Die meisten modernen Bürojobs lassen sich völlig standortunabhängig durchführen. Wie gut das funktionieren kann, haben uns die vergangenen Monate gezeigt. Daher wird mobiles Arbeiten vermutlich auch nach Ende der Pandemie weiterhin ein wichtiger Teil der Wirtschaft sein. Das hat allerdings auch Implikationen auf die Cybersicherheit und somit die Resilienz von Unternehmen, wie Tiago Dias, Cyber Security Consultant bei FM Global, darlegt.

COVID-19 hat den meisten Unternehmen erst die Vorteile der Online-Kommunikation und die Effektivität des mobilen Arbeitens im sogenannten Homeoffice vor Augen geführt. Diese Arbeitsmethode ist auch wesentlich kostengünstiger als das Anmieten herkömmlicher Büroräume – daher werden wohl viele Unternehmen zögern, zum alten Präsenzsystem zurückzukehren, da sie Büros als veraltet und unnötig teuer empfinden könnten.

Resilienz in verteilten Infrastrukturen
Dieser revolutionäre Wandel in der Arbeitswelt löst jedoch auch Bedenken in Bezug auf die Cyberresilienz aus, denn diese „verteilte Arbeit“ auf unterschiedlichste Standorte bringt gewisse Risiken mit sich. Viele Unternehmen sind aktuell verwundbarer denn je, da sie eine große Zahl an Geräten managen müssen, die sich außerhalb traditioneller Sicherheitssysteme befinden. IT-Sicherheitsexperten sollten sich daher der größeren Gefahr für ihr Unternehmen bewusst sein und dabei helfen, die Cyberresilienz gegenüber den aktuellen Bedrohungen zu stärken.

Durch die neue verteilte Arbeitsweise wird der digitale Fußabdruck von Organisationen größer denn je. Außerdem gibt es viel weniger Standardisierung, wenn jeder Mitarbeiter sein eigenes WLAN-Netzwerk nutzt, oder womöglich auch eigene Geräte. Durch diesen größeren Fußabdruck ergeben sich auch ganz neue Angriffspunkte, die Hacker nutzen können. Das kann sogar zu physischen Schäden an Immobilien führen, indem sich Kriminelle Zugang zu Gebäudemanagement- oder Notfallsystemen verschaffen.

Eine weitere Herausforderung, die durch die Zunahme des mobilen Arbeitens entsteht, ist die Überforderung von internen Systemen und VPNs durch die erhöhte Anzahl von Nutzern, die sich gleichzeitig von externen Systemen aus verbinden. Diese Belastung der bestehenden digitalen Infrastruktur kann erhebliche Schwachstellen für Unternehmen mit sich bringen und gleichzeitig die Produktivität und Effizienz beeinträchtigen. Systeme, die für den Zugriff einer begrenzten Anzahl von Personen konzipiert wurden, müssen jetzt und in Zukunft viel mehr Traffic verarbeiten. In diesem Fall muss nicht nur die Bandbreite größer sein, sondern es müssen auch Sicherheitswerkzeuge wie Firewalls geprüft werden, um festzustellen, ob sie dem größeren Datenaufkommen gewachsen sind. Im Zusammenhang mit den Problemen, die durch einen Mangel an Standardisierung verursacht werden, kann es sein, dass verschiedene Mitarbeiter unterschiedliche Firewalls verwenden, die nicht alle gleich gut mit dem erhöhten Zugriff von außen zurechtkommen.

Unternehmen, die diese Probleme ernsthaft angehen und sich auf die neue Realität des mobilen Arbeitens einstellen, können sowohl während der COVID-19-Krise, als auch in einer Welt nach der Pandemie die größtmögliche Sicherheit im Cyberspace schaffen.

Neue Sicherheitsmaßnahmen für eine neue Realität
Ein erster Schritt für Unternehmen, die ihre Resilienz erhöhen wollen: Zusätzliche Sicherheitsüberprüfungen innerhalb der IT-Systeme initiieren und so eine weitere Sicherheitsebene schaffen. Organisationen sollten über digitale Kontrollpunkte verfügen, um die richtigen Personen zu autorisieren und Cyberkriminelle am Zugriff auf sensible Systeme zu hindern. Dies kann zum Beispiel mit Firmen-Laptops erreicht werden, die spezifische Kontrollen oder eine Multifaktor-Authentifizierung für den VPN-fähigen Fernzugriff verwenden – jede Methode fügt eine weitere Abwehrschicht hinzu, um sicherzustellen, dass die Personen mit entsprechendem Zugriff eine geschützte Verbindung herstellen können.

Ein weiterer Aspekt, den Unternehmen in Bezug auf die Cyberresilienz berücksichtigen müssen, ist die Bedeutung eines aktuellen Krisenplans. Die Pandemie hat deutlich gemacht, wie unvorhersehbare Ereignisse, die scheinbar nichts mit der Cybersicherheit zu tun haben, in Zukunft angemessen berücksichtigt werden müssen. Als Grundvoraussetzung muss man die Gefährdung durch Cyberrisiken verstehen und wissen, welche Bereiche möglicherweise mehr Aufmerksamkeit benötigen. Verfügt das eigene Unternehmen über die richtigen Richtlinien und Verfahrensweisen? Und wird der Krisenplan regelmäßig aktualisiert, um neuen potenziellen Schwachstellen Rechnung zu tragen? Diese Fragen müssen mit ausreichend Verständnis dafür beantwortet werden, welches die geschäftskritischen Prozesse sind und wie diese angemessen geschützt werden können.

Wichtig bei der Bewertung von Cyberrisiken ist es auch, die Versicherer ins Boot zu holen. Methoden wie das Cyber Risk Assessment von FM Global können dabei helfen, Cyberrisiken in den eigenen Geschäftsmodellen besser zu verstehen. Diese Informationen als Grundlage für einen belastbaren Krisenplan zu nutzen, ist von entscheidender Bedeutung – denn Corona hat gezeigt, dass die Widerstandsfähigkeit des Cyberspace auch durch Ereignisse, die nicht direkt mit der digitalen Technologie zusammenhängen, beeinträchtigt werden kann.

Fazit
Es ist jetzt klar, dass die COVID-19-Pandemie einen großen Einfluss auf die Cyberresilienz haben wird, selbst wenn der Höhepunkt der Pandemie überstanden ist. Obwohl Änderungen der Betriebsstrukturen aus der Notwendigkeit heraus und oft sehr schnell vorgenommen wurden, ist es wahrscheinlich, dass mobiles Arbeiten noch lange eine gängige Praxis bleiben wird. Cyber-Risk-Experten müssen diesen Trend ernst nehmen: Sie tragen die Verantwortung dafür, dass es im Homeoffice zu keinen digitalen Gefahren kommt. Vor ihnen steht die große Aufgabe, die Sicherheitsmaßnahmen des Firmennetzwerks für jeden Mitarbeiter an seinem heimischen Arbeitsplatz zu replizieren. Das ist eine beachtliche Herausforderung. Aber andernfalls riskieren Unternehmen, dass sie unter der neuen Realität leiden.