Coronavirus: Cybersicherheit für Home Office-Arbeitsplätze

12. März 2020 Drucken
Coronavirus: Cybersicherheit für Home Office-Arbeitsplätze
© pixabay

Weltweit gehen immer mehr Unternehmen dazu über, Mitarbeiter vom Home Office aus und remote arbeiten zu lassen. Nicht zuletzt auch aufgrund des Corona-Virus.

Eine Remote-Anbindung für Mitarbeiter  aus allen Abteilungen zu öffnen ist aber längst nicht für alle Firmen üblich. Viele Unternehmen, die Home Office eingeführt haben, verzichten aus Sicherheitsgründen heute darauf. Das Coronavirus zwingt nun zu einem erneuten Umdenken.

Der 12-Stunden-Arbeitstag in der Gleitzeit wird bereits von 30 Prozent der Unternehmen genutzt. Dieser Umstand und die Digitalisierung bringen mit sich, dass die Heimarbeit stark zunimmt. Zu diesen Ergebnissen kommt eine Umfrage, die von Deloitte Österreich, der Universität Wien und der Universität Graz durchgeführt wurde. Von 214 befragten Unternehmen gab der Großteil an, dass Mitarbeiter ihre Bürojobs von zu Hause aus erledigen. Aufgrund der aktuellen Entwicklungen rund um das Coronavirus wurden zum Beispiel bei ProSiebenSat.1 rund 200 Mitarbeiter in Home Office Arbeit geschickt.

Coronavirus: 10 Punkte für einen sicheren Remote-Zugang

Was vielleicht für einige Unternehmen gängige Praxis ist, stellt viele andere  vor neue Herausforderungen, wenn zentrale Abteilungen betroffen sind. Dennoch wollen viele Mitarbeiter nicht auf Home Office verzichten. Hier finden Sie 10 Punkte, die Sie beachten sollten:

  • Protokollieren Sie alle Remote-Aktivitäten – Ordnen Sie die Ereignisse dem betreffenden Benutzer zu und überwachen Sie Anomalien mithilfe von Sicherheitstools (SIEM/UEBA).
  • Überwachen Sie sämtliche Orte, von denen aus Daten abgezogen werden können – Einige Benutzer werden Daten auf ihre Rechner/Laufwerke herunterladen wollen oder müssen, um vom Home Office aus arbeitsfähig zu sein. Es ist wichtig, die Protokolle von wichtigen Exfiltrationspunkten wie VPN, DLP, O365, Box zu überwachen, korrekt zuzuweisen und zu analysieren, um mögliche Datenschutzverletzungen zu erkennen.
  • 3 Protokollieren und überwachen Sie Zugriffe und Transaktionen auf kritischen Anwendungen – Immer häufiger greifen Benutzer auf geschäftliche Anwendungen von unterwegs aus zu. Umso wichtiger ist es, kritische Anwendungen auf potenzielle Anomalien hin zu überprüfen.
  • Überwachen Sie die sämtliche Zugriffsberechtigungen für Active Directory und kritische Anwendungen – potenzielle Anomalien sind beispielsweise:
    – die Verwendung abgelaufener Benutzerkonten, die aber noch aktiv sind
    – eine plötzliche Ausweitung von Berechtigungen
    – die Verwendung ruhender Konten
  • Überwachen Sie die Weitergabe von Zugriffsberechtigungen – Wer relativ plötzlich vom Home Office aus arbeiten will oder muss, der wird wahrscheinlich Mitarbeiter ermutigen, Zugriffsberechtigungen weiterzugeben, um langwierige Freigabeprozesse zu umgehen. Überwachen Sie speziell Land-Speed-Anomalien wie
    – Benutzer, die sich gleichzeitig von mehreren Standorten aus anmelden
    – Benutzer, die angemeldet sind und sich remote einloggen
  • Überwachen Sie Geräte für den Remote-Zugriff – Bedrohungsakteure sind geübt darin, genau diese Geräte anzugreifen. Dazu werden Anmeldeinformationen in „RDP-Shops“ im Dark Web gekauft, die sich besonders für solche Angriffe eignen. Zusätzlich zur proaktiven Überwachung der mit dem Internet verbundenen RDP/VPN-Infrastruktur empfiehlt es sich, die entsprechenden NIST-Richtlinien umzusetzen. Sie helfen zusätzliche Kontrollen einzuziehen und so die Risiken zu verringern, die mit gestohlenen Zugriffsberechtigungen einhergehen.
  • Stellen Sie sicher, dass die mit dem Internet verbundenen VPN/RDP-Server auf dem neuesten Stand sind und angesichts der aktuellen Situation für Spitzenauslastungen bei RAS-/WFH-Aktivitäten ausgelegt sind.
  • Achten Sie vor allem auf Phishing-Kampagnen und gefälschte Warnungen/Gesundheitsratschläge angesichts des aktuellen Corona-Geschehens.
    Einige Phishing-Versuche entziehen sich dem Sandboxing. Wir empfehlen einen gründlicheren „Assume Breach“-Ansatz in der betreffenden Umgebung. Gehen Sie davon aus, dass IOC- und Sandbox-basierte Prüfungen fehlschlagen, implementieren Sie deshalb zusätzliche Prüfungen und Kontrollen im Zusammenhang mit der Staging-/Post-Exploitation-Erkennung.
  • Setzen Sie, wo immer es möglich ist, eine Multi-Faktor-Authentifizierung durch – Wörterbuch-Angriffe sind die häufigste Methode, um Anmeldeinformationen zu kompromittieren. Angesichts dessen, dass der Remote-Zugriff für Mitarbeiter, Auftragnehmer und Geschäftspartner immer üblicher wird, sollten Sie starke Authentifizierungs- und Autorisierungskontrollen in Betracht ziehen, um das Risiko zu minimieren.
  • Setzen Sie Peer-basierte und SOD-Prüfungen durch – Bei der großen Anzahl von Mitarbeitern, die einen Remote-Zugriff beantragen, wird das Unternehmen wahrscheinlich darauf drängen, die Zugriffsberechtigungen relativ weit zu fassen, um Geschäftsunterbrechungen zu vermeiden. Für Sicherheits- und IT-Teams gewährleisten SOD- und Peer-basierte Prüfungen, dass die vergebenen Zugriffsberechtigungen auf das Tätigkeitsfeld des jeweiligen Mitarbeiters abgestimmt sind.