Suchen

Interview, Kristian von Mejer, Forescout „Innovative Technologien wie VPN-Tools oder Cloud-Lösungen haben sich als zweischneidiges Schwert erwiesen“

| Redakteur: Sebastian Human

Viele Unternehmen waren durch das Coronavirus gezwungen, ihre Mitarbeiter von einem Tag auf den anderen ins Homeoffice zu schicken. Mit deren Rückkehr steigt nun das Risiko für Cyberangriffe. Ein Gespräch über Gefahren und Gegenmaßnahmen.

Viele freuen sich über die Rückkehr aus dem Homeoffice – doch kann das auch Sicherheitsrisiken bedeuten?
Viele freuen sich über die Rückkehr aus dem Homeoffice – doch kann das auch Sicherheitsrisiken bedeuten?
(Bild: gemeinfrei / Pexels )

Die Corona-Pandemie bewirkte einen schlagartigen Homeoffice-Boom, auf den die wenigsten vorbereitet waren. Quasi über Nacht sahen sich zahlreiche kleine und große Unternehmen gezwungen, ihrer Belegschaft die Remote-Arbeit von zu Hause zu ermöglichen. Nun kehren Arbeitnehmer langsam wieder an ihre Arbeitsplätze zurück – und könnten so zum IT-Sicherheitsriskio werden. Hierüber haben wir uns mit Kristian von Mejer, Global Account Executive bei Forescout unterhalten.

Die Corona-Krise sorgte in den letzten Monaten für eine unfreiwillig schnelle Umstellung auf flächendeckendes Home Office, wo es möglich ist. Nun kehren die ersten Arbeitnehmer in die Unternehmen zurück und die Arbeitgeber sind darum bemüht, ihre Mitarbeiter durch Hygienemaßnahmen physisch zu schützen. Doch wie steht es um die Cybersicherheit? Können wir einfach so weitermachen, wie bisher?

Nach einer Phase, in der Unternehmen viel Aufwand betrieben haben, ihren Mitarbeitern die Möglichkeit zu bieten, auch aus den eigenen vier Wänden produktiv zu sein, steht nun die Aufgabe an, Mitarbeiter und deren Geräte wieder sicher zurück ins Büro zu holen. Hierbei sollten drei Bereiche ins Auge gefasst werden: Als Erstes muss eine kontinuierliche Bestandsaufnahme des Firmennetzwerks erfolgen, bei der „Sichtbarkeit“ der Schlüssel zur IT-Sicherheit ist. Fakt ist, dass IT-Sicherheitsabteilungen den Bestand im Netzwerk kennen müssen, um die Sicherheitsstrategie daran auszurichten. Etwas abzusichern, von dem ich nicht mal weiß, dass es da ist, ist nahezu unmöglich. Zurückkehrende Geräte, zum Beispiel BYOD, müssen also unmittelbar erkannt und klassifiziert werden, sobald sie sich mit dem Netzwerk verbinden.

Als Zweites müssen diese Geräte auf Compliance zu den eigenen Sicherheitsrichtlinien geprüft werden, auch dies unmittelbar und kontinuierlich. Denn wenn diese in der Zeit der Heimarbeit kompromittiert wurden, bieten sie Angreifern eine Hintertür, um ins Unternehmensnetzwerk zu gelangen, ohne dass das IT-Team dies überhaupt bemerkt.

Als Drittes sollten Unternehmen dafür sorgen, dass Geräte, die nicht den Vorgaben entsprechen, eingeschränkten Zugang zum Netzwerk erhalten, oder gar ganz vom Netz getrennt werden.

Mancherorts wurde der Fernzugriff aus dem Home Office also möglicherweise zu schnell und zu unbedacht umgesetzt. Aber hatten die Unternehmen denn eine Wahl?

