Homeoffice und die Angst vor Datenverlust und Schadsoftware
Und plötzlich war er dar: der Moment, in dem unfassbar viele Unternehmen ihre Mitarbeiter nach Hause schicken: Homeoffice. Das unbekannte Übel!?
Klar, da dauert es nicht lange, bis findige Marketing- und Vertriebs-Experten daraus profit schlagen wollen:
- Homeoffice wird in manchen Berichten als eine Gefahr für Firmendaten beschrieben.
- Private Endgeräte seien unfassbar schlecht gesichert und könnten Firmen komplett lahmlegen.
- Die einzige Lösung ist das Produkt X-Y von Firma Z, welches all Ihre Probleme mit einem schlag löst, absolut einzigartig ist und nur für kurze Zeit exklusiv für Sie reduziert wurde.
Soweit – so normal.
Data Loss Prevention im (bisherigen) Alltag
Eines der großen Themen der aktuellen Lage: Datenverarbeitung auf privaten Endgeräten – in privaten Wohnungen. Ein Alptraum, den es so vorher noch nie gegeben hat … möchte man suggerieren.
In unseren Projekten pflegen wir in Sachen IT- und Informationssicherheit gerne zu hinterfragen: glauben Sie, was Sie da gerade sagen oder wissen Sie, dass es tatsächlich genau so aussieht?
Seit Jahren besuchen wir Firmen, die uns von ihren Maßnahmen zur Data Loss Prevention (DLP) und zum Schutz von Informationen erzählen, z. B. eines unserer „Lieblingsthemen“:
- USB-Sticks sind verboten. „Somit ist es für Mitarbeiter unmöglich, Daten aus dem Unternehmensnetzwerk auszuschleusen und mit nach Hause nehmen“ …. glauben Sie?
Wie gehen Sie dann mit folgenden Themen um?
- Erlauben Sie die Nutzung von Cloud-Speicherdiensten wie Dropbox und co.?
Wenn ja, sind Ihre Daten potentiell auf einfachem Wege schon lange „weg“. - Erlauben Sie die private Internetnutzung, z. B. von Banking, Buchungsportalen, Foren oder Amazon?
Wussten Sie, dass ich im Büro einen Screenshot von Daten aus der Datenbank machen kann, den ich in Amazon als mein Profilbild hochladen kann, um es dann vom privaten PC wieder herunterzuladen? - Erlauben Sie Google Maps?
Wissen Sie, wie viele Kreditkartennummern, Formeln oder Kundendaten man in eine Rezession posten kann, die man anschließend vom heimischen PC wieder abruft? - Haben Sie alle Bluetooth-Schnittstellen Ihrer Firmennotebooks geschlossen bzw. den Dateitransfer über Bluetooth unterbunden?
Wenn nicht, dann haben Ihre Mitarbeiter die Daten wohl schon auf ihren privaten Telefonen – und von dort schnell in der Cloud. - Macht ihr Unternehmens-HTTP-Proxy TLS-Interception für alle Webseiten?
Auch Banking-Webseiten bieten mittlerweile oft Möglichkeiten an, Daten hochzuladen oder Text zu speichern. - Setzen Sie auf Firmennotebooks BitLocker mit PIN und gehärteter DMA-Einstellung ein?
Wenn nicht, dann hat ein technisch affiner Mitarbeiter wohl schon administrativen Zugriff auf das Notebook und alle Daten per LAN-Verbindung daheim runter kopiert. - Erlauben Sie den Zugriff auf Outlook Web Access von privaten Endgeräten aus – evtl. nach Einwahl in ein SSL-VPN?
E-Mails im Entwurfs-Ordner lassen sich von dort super wieder herunterladen. - Dürfen Mitarbeiter per Skype, Zoom, Teamviewer, WebEx, (sorry, es gibt so viele…) o.ä. Screen-Sharing oder File-Transfer machen?
Super Lösungen, die oftmals sogar TLS-Interception am Proxy umgehen, um Datenströme ungestört bereitzustellen. - Durchsuchen Sie jeden Mitarbeiter, der Ihr Büro verlässt auf ausgedruckte Unterlagen?
