Wie sich Remote-Work auf die Meldung von Sicherheitsvorfällen auswirkt

Mobiles Arbeiten bringt viele Vorteile mit sich, von einer besseren Work-Life-Balance über geringere Kosten bis hin zu höherer Produktivität. Eine weit verstreute Belegschaft kann aber auch eine große Herausforderung für Sicherheitsteams sein. Remote-Arbeit wirkt sich beispielsweise auf die Meldung von Sicherheitsvorfällen aus.

Da sich die Unternehmen immer mehr daran gewöhnen, Sicherheitstechnologien und -prozesse zu implementieren, die besser auf die Arbeit an entfernten Standorten abgestimmt sind, kann die Meldung von Vorfällen zu einem großen Stolperstein werden.

Neben der Einführung und Aufrechterhaltung von Protokollen, wie zum Beispiel für den Zugriff auf Identitäten und Autorisierungspraktiken, müssen Security-Teams auch ihre Berichterstattungsrichtlinien überprüfen und anpassen. Falls sie das nicht tun, ist ihr Unternehmen erheblichen Sicherheitsbedrohungen ausgesetzt.

Lesetipp: Cybersecurity im Home-Office -So werden Remote-Arbeitsplätze sicher

"In einer Büroumgebung befinden sich alle Mitarbeiter im selben Netzwerk. Im Gegensatz dazu kann es bei Mitarbeitern, die von entfernten Standorten aus arbeiten, aufgrund der Netzwerkvielfalt zu einem Übermaß an Sicherheitsvorfällen kommen", erklärt Paddy Harrington, Senior Analyst bei Forrester, gegenüber CSO. "Es ist eine Sache, 12 Netzwerke zu verwalten, weil man 12 Büros hat, aber wenn man 1000 Mitarbeiter hat, von denen 900 remote arbeiten, muss man sich um 912 Netzwerke kümmern", führt der Experte aus.

Dies bedeute, dass Vorfälle, einschließlich derer, die gemeldet werden, sehr viel stärker variieren, weil das Heimnetzwerk jedes Einzelnen anders sei. " Selbst wenn nur ein Bruchteil der Vorfälle gemeldet wird, kann bei den Sicherheitsteams zu Ermüdungserscheinungen führen ", so Harrington.

Neue Herausforderungen für die Meldung von Vorfällen

Wie Austin Wolf, Staff Information Security Analyst bei Code42, ergänzt, könnten sich betriebliche, verhaltensbedingte und technologische Faktoren jeweils auf die Meldung von Sicherheitsvorfällen auswirken. Dies führe zu neuen Herausforderungen, die sich hauptsächlich auf die Kommunikation und Zusammenarbeit konzentrieren würden.

"Erreicht man die Mitarbeiter über Slack oder Teams oder per E-Mail? Nimmt man den Hörer in die Hand und ruft jemanden an? Wie halten Sie alle an dem Vorfall Beteiligten auf dem gleichen Stand? Wenn ein Vorfall eintritt, müssen die Teams eng zusammenarbeiten. Es ist manchmal schwieriger, ein Team in einer entfernten Umgebung zu versammeln, als sich nur um einen Computerbildschirm zu versammeln", so Wolf.

Laut Taharka Beamon, SOC-Managerin bei Reed Exhibitions, nutzen Mitarbeiter in traditionellen Büroumgebungen in der Regel den lokalen Helpdesk als erste Anlaufstelle für die Meldung von Vorfällen, "wobei viele Mitarbeiter es vorziehen, das IT-Personal persönlich aufzusuchen, um ein unerwartetes oder potenziell bösartiges Verhalten auf ihrem Computer zu erklären."

Jason Hicks, Field CISO bei Coalfire, fügt hinzu: "Dies wird problematisch, wenn ein Remote-System kompromittiert wird und der Mitarbeiter weder in der Lage ist, es zu benutzen, um einen Vorfall zu melden, noch den Gang hinunter zum nächsten IT-Supportbüro gehen kann."

Jonathan Wrolstad, Senior Threat Intelligence Manager bei ExtraHop, geht davon aus, dass Unternehmen ohne bequeme, remote-freundliche Kommunikationskanäle und Anweisungen für alle Eventualitäten unter einer unzureichenden Berichterstattung von Mitarbeitern außerhalb des Büros leiden werden. Ein potenzieller Sicherheitsvorfall würde möglicherweise erst verspätet und dann gar nicht gemeldet, so Wrolstad.