Ob die Unternehmen aus der Sicht der IT-Sicherheit in der Lage waren, in dieser Schnelligkeit in das Home Office zu wechseln, darüber lässt sich nur von Fall zu Fall eine Aussage treffen. Remotezugang für Mitarbeiter ist nicht erst seit Corona ein Thema für Unternehmen und bietet viele Vorteile. Wichtig ist, dafür zu sorgen, dass kein zusätzliches Risiko durch den Fernzugang oder im Anschluss daran entsteht, wenn Mitarbeiter wieder aus dem Office heraus arbeiten. Die Frage ist weniger, ob Unternehmen eine Wahl für oder gegen Home Office hatten, die Frage muss sein, wie die Absicherung der Home Office-Infrastruktur durchgeführt wurde.

Bei dieser Infrastruktur sprechen wir zum Beispiel von VPN-Zugängen und Cloud-Systemen, die den schnellen Switch zum Home Office teils erst ermöglicht haben. Inwiefern könnten sich diese nun auch zu zusätzlichen Einfallstoren für Cyberkriminelle entwickeln?

Cyberkriminelle nutzten die Home Office-Situation gnadenlos aus. Es gibt zahlreiche Berichte über die Zunahme von Phishing-Attacken, die Verbreitung von Ransomware und zielgerichteten Angriffen die primär auf Heimarbeiter ausgerichtet sind.

Innovative Technologien wie VPN-Tools oder Cloud-Lösungen haben sich als zweischneidiges Schwert erwiesen. Auf der einen Seite haben sie dazu beigetragen, schnell eine Remote-Belegschaft aufzubauen, um einige Geschäftsprozesse am Laufen zu halten. Andererseits haben sie neue Wege in Unternehmensnetzwerke eröffnet, die Angreifer ausnutzen können – und werden.

Dass Geräte, die aus der Ferne auf das Netzwerk zugreifen, bei jedem Verbindungsaufbau auf Compliance mit den eigenen Sicherheitsrichtlinien überprüft werden, ist notwendig, um Gefahren aus diesem Vektor heraus zu reduzieren.

Ebenfalls zu beachten ist aber auch, dass Geräte der Mitarbeiter, wenn diese zurück ins Büro kommen, überprüft werden. Diese wurden womöglich während der Phase der Heimarbeit nicht auf den neuesten Stand gepatcht, Vulnerability Scans wurden unter Umständen pausiert und so weiter.

Es muss also sichergestellt werden, dass als erstes erkannt wird, wenn solche Geräte wieder zurück ins Firmennetz kommen. Dann müssen sie auf Compliance überprüft werden, zum Beispiel ob relevante Patches installiert sind. Erst nach dieser Überprüfung sollte der Zugriff auf das Firmennetz erlaubt werden. Das Ganze innerhalb kürzester Zeit und ohne, dass die User in der Ausübung ihrer Arbeit gestört werden. Hier spielt beispielsweise auch der Zero-Trust-Ansatz eine entscheidende Rolle, da er ein Maß an Mindestanforderung implementiert. Wenn zum Beispiel eine Schwachstelle in einem älteren Betriebssystem erkannt wurde, kann jedem Gerät, auf dem dieses Betriebssystem läuft, der Zugriff auf ein Netzwerk verweigert werden, bis es auf die neueste Version aktualisiert wurde oder ein entsprechender Sicherheitspatch ausgeführt wurde. Denn Cyberkriminelle werden nicht aufhören, nach potenziellen Schwachstellen zu suchen und diese aktiv auzunutzen, nur weil eine globale Pandemie im Gange ist.

Sie erwähnten es bereits: Auch Phishing-Angriffe, viele davon über Spam-Mails mit Corona-Bezug, lassen sich bereits in steigender Zahl beobachten. Welche Gefahren lauern möglicherweise noch im Rahmen der Home-Office-Remigration?

Der Mensch ist und bleibt das größte Einfallstor in das Unternehmensnetzwerk. Es ist daher klar, dass sämtliche Chancen von Cyberkriminellen ergriffen werden, um diesen unter Druck zu setzen oder zu Leichtsinnigkeit zu verleiten. Auch bei der Rückkehr ins Büro werden wir viele Phishing-Kampagnen beobachten. Die werden dann genau das Thema der Remigration aufgreifen. Man muss mit einer Zunahme der Angriffe rechnen, sobald der Lockdown flächendeckend beendet ist. Bereits jetzt sehen Sicherheitsexperten, beispielsweise von Google, einen Anstieg an Phishing-E-Mails und Cyberattacken. Cyberkriminelle halten nach den Unternehmen Ausschau, die den Betrieb so schnell wie möglich wieder aufnehmen wollen, das aber möglicherweise auf Kosten einer guten IT- und Cyber-Sicherheitshygiene tun.

