![\"Ist](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/shutterstock_299936939-e1618484537725.jpg\" "\\"Bild")
<\/p>\n<\/p>\n
Homeoffice ist eine der offenkundigsten Auswirkungen der digitalen Transformation, wodurch sich die M\u00f6glichkeiten in den Unternehmen ver\u00e4ndern, und eine der Reaktionen auf die derzeitige Gesundheitskrise. Abh\u00e4ngig von den Gewohnheiten und Verhaltensweisen der Mitarbeiter k\u00f6nnen diese neuen Verwendungszwecke dazu f\u00fchren, die Sicherheit der Unternehmen zu untergraben. Sollten daher der Zugang und die Funktionalit\u00e4ten bestimmter Desktop-Arbeitspl\u00e4tze eingeschr\u00e4nkt werden, um die Sicherheit des gesamten Unternehmens zu gew\u00e4hrleisten? Wenn man wieder zu einer Zeit zur\u00fcckkehrt, in der es notwendig war, Zugriffs- und Installationsrechte f\u00fcr einen PC-Arbeitsplatz zu beantragen, k\u00f6nnte das zus\u00e4tzliche Schutzschilder bieten, IT-Abteilungen jedoch in eine Zwickm\u00fchle bringen.<\/strong><\/p>\n Mit der digitalen Transformation, der Virtualisierung von Dienstleistungen und der Mobilit\u00e4t von Arbeitnehmern verschieben sich die Grenzen des Unternehmens, und die Bereiche zwischen Arbeit und Privatleben verschwimmen immer mehr. Ob der Zugriff auf das interne Netzwerk \u00fcber ein ungesichertes WLAN<\/a> oder das Kopieren und Einf\u00fcgen eines wichtigen Unternehmensdokuments \u00fcber einen pers\u00f6nlichen USB-Stick<\/a> erfolgt - es wird eine immer gr\u00f6\u00dfere Anzahl von verschiedenen Ger\u00e4ten verwendet und untereinander verbunden. Eine Klarstellung gleich zu Beginn: Diese Tatsache beschr\u00e4nkt sich auf keine Hierarchie; der ahnungslose Auszubildende, der gestresste kaufm\u00e4nnische Angestellte oder der CEO, der sich f\u00fcr unverwundbar h\u00e4lt: Sie alle sind potenzielle \u00dcbertr\u00e4ger von Cyberrisiken. Zumal viele von ihnen Administratorenzugriff auf ihren Desktop-Arbeitspl\u00e4tzen haben. Es stellt sich die Frage: Sollen wir zu \u201efr\u00fcheren\u201c Praktiken zur\u00fcckkehren und allen zu ihrer eigenen Sicherheit Beschr\u00e4nkungen auferlegen?<\/strong><\/p>\n Eine Frage, die in der aktuellen Gesundheitskrise vielleicht noch relevanter wird, da Notfallsituationen und Cybersicherheit nie vereinbar sind. Um es Unternehmen zu erm\u00f6glichen, ihre Aktivit\u00e4ten aufrechtzuerhalten, halten digitale Dienste, insbesondere Homeoffice, in den Wohnungen der Mitarbeiter Einzug. Aber mit ihnen werden auch die Schwachstellen im Unternehmen an die Mitarbeiter weitergeleitet. \u201eMit der Covid-19-Pandemie werden Unternehmen, die nicht wegen der Wirtschaftskrise zugrunde gehen, infolge von Computerangriffen zunichte gemacht<\/em>\u201c, prophezeit der CISO eines gro\u00dfen Unternehmens im Bereich Luftfahrt. Diese Aussage fasst in wenigen Worten die \u00c4ngste einer ganzen Branche in einer Zeit zusammen, in der sich eine seit einem Jahrhundert beispiellose Gesundheitskrise auf die ganze Welt ausbreitet.<\/p>\n Mit der Covid-19-Pandemie werden Unternehmen, die nicht wegen der Wirtschaftskrise zugrunde gehen, infolge von Cyberangriffen zunichte gemacht.<\/em><\/p>\n Wagen wir es also, eine Parallele zwischen dieser beispiellosen Gesundheitskrise und den Beschr\u00e4nkungen f\u00fcr Mitarbeiter zu ziehen. Die Entscheidung der Regierung, die Bev\u00f6lkerung zu Hause zu isolieren, ist eine restriktive Ma\u00dfnahme, aber entspringt der Notwendigkeit, die Sicherheit der Gemeinschaft zu gew\u00e4hrleisten. Es stellt sich die Frage, ob wir uns in Bezug auf Cybersicherheit ein Beispiel daran nehmen sollten?