beispielsweise einen Laptop mit zur Arbeit und nach Hause; sendet er sensible Dateien auf ein anderes Gerät, um von zu Hause aus daran zu arbeiten?
In dieser neuen und hybriden Umgebung sind die herkömmlichen Sicherheitskontrollen einfach nicht mehr zweckmäßig. Das neue "normale" Arbeitsumfeld erfordert einen überarbeiteten Ansatz, der Kontrollen und Werkzeuge für die Cybersicherheit, Richtlinien und Schulungen umfasst.
WFH ist ein Projekt der digitalen Transformation, kein IT-Projekt
Es ist schon jetzt klar, dass die Cybersicherheit im COVID-Zeitalter einen Mentalitätswandel erfordert. Vor 20 Jahren wäre diese neue Arbeitsumgebung gar nicht möglich gewesen, weil die Technologie nicht vorhanden war und die Mitarbeiter fest mit internen Systemen verdrahtet waren. Heute können Besprechungen per Videokonferenz stattfinden, während Cloud und Apps das Herunterladen von Dateien, die Zusammenarbeit und die Kommunikation einfacher denn je machen.
Da diese Innovationen aber auch Risiken für die Cybersicherheit mit sich bringen, wäre es sinnvoll, die Heimarbeit als ein Projekt der digitalen Transformation und nicht als ein IT-Projekt zu betrachten.
Die Unternehmen müssen zunächst ihre Richtlinien überprüfen und die Mitarbeiter darüber aufklären, was sie tun und was sie nicht tun dürfen. In diesem Zusammenhang ist es eine gute Idee, Situationen durchzuspielen: Zum Beispiel: "Dieser Drucker ist ein mit Wi-Fi verbundenes Gerät, hier sind die Risiken, die es birgt", während gleichzeitig grundlegende Best Practices wie Patching gefördert werden.
Das National Cyber Security Centre (NCSC) des Vereinigten Königreichs bietet einige solide Ratschläge für Mitarbeiter, die von zu Hause aus arbeiten. In einer BYOD-Situation beispielsweise rät das NCSC Unternehmen, sich des Risikos bewusst zu sein, dass Geräte verloren gehen oder gestohlen werden. Um die Gefahr zu verringern, sollte man sicherstellen, dass die Geräte die Daten im Ruhezustand verschlüsseln, und überprüfen, ob die Verschlüsselung aktiviert und konfiguriert ist.
In der Zwischenzeit sollten die Mitarbeiter zu Hause ein VPN verwenden, das vollständig gepatcht sein sollte. Unternehmen müssen möglicherweise weitere Lizenzen, Kapazitäten oder Bandbreiten hinzufügen, wenn die Zahl der Remote-Benutzer im Unternehmen stark gestiegen ist.
Es ist auch wichtig, darzulegen, wie Aufklärung dazu beitragen kann, dass Mitarbeiter nicht auf Phishing-Angriffe hereinfallen. Die Mitarbeiter sollten auch wissen, wie sie Probleme melden können, z. B. Phishing-Versuche oder verlorene Geräte, und wie sie ihre private und berufliche Software und Hardware auf dem neuesten Stand halten können.
Natürlich muss jede Sicherheitsüberholung vom Vorstand mitgetragen werden. Sicherheitsverantwortliche können anhand von Beispielen wie EasyJet und Garmin aufzeigen, warum ein Cyberangriff eine Gefahr für das Unternehmen in finanzieller Hinsicht und für den Ruf darstellen kann, insbesondere während einer Pandemie.
Insgesamt ist ein ganzheitlicher Ansatz erforderlich, der alle Mitarbeiter des Unternehmens einbezieht und sowohl die Arbeits- als auch die Privatumgebung umfasst. Da sich die Landschaft ständig verändert und neue Bedrohungen auftauchen, muss die Cybersicherheit ein ständiges Projekt sein und darf nicht nur eine Übung zum Abhaken sein.
Kostenloses Cyber-Bewusstseins-Asset zur Unterstützung von Unternehmen bei der Rückkehr an den Arbeitsplatz
Achtsamkeit bei Cybergefahren für Dummies ist eine unverzichtbare Ressource, um Verhaltensänderungen zu bewirken und eine Kultur des achtsamen Umgangs mit Cybergefahren zu schaffen.
In diesem Leitfaden erfahren Sie:
- Was das Bewusstsein für Cybersicherheit für Ihr Unternehmen bedeutet
- Wie eine Kampagne für mehr Achtsamkeit gegenüber Cyberrisiken durchgeführt wird
- Welche entscheidende Rolle Richtlinien bei der Ermittlung sicherer Referenzwerte spielen
- Wie sich das Momentum aufrechterhalten und das Personal motivieren lässt
- 10 Bewährte Verfahren zur Sensibilisierung für Cybersicherheit