Laut Mirza Silajdzic, Cybersicherheitsanalyst bei VPNOverview, spielen unterschiedliche Zeitzonen bei verteilt arbeitenden Mitarbeitern ebenfalls eine Rolle, da es dadurch zu Verzögerungen bei der Meldung und den Reaktionszeiten kommt.

Remote-Work beeinflusst das Verhalten der Mitarbeiter in Bezug auf Sicherheit

Fernarbeit beeinflusst und verändert auch das Verhalten und das Bewusstsein der Mitarbeiter in Bezug auf Cybersicherheit, was sich auf die Meldung von Vorfällen auswirken kann, sagt Richard Jones, Global CISO bei Orange Cyberdefense. "Formale Umgebungen wie ein Büro mit Struktur und Organisation bieten den Mitarbeitern eine etablierte Routine und klare Grenzen, was zur Arbeit gehört und was nicht. Wenn diese Grenzen wegfallen, kann es schwierig werden, Schutzmaßnahmen aufrechtzuerhalten."

Menschen würden sich an ihre Umgebung anpassen, wenn sie von zu Hause aus arbeiten. Dies führe dazu, dass Verantwortlichkeiten verschwimmen. "Daher wird sich das, was die Mitarbeiter als Sicherheitsvorfall zu melden gedenken, im Laufe der Zeit weiter verändern", so Jones gegenüber CSO.

"Eine fehlende mentale oder physische Verbindung zu einem Büro kann dazu führen, dass Mitarbeiter in Versuchung geraten, die Schwere eines potenziellen Verstoßes herunterzuspielen und die Relevanz oder Anwendung von Unternehmensrichtlinien in der häuslichen Umgebung nicht in vollem Umfang zu erkennen", sagt Keiron Holyome von Blackberry.

Remote-Benutzer zögern vielleicht sogar eher, einen Sicherheitsvorfall zu melden, weil sie sich schämen, warnt der für VP UKI , Osteuropa, Naher Osten und Afrika verantwortliche Manager. Das könne dazu führen, dass potenzielle Bedrohungen ignoriert oder verheimlicht würden.

Nach Meinung von Immanuel Chavoya, Experte für die Erkennung neuer Bedrohungen bei SonicWall, kann Remote-Arbeit auch die Meldung von Sicherheitsvorfällen auf System- und Endpunktbasis und die Reaktion negativ beeinflussen. "Wenn das System beispielsweise den Rechner eines Benutzers wegen eines Malware-Eingriffs markiert, kann es zu einer Verzögerung kommen, bis das Sicherheitsteam die notwendigen Updates vornehmen kann, während der Sicherheitstechniker vor Ort sofort auf das Gerät zugreifen und die notwendigen Maßnahmen ergreifen kann."

Eine der größten Sicherheitsherausforderungen für Unternehmen mit Außendienstmitarbeitern bestehe darin, dass nicht alle Endgeräte im System eingesehen werden können, fügt Chavoya hinzu. Das behindere den Betrieb der zentralen Sicherheitserkennung, die für Berichte und Reaktionen erforderlich sei. "Die Endpunkte werden durch den Fernzugriff in ihrem Standort disparat, wodurch die Verbindung zur Unternehmensinfrastruktur unterbrochen wird, was letztlich zu einer potenziellen Verlängerung der durchschnittlichen Zeit bis zur Erkennung bösartiger Aktivitäten und der durchschnittlichen Zeit bis zur Behebung des Sicherheitsvorfalls führt."

Schlechte Berichterstattung führt zu Verlust des Kundenvertrauens

Die Risiken eines behinderten Meldeprozesses aufgrund von Fernarbeit sind erheblich. "Wenn Vorfälle nicht gemeldet, Berichte verzögert oder falsch übermittelt werden oder Folgemaßnahmen/Reaktionen verhindert werden, kann das dazu führen, dass Schwachstellen ungeschützt bleiben", warnt der SonicWall-Experte. Zudem würde das den Angreifern Zeit verschaffen, um weitere Teile des Netzwerks zu infiltrieren, bevor das Sicherheitsteam Bedrohungen erkennen und eindämmen kann.