<\/p>\n <\/p>\n Eine m\u00f6gliche Antwort liegt darin, Arbeitnehmer haftbar zu machen<\/a>, was in einigen F\u00e4llen zu Sanktionen f\u00fchren kann. Aber ist diese L\u00f6sung w\u00fcnschenswert? Eine andere M\u00f6glichkeit w\u00e4re, zur Beantragung von Zugriffs- und Installationsrechten auf einen PC-Arbeitsplatz zur\u00fcckzukehren, wie das fr\u00fcher \u00fcblich war. Ist dies in der heutigen Gesch\u00e4ftswelt praktikabel, in der viele Mitarbeiter direkt f\u00fcr ihre PC-Arbeitspl\u00e4tze Administratorzugang haben? \u201eUm zu verstehen, wie es in einigen Unternehmen zu dieser Entwicklung gekommen ist, m\u00fcssen zwei Szenarien ber\u00fccksichtigt werden. Auf der einen Seite hegen bestimmte Mitarbeiter, die \u00fcber fortgeschrittene IT-Kenntnisse verf\u00fcgen und selbst bestimmte Anwendungen installieren, Skripte schreiben oder Vorlagen erstellen wollen, ohne die IT-Abteilung jedes Mal um diese oder jene Genehmigung bitten zu m\u00fcssen, den Wunsch nach Selbst\u00e4ndigkeit<\/em>\u201c, erl\u00e4utert Franck Nielacny<\/strong>, CIO bei Stormshield. \u201eEs gibt noch einen zweiten Faktor zu ber\u00fccksichtigen, der sich auf die Verf\u00fcgbarkeit und Reaktionsf\u00e4higkeit der IT-Teams bezieht. In bestimmten Kontexten muss ein CIO auf viele Anfragen reagieren und diese nach Priorit\u00e4ten verwalten. Manchmal ist es also am einfachsten, Zugang zu den Admin-Rechten zu erm\u00f6glichen.<\/em>\u201c<\/p>\n Es wird jedoch empfohlen, einige einfache Regeln bez\u00fcglich Filterung und Zugangsbeschr\u00e4nkung zu befolgen. \u201eMeine Empfehlung umfasst zwei Dinge: Funktionen, die keinen ausgepr\u00e4gten technischen Schwerpunkt haben, ben\u00f6tigen kein Administratorkonto. F\u00fcr technischere Bereiche w\u00e4re der Idealfall, zwei Konten einzurichten, ein allgemein verwendetes Standardkonto und ein Administratorkonto. Letzteres sollte dabei so eingeschr\u00e4nkte Funktionalit\u00e4ten wie m\u00f6glich haben und einen fest umgrenzten Rahmen von Anwendungen beinhalten, die in einer IT-Charta festgelegt sind<\/em>\u201c, erkl\u00e4rt Franck Nielacny.<\/p>\n <\/p>\n In einem normalen Kontext ist es schwierig, sich einen Ansatz vorzustellen, bei dem Mitarbeiter einer vollst\u00e4ndigen Beschr\u00e4nkung unterliegen. Wie kann man die Reaktion der Arbeitnehmer auf Ma\u00dfnahmen absch\u00e4tzen, die sie als zu restriktiv oder als Verletzung ihrer Grundrechte ansehen? \u201eNur in einem \u00e4u\u00dferst kritischen Kontext, in dem das Unternehmen wirklich in Gefahr ist, w\u00e4re es gerechtfertigt, f\u00fcr alle Mitarbeiter auf strenge Beschr\u00e4nkungsma\u00dfnahmen zur\u00fcckzugreifen<\/em>\", so Franck Nielacny weiter. Diese d\u00fcrfen allerdings nur vor\u00fcbergehend sein.<\/em>\u201c Die gegenw\u00e4rtige Situation, die durch eine doppelte Einschr\u00e4nkung von Autonomie und Effizienz gekennzeichnet ist, scheint ihm in diesem Moment recht zu geben: Weil die Situation au\u00dfergew\u00f6hnlich und vor\u00fcbergehend ist, werden diese Beschr\u00e4nkungen akzeptiert.<\/p>\n Ein weiteres Beispiel f\u00fcr Beschr\u00e4nkungen: Abzusch\u00e4tzen, ob der Zugang zu pers\u00f6nlichen E-Mails oder Nachrichten im beruflichen Kontext erlaubt werden soll oder nicht. Auch hier w\u00e4re der Mittelweg, den Zugriff zu erlauben, aber das Anklicken von Anh\u00e4ngen zu verbieten und auf diese Weise das Bewusstsein f\u00fcr das Infektionsrisiko von Computern zu erh\u00f6hen. Denn, vergessen wir nicht, die Gefahr der Umgehung und damit der Schatten-IT<\/a> ist allgegenw\u00e4rtig! \u201eEs ist wichtig, realistisch zu sein<\/em>\u201c, betont Franck Nielacny. \u201eWir alle leben heutzutage in einem Arbeitsumfeld in dem Berufs- und Privatleben nah beieinander liegen. Mit dem Covid-19 und der h\u00e4uslichen Isolation wird Schatten-IT f\u00fcr alle Unternehmen noch mehr zur Realit\u00e4t. Die Herausforderung besteht darin, eine maximale Undurchl\u00e4ssigkeit mit dem IT-System des Unternehmens zu gew\u00e4hrleisten, indem der Datentransfer mit Drittsystemen eingeschr\u00e4nkt wird.