GlobalSign Blog

21 Jun 2018

Sind Ihre mobilen Mitarbeiter Ihr größtes Sicherheitsrisiko?

Laut ComputerWeekly und dem neuesten Bericht zur mobilen Sicherheit des weltweiten Mobilfunkanbieters iPass, stellen Ihre remote oder mobilen Mitarbeiter die größte Bedrohung für die Sicherheit der Unternehmensdaten dar. In einer Umfrage unter 500 CIOs und IT-Entscheidungsträgern in Großbritannien, den USA, Deutschland und Frankreich vermuten 57 Prozent der Unternehmen, dass ihre mobilen Mitarbeiter im vergangenen Jahr kompromittiert wurden oder ein Problem mit der mobilen Sicherheit verursacht haben.

Einige der beunruhigendsten Punkte des Berichts:

  • Mehr als die Hälfte der Unternehmen befürchtet, dass ihre mobilen Mitarbeiter gehackt wurden.
  • 81 Prozent der Befragten haben Kenntnis von WLAN-bezogenen Sicherheitsvorfällen in den vergangenen 12 Monaten.
  • Obwohl die meisten Befragten BYOD-Richtlinien (Bring Your Own Device) implementiert haben, gaben 94 Prozent der CIO- und IT-Sicherheitsexperten an, dass BYOD tatsächlich die mobilen Sicherheitsrisiken insgesamt erhöht hat.
  • Die wachsende mobile Belegschaft wird immer mehr zu einer zunehmenden Gefahr für die Cybersicherheit. Der McAfee Mobile Bedrohungsbericht für Q1 2018 stellt fest, dass im dritten Quartal 2017 16 Millionen Nutzer von mobiler Malware betroffen waren.

Raghu Konka, Vice President Engineering bei iPass, kommentierte in ComputerWeekly: "Man muss einfach sehen, dass mobile Sicherheitsbedrohungen zunehmen. Obwohl es toll ist, dass mobile Mitarbeiter verstärkt von Standorten wie Cafés, Hotels und Flughäfen aus arbeiten können, gibt es keine Garantie, dass der von ihnen verwendete WLAN-Hotspot vollkommen sicher ist."

Wie in einem kürzlich erschienenen Tech.co-Blog herausgestellt, berichtet eine Gallop-Umfrage, dass 43 Prozent der Mitarbeiter 2016 remote arbeiteten. "Eine weltweite Studie aus 2017 von Polycom bestätigt, dass der Remote-Arbeitsplatz auf dem Vormarsch ist: 62 Prozent der 25.000 befragten Arbeitnehmer gaben an, dass sie regelmäßig flexible Arbeitsweisen nutzen, die ihnen angeboten werden."

Es ist möglich, dass die Unternehmensbedrohungen wie Malware, Phishing, Identitätsdiebstahl, Ransomware oder Schlimmeres durch mobile Mitarbeiter diesem Trend ein Ende setzen.

Zurück zum Büroarbeitsplatz ... ??

Bedeutet dieser neueste Bericht das Ende der Freiheit für mobile Mitarbeiter? Gehören die Starbucks-Bürokämpfer der Vergangenheit an? Muss die tägliche Bekleidung der Telearbeiter aus Yogahose und T-Shirt ausgemustert werden und in den Dresscode für "Büroangestellte" und die obligatorische 9-bis-5-Anwesenheit im "Büroland“ zurückverwandelt werden?" Wir wollen hier nicht sofort übertreiben. Einige erledigen immer noch ihre beste Arbeit von entfernten Standorten oder zu Hause auf ihren Laptops, in Pyjama oder Jogginghose.

Worauf es ankommt, ist ein festgelegtes Kriterium, das mobile oder Remote-Mitarbeiter einhalten - und CISOs durchsetzen müssen - um einen sicheren "Sicherheitskonus" für das Unternehmensnetzwerk und seine wertvollen Assets und Ressourcen zu gewährleisten.

Neill Feather, President von SiteLock, einem Unternehmen für Websicherheit, sprach mit Dan Patterson von TechRepublic über die besonderen Herausforderungen, Sicherheit bei einer dezentralen Belegschaft aufrecht zu erhalten.

Hier sind einige der Kriterien, die er in dieser folgenden Checkliste aufführt, neben einigen anderen Standard- und neuen Praktiken, die wir erkannt haben:

  • Sie sollten alle "kostenlosen" WLAN-Hotspots verbieten, es sei denn, sie stammen von einem vom Unternehmen gebilligten, seriösen Firmennetzbetreiber mit sicheren Unternehmens-Logins, die über die meisten globalen Großstadt-Standorte verteilt sind (AT&T, Verizon, BT und andere bieten diesen Service an).
  • Zwingende Verwendung von VPN bei Nutzung von WLAN.
  • Geräte- und Benutzerauthentifizierung.
  • Schulen Sie Ihre mobilen Mitarbeiter in der Wichtigkeit von Cybersicherheit - innerhalb und außerhalb des Büros
  • Schulung. Schulung. Schulung.

Sie stimmen wahrscheinlich den meisten dieser Punkte zu. Aber ist es wirklich machbar, alle mobilen Mitarbeiter davon abzuhalten, kostenlose WLAN-Hotspots zu nutzen? Einige Remote-Mitarbeiter machen vor nichts Halt, um Zugang zum Internet zu erhalten und scheren sich nicht um die Sicherheit des Unternehmens. CISOs würden zustimmen, dass ein pauschales Verbot von kostenlosen öffentlichen WLAN-Spots eventuell nicht möglich ist, und es viel besser wäre, sich verpflichtet zu fühlen, nur die WLAN-Hotspots der Unternehmen zu nutzen, bei denen Firmenabonnements gesichert sind (oder solche, die Sie kennen und denen Sie vertrauen, wie unten angegeben). Und die Verwendung einer soliden Unternehmens-VPN-Lösung ist selbstverständlich.