"Dies kann nicht nur die Schwere von Vorfällen und Angriffen verschlimmern, sondern auch dem Ruf eines Unternehmens schaden", betont Chavoya. Außerdem könnten dadurch bestimmte Datenschutzvorschriften nicht mehr erfüllt werden, die strenge Regeln für die Offenlegung von Daten vorsehen. Dies könnte zum Verlust des Kundenvertrauens und zu hohen Geldstrafen führen.

Für Sicherheitsteams ist es daher von größter Wichtigkeit, ihre Berichterstattungsrichtlinien und -prozesse zu aktualisieren, um den Sicherheitsauswirkungen der Telearbeit Rechnung zu tragen. "Der Trend zur Heim- und Hybridarbeit wird sich fortsetzen. Daher ist es für Sicherheitsteams äußerst gefährlich, sich auf Richtlinien und Prozesse zu verlassen, die für eine vergangene Ära entwickelt wurden, als die meisten Mitarbeiter in einer kontrollierten Büroumgebung arbeiteten", sagt Blackberry-Spezialist Holyome. Allerdings müssten die Teams neue Strategien mit Bedacht angehen, um nicht noch größere Gefahren heraufzubeschwören, fügt er hinzu.

Tipp: Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten.

"Da die Ressourcen durch die zunehmende Häufigkeit und Komplexität von Cyberaktivitäten bereits stark beansprucht sind, kann zusätzlicher Zeit- und Kompetenzdruck bei der Einführung von Richtlinien für eine verteilte Belegschaft - einschließlich der Anpassung der Schulung und Durchsetzung von Richtlinien bei Mitarbeitern an entfernten Standorten - selbst Schwachstellen und Risiken schaffen.

Wirksame Richtlinien für die Meldung von Sicherheitsvorfällen aus der Ferne

Um eine effektive Meldung von Sicherheitsvorfällen aus der Ferne zu gewährleisten, müssen klar definierte, dokumentierte und einfach zu handhabende Kommunikationskanäle und -prozesse eingerichtet werden, über die sich die Mitarbeiter an die IT- und Sicherheitsabteilung wenden können, so SOC-Managerin Beamon. "Interne Richtlinien über die Pflege und rechtzeitige Aktualisierung der dokumentierten Kontaktinformationen für IT- und Sicherheitsteams sind von großer Bedeutung. Die Teams sind dabei dafür verantwortlich, dass diese für die Mitarbeiter zugänglich sind. Dazu gehört die Bereitstellung von Telefon-, E-Mail- und anonymen Kommunikationskanälen, damit je nach Situation die bequemste Methode gewählt werden kann."

Die Mitarbeiter sollten auch dazu angehalten werden, die Kontaktinformationen für die IT- und Sicherheitsteams zusammen mit den Schnellreferenz-Meldeanweisungen offline oder auf ihrem Firmenhandy zu speichern, um sie im Notfall nutzen zu können. Ein effektives Marketing für diese Informationen ist hier die beste Lösung, fügt der CISO von Coalfire hinzu. "Ich habe diese Informationen im Laufe der Jahre auf Mauspads, Kaffeebechern, Postern und anderen Werbemitteln untergebracht. Wichtig ist auch, dass die E-Mail-Adressen kurz, prägnant und einprägsam sind und dass die Telefonnummer über die Jahre gleich bleibt."

Die Kontaktzeiten sollten überprüft werden, um der Tatsache Rechnung zu tragen, dass die Nutzer ihre Geräte außerhalb der traditionellen Arbeitszeiten aus persönlichen Gründen nutzen, so Chavoya. "Dazu könnte auch gehören, dass die persönlichen Antwortprozesse ersetzt werden. Muss etwa der Rechner eines Benutzers aus der Ferne neu aufgesetzt werden , braucht er mehr Unterstützung dabei."

Insgesamt müssten die Teams regelmäßig überprüfen, wie zugänglich ihre Prozesse zur Meldung von Vorfällen für Mitarbeiter sind, die nicht im Büro sitzen, sagt Holyome. Gibt es einfache Anweisungen und verfügbare Kontakte, die von Personen genutzt werden können, die von Internetausfällen betroffen sind? Können die Mitarbeiter das IT-Team auch dann noch erreichen, wenn sie aufgrund einer Sicherheitsverletzung nicht auf die Unternehmenssoftware zugreifen können? Fördert das Unternehmen eine "No Blame"-Kultur und ermöglicht es den Mitarbeitern auf allen Ebenen des Unternehmens, Probleme frei und ohne Angst vor Schuldzuweisungen zu melden?