<\/em>\u201c Sensibilisierung und Verantwortungsbewusst sind daher schon im Vorfeld unerl\u00e4sslich<\/strong>. Wir k\u00f6nnen nie oft genug darauf hinweisen, wie n\u00fctzlich die Einf\u00fchrung einer Kultur f\u00fcr effiziente Cybersicherheit<\/a> ist.<\/p>\n <\/p>\n In Frankreich gibt das Innenministerium am 16. M\u00e4rz 2020 in einer Situation, in der die \u00fcbereilte Umorganisation der Arbeitsumgebungen in Richtung Homeoffice enorme Risiken f\u00fcr die Unternehmen mit sich bringt, eine Mitteilung heraus, in der darauf hingewiesen wird, dass \u201eein verst\u00e4rktes Auftreten von Cyber-Angriffen wie \u201eDatendiebstahl\u201c bzw. Erpressungssoftware (Ransomware) f\u00fcr Unternehmensnetzwerke absehbar ist, die versuchen, die m\u00f6gliche Verringerung der Aufmerksamkeit oder die fehlende Organisation auszunutzen.<\/em>\u201c \u201eBei Ausbruch der Covid-19-Pandemie waren die Unternehmen nicht darauf vorbereitet. Die meisten reagierten \u00fcberhastet<\/em>\u201c, best\u00e4tigt der CISO eines gro\u00dfen Unternehmens im Luftfahrtsektor. \u201eDie Krise findet in einem Kontext statt, in dem IT-Abteilungen keine Entscheidungsbefugnis haben und ihre Budgets weitgehend unzureichend sind.<\/em>\u201c Schlechte Vorbereitung, Einfrieren der IT-Budgets \u2026 die Gesundheitskrise k\u00f6nnte f\u00fcr einige Unternehmen unvorhersehbare Folgen haben. Dies gilt umso mehr, als es in diesem Zusammenhang \u2013 um die wirtschaftliche Folgen vorwegzunehmen \u2013 vorrangiger ist, die Gesch\u00e4ftskontinuit\u00e4t und -fortf\u00fchrung vor Fragen des IT-Sicherheitsmanagements zu stellen. Allen ist klar, dass die Lage ernst ist. Im Fall von strategisch wichtigen Einrichtungen an vorderster Front, wie z. B. Krankenh\u00e4user, besteht die Herausforderung darin, \u201eergonomische und wirksame L\u00f6sungen<\/em>\u201c umzusetzen, wie C\u00e9dric Cartau, CISO des Universit\u00e4tskrankenhauses von Nantes, in seinem Beitrag \u201eLa DSI face au COVID\u201c (dt. Die Leitung der IT-Systeme angesichts von COVID) (auf DSIH.fr<\/a>) erkl\u00e4rt.<\/p>\n <\/p>\n Zus\u00e4tzlich zu Beschr\u00e4nkungen ist es auch notwendig, die m\u00f6glichen und risikoreichsten \u00dcbertragungswege f\u00fcr Cyberrangriffe zu kontrollieren. Bestimmte Technologien k\u00f6nnen so ein anormales Verhalten einer Maschine, die versucht, eine Schwachstelle auszunutzen, einen pl\u00f6tzlichen Anstieg der Anzahl der Anfragen, geografisch unm\u00f6gliche Benutzerverbindungen (z. B. in Australien am sp\u00e4ten Vormittag und in New York am fr\u00fchen Nachmittag) oder die Verwendung ungew\u00f6hnlicher Befehle erkennen. Es liegt dann am CISO, die \u201eNorm\u201c f\u00fcr unverd\u00e4chtiges Verhalten, die Baseline<\/em>, richtig festzulegen, um die Sicherheit zu erh\u00f6hen, ohne dem Benutzer Beschr\u00e4nkungen auferlegen zu m\u00fcssen.<\/p>\n <\/p>\n Wie wir gesehen haben, machen Krisensituationen die Neuauslegung der Unternehmensgrenzen und die zunehmende Mobilit\u00e4t der Mitarbeiter ein Umdenken bei der Sicherheit von Informationssystemen notwendig. In diesem Zusammenhang ist immer \u00f6fter vom Zero-Trust-Ansatz die Rede. Die Herausforderung? Die Anwendung eines echten Zero-Trust-Ansatzes bei Benutzern, Terminals oder PC-Arbeitspl\u00e4tzen und die maximale Kontrolle des Austausches zwischen einer Maschine und dem Rest ihrer Umgebung. \u201eDank diesem Modell kann das Unternehmen kontrollieren, wer worauf, wie und wann Zugriff hat<\/em>\u201c, sagte Pierre-Yves Popihn<\/strong>, technischer Direktor bei der NTT Security France in Les Echos<\/a><\/em>.<\/p>\n <\/p>\nEin CISO eines gro\u00dfen Unternehmens der Luftfahrtbranche<\/pre>\n<\/blockquote>\n
Autonomie und Effizienz, ein Umfeld von Beschr\u00e4nkungen<\/h2>\n
Beschr\u00e4nken, blockieren, verantwortlich machen: ein Cyberwalzer in drei Takten<\/h2>\n
Allgemeiner R\u00fcckgang des Sicherheitsniveaus angesichts Covid-19<\/h3>\n
Zero-Trust, ein Paradigma f\u00fcr die Zukunft?<\/h2>\n