Feather verdeutlicht das Argument,

Vermeiden Sie öffentliche WLAN-Netzwerke wie in Cafés oder Restaurants, da sie von Natur aus unsicher sind. Verwenden Sie nur wireless Hotspots, die Sie kennen und denen Sie vertrauen. Zum Beispiel das Café in Ihrer Nähe, in dem Sie ein Passwort für die WLAN-Nutzung erhalten. Überprüfen Sie immer, ob Sie mit dem richtigen Netzwerk verbunden sind, da Hacker in der Regel gefälschte WLAN-Hotspots in der Nähe von legitimen öffentlichen WLAN-Netzwerken einrichten. Verwenden Sie niemals öffentliches WLAN, ohne Ihre Firewall einzuschalten. Nutzen Sie keine unsicheren Websites, die nur "HTTP" vor ihrer URL haben, nicht HTTPS.

Andere Vorschläge sind:

  • Inventarisieren Sie die Apps/Ressourcen, die Mitarbeiter benötigen oder nutzen (oder legen Sie eine Liste von standardmäßigen, vom Unternehmen genehmigten Ressourcen und Apps für die Verwendung auf genehmigten Geräten oder Smart Home Offices fest). Stellen Sie sicher, dass Sie für jede dieser Apps die richtigen Protokolle haben, um eine sicherere Umgebung für Ihre Mitarbeiter zu schaffen.
  • Sie sollten einen Plan für Cybersicherheitspannen haben, damit sowohl Mitarbeiter als auch Manager wissen, was zu tun ist, WENN sie angegriffen werden (nicht FALLS. Glauben Sie mir, es wird passieren).
  • Smart Home Router-Sicherheit - In einem kürzlich erschienenen News-Blog von SecurityBrief sagt Trend Micro, dass der Router der zentrale Verbindungsknoten für alle Smart Home Office-Geräte ist, wie Computer, Smartphones und andere Endpunkte, die Mitarbeiter nutzen.

Wenn zu diesem kritischen Zeitpunkt keine robuste Sicherheit vorhanden ist, könnten sich die Mitarbeiter, die ihr Heimnetzwerk für die Arbeit nutzen, somit einem beträchtlichen Risiko aussetzen. Am schlimmsten ist jedoch, dass ein zu Hause infiziertes Gerät möglicherweise das gesamte Unternehmensnetzwerk beeinträchtigen kann, wenn der Mitarbeiter den Endpunkt zur Arbeit zurück ins Büro bringt. RDP-Angriffe (Remote Desktop Protocol) können auch für Brute-Force-Logins von Heimgeräten verwendet werden.

Smart Home Office Router sichern

Genauso wie ein Unternehmensnetzwerk benötigen auch Heimnetzwerke Schutzmaßnahmen. Laut Trend Micro gibt es drei wichtige Punkte, die IT-Teams bei ihren mobilen Mitarbeitern beachten müssen:

  • Falsch konfigurierte Netzwerke: Dies kann sich auf eine Reihe verschiedener Faktoren erstrecken, aber unter dem Strich kann ein falsch konfiguriertes Heimnetzwerk eine leicht zu öffnende Tür für böswillige Akteure darstellen.
  • Standard- oder schwache Passwörter: Wenn Mitarbeiter die Sicherheits-Anmeldeinformationen ihrer Smart-Home-Router nicht anpassen und das Standardpasswort beibehalten - oder ein Passwort verwenden, das relativ leicht zu erraten ist - machen sie es Hackern einfach. Es ist zwingend erforderlich, dass Standardanmeldeinformationen nach in Betrieb nehmen der Smart Home-Netzwerkgeräte durch starke Passwörter ersetzt werden.
  • Firmware-Updates: Wenn Geräte nicht mit den neuesten Patches geupdatet werden, können auch leicht ausnutzbare Schwachstellen entstehen, die zu erheblichen Sicherheitslücken und anderen Problemen führen.

Darüber hinaus wäre es nachlässig von GlobalSign, wenn wir nicht erwähnen würden, dass digitale Zertifikate sich sowohl für Benutzer- als auch Rechnersicherheit und Authentifizierung für Computer, E-Mail, Dokumente und mobile Geräte eignen. Und das wichtige Unterscheidungsmerkmal Zertifikat-basierter Authentifizierung ist, dass im Gegensatz zu einigen Lösungen, die nur für Benutzer funktionieren, wie Biometrie und Einmal-Passwörter (OTP), die gleiche Lösung für alle Endpunkte verwendet werden kann – Benutzer, Computer, Geräte und jetzt Millionen von Endpunkten, die das Internet der Dinge (IoT) bilden.

Es ist Zeit, den Tatsachen ins Auge zu sehen: Amerikaner allein haben 2016 457,4 Millionen Geschäftsreisen gebucht und dieser Trend scheint sich kaum zu verlangsamen. In der Tat ist es wahrscheinlicher, dass diese Zahl im Vergleich zum Vorjahr steigt. Es wird prognostiziert, dass inländische Geschäftsreisen bis 2020 483 Millionen erreichen werden. Lassen Sie uns alle unseren Teil dazu beitragen, dass wir draußen sicher sind, nur für den Fall, dass Ihr Superhelden-Pyjama nicht genug ist!

Andere Ressourcen:

Artikel teilen