Schulung und Sensibilisierung tragen zur Sicherheit der Mitarbeiter bei

Die Experten sind sich einig, dass Schulungen und Sensibilisierung ebenfalls wichtige Instrumente sind. Diese sollten die Bedeutung der Meldung selbst potenzieller Vorfälle und die Betonung der erhöhten Sicherheitsrisiken umfassen, denen Fernarbeitskräfte ausgesetzt sind.

"Für Mitarbeiter, die von zu Hause aus arbeiten, kann eine regelmäßige Kommunikation über Sicherheitsthemen dafür sorgen, dass das Thema in den Köpfen bleibt, und dazu beitragen, 'Cyber Shame' zu bekämpfen", sagt Holyome. "Insbesondere die Aufklärung über Phishing-Taktiken und die Ausnutzung interner Chat-Funktionen durch Cyberkriminelleträgt dazu bei, das Bewusstsein für die Bedrohungen zu schärfen, auf die man im Arbeitsalltag achten muss."

Im Rahmen dieser Aktivitäten sollten Sicherheitsteams Beispiele aus der Praxis mit den Mitarbeitern teilen. Dabei sollte vor allem sichergestellt werden, dass die Zahl der gemeldeten Vorfälle niemals in die Kennzahlen einfließt, um die Wirksamkeit der Sicherheitsmaßnahmen zu belegen - es sei denn, man möchte eine bestimmte Geschäftseinheit ermitteln, die die wenigsten Vorfälle meldet und daher möglicherweise weitere Sensibilisierungsmaßnahmen benötigt. Die leitenden Angestellten sollten ermutigt werden, ebenfalls an diesen Übungen teilzunehmen.

"Tabletop-Übungen und realistischere Simulationen sollten ebenfalls durchgeführt werden, um sicherzustellen, dass alle Teile des Unternehmens in der Lage sind, potenzielle Vorfälle zu melden, während sie aus der Ferne arbeiten", sagt Beamon.

Die Sicherheitsteams selbst müssen die wichtigsten Bedrohungen für ihre Remote-Mitarbeiter verstehen und klare Anweisungen geben, wie Sicherheitsvorfälle aussehen und wie sie gemeldet werden sollten, sagt Threat-Intelligence-Spezialist Wrolstad. "Sicherheit ist für die meisten Mitarbeiter nicht das Wichtigste. Deshalb müssen sie daran erinnert werden, was die größten Bedrohungen sind und wie diese aussehen, damit sie sie während ihrer Tätigkeit erkennen ". Sicherheitsteams müssen sich in die Lage ihrer Remote-Mitarbeiter versetzen und potenzielle Sicherheitsrisiken so beschreiben, dass sie erkannt werden können, fügt er hinzu.

Berücksichtigung der Bedrohungslage

Schließlich müssen die Sicherheitsteams auch darüber nachdenken, wie sie die Meldung von und die Reaktion auf Vorfälle auf der Grundlage des Bedrohungsgrads der Fernarbeit priorisieren. "Bestimmten Teilen der Unternehmensinfrastruktur sollte wieder mehr Aufmerksamkeit geschenkt werden ", sagt Beamon.

Dazu gehörten insbesondere VPNs, die seit Jahrzehnten von vielen Unternehmen genutzt werden, aber an Bedeutung gewonnen haben, da ein großer Teil der Mitarbeiter täglich auf Unternehmensnetzwerke und -ressourcen zugreift. "VPNs müssen daher die Verfügbarkeit aufrechterhalten, während die Sicherheitsteams dafür sorgen, dass etwaige Schwachstellen schnell behoben werden, um die Vertraulichkeit und Integrität der Daten zu wahren", erklärt er. "Für interne Teams sollte eine gemeldete Schwachstelle oder ein Vorfall im Zusammenhang mit VPN- und Remote-Netzwerkkonnektivität eine höhere Prioritätsstufe haben."

Lesetipp: Cloud-Malware - Die größten Bedrohungen für Cloud-Systeme

Security-Analyst Wolf ist zudem der Ansicht, dass auch ein stärkerer Fokus auf die Unterschiede zwischen internen und externen Sicherheitsvorfällen erforderlich ist. "Es ist wichtig zu differenzieren, da die Vorgehensweise bei der Untersuchung von Mitarbeitern nicht dieselbe ist wie bei externen Bedrohungen." (jm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.