Wenn nicht, … naja. Das ist offensichtlich. - …
Eine derartige Liste lässt sich gnadenlos über mehrere Din-A4-Seiten fortsetzen. Klar, es gibt Firmen, da sind wirklich viele dieser Wege unterbunden. Und für bestimmte, isolierte Bereiche lässt sich ein nahezu dichtes DLP-Konzept umsetzen. Aber bitte seien Sie sich sicher: In den allermeisten Fällen waren Ihre Mitarbeiter schon immer in der Lage, Firmendaten daheim zu verarbeiten und aufzubewahren oder Schadsoftware ins Unternehmen einzubringen. Die Verantwortlichen haben vielleicht nur gerne weggeschaut, das Thema wegdiskutiert oder geglaubt, mit punktuellen Lösungen ein fast unlösbares Problem in den Griff zu bekommen. Ist ja in vielen Fällen auch gut gegangen.
Neue Gefahren durch Homeoffice (?)
Wenn wir nun heute in der Fläche über Homeoffice reden, dann geht es sicherheitstechnisch meist um zwei Themen (von Leitungsengpässen und DDoS mal abgesehen):
- Verseuchte private Endgeräte, die auf Firmenressourcen zugreifen
und - Datenverarbeitung auf privaten Endgeräten.
Viele große Unternehmen setzen Lösungen wie Citrix oder SSL-VPN von privaten Endgeräten seit Jahren für den Zugriff auf Unternehmensressourcen ein. Derartige Lösungen lassen sich so konfigurieren, dass Mitarbeiter beispielsweise per RDP-/Citrix-Sitzung keine Dateien oder Befehle kopieren können, Drucker und lokale Laufwerke nicht im Kontext der Remote-Sitzung verfügbar sind und auch sonst nicht viel mehr als Bilddaten am privaten Rechner ankommen – eben jene Bilddaten, die man dann per Screenshot vom privaten PC aus ausdrucken oder mit der Handykamera abfotografieren kann. Ein Problem? Ja. Aber eines, was Sie jeden Tag im Büro auch haben – oder verbieten Sie Smartphones im Office?
Aber was passiert, wenn private Endgeräten mit Viren verseucht sind? z. B. der klassische Keylogger? Dann gehen alle Daten, die der Mitarbeiter an seiner Tastatur eintippt potentiell ins Internet bzw. „Darknet“ verloren. Das sind z. B. Zugangsdaten, E-Mails, Schreiben, Präsentationsinhalte, Kundendaten, Formeln – einfach alles, was er von daheim aus macht. Das ist tatsächlich ein Problem. Eines, welches wir in jedem Szenario haben, bei dem ein privates Endgerät verwendet wird – schon immer. Wie machen es andere? Naja, Citrix und co. haben ein florierendes Geschäftsmodell. Diese Art des Zugangs wird von vielen Firmen permanent gestattet. Dabei gibt es natürlich ein Risiko. Dieses Risiko muss man bewerten und anschließend behandeln oder akzeptieren. Moderne Lösungen für Remote-Zugriff können zumindest ein paar Compliance-Anforderungen auf den privaten Endgeräten durchsetzen: Vorhandensein eines Anti-Virenschutzes als klassisches Beispiel.
Problematischer wird es, wenn die privaten Endgeräte direkt per SSL-VPN o. ä. auf das Unternehmensnetzwerk zugreifen, also wenn die Arbeit nicht über eine Bild-übertragende Remote-Sitzung auf einem Endgerät in der Firma erfolgt, sondern der heimische PC „logisch gesehen“ auf der Netzwerkebene direkt im Firmennetzwerk steht. Ist nun Schadsoftware auf dem privaten Endgerät, dann kann das ggf. schlimme Folgen für die Infrastruktur des Unternehmens haben, wenn Ransomware und co. auf Unternehmensressourcen los gehen. Derartige Konstruktionen sollten nach Kräften vermieden werden. Wenn es keine andere Lösung gibt, dann lassen Sie die Mitarbeiter von den privaten Endgeräten nur über kontrollierte Netzwerkpfade (IP-/Port) z. B. per RDP auf ihre gewohnten Arbeitsrechner im Office. Dadurch reduzieren Sie die mögliche Angriffsfläche von privaten Endgeräten aus, ohne viele neue Ressourcen schaffen zu müssen. Ob und wie das genau funktioniert, ist in der Regel nur im konkreten Szenario abschließend zu klären. Auch Hilfe aus der Cloud kann hier zu einer schnellen und – soweit – sicheren Lösung beitragen.