Warum ist eine ausführliche Inventarisierung der IT nach dem Lockdown wichtig und bei IoT dringend nötig? Was können Unternehmen tun, um Ihre Systeme und IoT-Umgebungen schnellstmöglich wieder zu sichern?

Kristian von Mejer, Global Account Executive bei Forescout
Kristian von Mejer, Global Account Executive bei Forescout
(Bild: Forescout)

Sichtbarkeit ist der Schlüssel, sowohl für Cyberabwehr-Teams als auch für Angreifer. Letztere wollen unbemerkt in das Unternehmensnetzwerk eindringen, um dort größtmöglichen Schaden anzurichten. Cyberkriminelle werden versuchen, sich über das private BYOD-Gerät in das Unternehmensnetzwerk einzuschleusen. Daher sollten Unternehmen eine umfassende Netzwerksegmentierung vornehmen. Kritisch wird es zudem, wenn das private Gerät aufgrund der kurzfristigen Umstellung in das Home Office für dienstliche Zwecke genutzt wurde und nun die darauf befindlichen Informationen und Daten in den internen Zyklus zurückgeführt werden müssen. Dies kann und muss unter höchst kritischer Betrachtung erfolgen. Es wird gefährlich, wenn leichtsinnig davon ausgegangen wird, die Rückkehr in das Büro sei einfach.

Sicherheits- und Netzwerkteams müssen bei Remote-Benutzern und -Geräten den gleichen Grad an Sichtbarkeit und Kontrolle bieten, wie bei der Arbeit im Büro. Das kann durch Konformitätsbewertung und richtlinienbasierte Endpunkt- und Netzwerkkontrollen erreicht werden, die dazu beitragen können, Unternehmens- oder Bring Your Own Device (BYOD)-Geräte zu sichern, während sie sich per Fernzugriff mit Unternehmensnetzwerken verbinden.

Alle Ferngeräte müssen in dem Moment erkannt und klassifiziert werden, in dem sie sich mit dem Unternehmensnetzwerk verbinden – genau wie Geräte im Büro. Diese erweiterte Sichtbarkeit trägt zur Risikominimierung in der neuen Work-from-Home-Umgebung bei. Als nächstes muss man sicherstellen, dass diese Geräte zu den eigenen IT-Sicherheitsvorgaben konform sind und dies auch bleiben, unabhängig von dem spezifischen Standort, von dem aus sie sich mit einem Netzwerk verbinden.

Was bedeutet die Pandemie für die Zusammenführung von OT und IT bis Jahresende, wird sich der Trend beschleunigen?

Bereits vor der Pandemie haben wir einen deutlichen Wandel beobachtet. Plötzlich war ein und dieselbe Person beziehungsweise Abteilung für die Absicherung von OT- und IT-Netzen zuständig. Wir sehen, dass sich CISOs mit beiden Bereichen befassen und die IT-Sicherheits-Verantwortung übernehmen müssen. Das ist für viele neu, da sich die vormals zuständigen Mitarbeiter der OT primär mit physischer Sicherheit beschäftigt haben. Das Thema Home Office im Zuge der COVID-19-Krise hat Cybersicherheit bei allen Unternehmen auf den Schirm gerufen. Auch OT-Anlagen müssen vor Cyberkriminellen geschützt werden. OT- und IT-Sicherheit wird mittelfristig zusammenwachsen. Wir gehen davon aus, dass die notwendigen Schritte bis Jahresende vielleicht nicht abgeschlossen, aber sicherlich eingeleitet werden. Am Ende geht es darum Unternehmen vor Betriebsausfällen jeglicher Art zu schützen.

(ID:46657990)