Homeoffice und die Nutzung privater Endgeräte stellen somit natürlich Risiken dar. Ein Risiko ist im Bereich der Informationssicherheit aber etwas ganz normales. Ein Risiko hat eine Eintrittswahrscheinlichkeit und einen möglichen Schaden, der zu evaluieren und mit entsprechenden Maßnahmen zu behandeln ist. Das gilt genauso z. B. für das Surfen im Internet oder das Lesen von E-Mails oder das Öffnen von Office-Dokumenten auf Firmen-Geräten.
Jenseits von Panik
Alleine durch technische Maßnahmen bekommen wir die Herausforderung durch Homeoffice vermutlich nicht gelöst. Da hilft kein Cloud-Proxy und keine schwarze Magie mit wunderschönen Buzzwords.
Wenn also Panik und schwarze Magie nicht helfen, dann vielleicht Vernunft – und sinnvolle Überlegungen. Wenn es schnell gehen muss, dann ist gerade Letzteres oft schwierig. Aber wir nehmen die aktuelle Situation einfach mal als Chance. Und vielleicht bietet uns all das Chaos auch einen Einstieg in eine dauerhafte, flexiblere Arbeitswelt. Ist die Situation für alle Beteiligten neu, holen Sie sich bei Bedarf professionelle Hilfe – und kaufen nicht einfach im Blindflug zusätzlich Software und Tools. Und dann, reden Sie miteinander und mit Ihren Mitarbeitern und treffen Sie eindeutige Regelungen.
- Weisen Sie Ihre Mitarbeiter auf die besondere Verantwortung hin, wenn mit privaten Endgeräten und Firmendaten gearbeitet wird
- Unterstützen Sie Ihre Mitarbeiter (z. B. durch Compliance-Checks im VPN-Client) bei der Einschätzung der Sicherheit der privaten Umgebung
- Weisen Sie Ihre Mitarbeiter darauf hin, dass viele Grundregeln aus Datenschutz und IT-Sicherheit auch – oder gerade – daheim gelten: PC bei Abwesenheit sperren, Papierunterlagen sicher aufbewahren / schreddern, Grundlagen zu Datenminimierung/Datensparsamkeit einhalten, u.s.w.
- Lassen Sie private Endgeräte nicht „frei“ in Ihr Unternehmensnetzwerk. Kontrollieren Sie die Zugänge und Zugriffe und nutzen Sie ggf. Remote-Lösungen – oder schränken Sie Zugriffe von privaten Endgeräten per RDP/SSH auf die eigentlichen Endgeräte der Mitarbeiter im Unternehmensnetzwerk ein.
- Schaffen Sie sukzessive technische Lösungen, die den Anforderungen des GeschGeh, der DSGVO und der sonst für Sie geltenden Richtlinien genügen. Seien Sie dabei vernünftig und realistisch mit Blick auf Ihre sonstigen Maßnahmen zur Absicherung schützenswerter Daten:
Verschlüsselung beim Transport von Daten ist ein muss
Mehrfaktor-Authentifizierung für den Zugriff von privaten Endgeräten muss sein
Einschränkungen der Zugriffe auf Daten und Ressourcen (IP-, Port- und Protokollebene) innerhalb der Firma sind ein muss
Collaborationsplattformen sollten gemäß der sonst im Unternehmen geltenden Regeln abgesichert sein
Am Ende, auch wenn es nervt, spielt auch die Awareness weiterhin eine wichtige Rolle. Nicht jeder Link in einer E-Mail muss in dieser Zeit angeklickt, nicht jede Datei auf den privaten oder geschäftlichen Notebooks geöffnet werden und wir müssen wirklich nicht alle Webseiten während einer bestehenden Verbindung zum Firmennetzwerk besuchen.
Viel Erfolg auf dem Weg in die flexible, digitale – und sichere – Zukunft.