So schnell wie das Homeoffice zur Routine wurde, so schnell kamen auch die Gefahren. Aktuell setzen viele Firmen weiterhin auf VPN-Tunnel für den Zugriff auf das Unternehmensnetzwerk, obwohl die Technologie den Sicherheitsanforderungen dieser neuen Rahmenbedingungen schlicht nicht mehr gerecht wird.
Eine aktivierte VPN-Verbindung leitet jeden Datenverkehr durch das Unternehmensnetzwerk. Das kann besonders für Institutionen mit hochsensiblen Daten, wie Banken und Finanzdienstleister, zur Gefahr werden. Surft man dann entweder mit dem Firmenlaptop privat im Netz oder nutzt umgekehrt den privaten Laptop für die Arbeit, entstehen Sicherheitsrisiken.
Denn jede Malware, die das Gerät befällt, kann sich über den VPN-Tunnel direkten Zugang zum Unternehmen verschaffen – erleichtert durch den Umstand, dass man sich zuhause außerhalb der geschützten Umgebung der Firmen-IT befindet.
Mehr noch als andere Einrichtungen brauchen Kreditanstalten daher einen fortschrittlichen Schutz für Remote-Mitarbeiter und der sollte alle Geräte, einschließlich Tablets, mobile, BYOD- (Bring-Your-Own-Device) und von der hauseigenen IT verwaltete Geräte umfassen.
Besonders beim Surfen im Internet und bei der Nutzung von E-Mail- und Collaboration-Apps gilt es, ganzheitliche Schutzmaßnahmen zu implementieren und einen Wildwuchs an Lösungen verschiedener Anbieter zu vermeiden. Obendrein müssen Banken einen vertrauenswürdigen Zugriff auf Unternehmensanwendungen von jedem Ort aus sicherstellen.
Hinzu kommt ein weiterer Risikofaktor, der branchenübergreifend häufig übersehen wird: Die Absicherung Dritter, einschließlich Auftragnehmer, Berater und Partner, die auf Geräte und Anwendungen zugreifen. Deren Umsetzung von Compliance und IT-Richtlinien kann von außen nicht nachvollzogen werden, weswegen eine standardmäßige Absicherung ab Werk zu empfehlen ist.
Grundsätzlich beschränken sich die Arbeitsgeräte von Angestellten in Fernarbeit und Homeoffice meist auf Smartphones und Laptops. Die Prioritäten und Fokuspunkte der IT-Sicherheit unterscheiden sich hier jedoch und es stellt sich die Frage: Worauf kommt es bei der Absicherung von mobilen und anderen Endgeräten jeweils an?
Die Absicherung von Mobilgeräten braucht:
- Vollständigen Schutz vor Netzwerkangriffen, einschließlich Phishing, Smishing (Phishing über Textnachrichten) und anderen Angriffstypen.
- Blockierung von nicht konformen Geräten und Schwachstellen im Betriebssystem.
- Verbesserte Einhaltung der GDPR (Datenschutzgrundverordnung).
- Vollständiger Schutz der Privatsphäre der Nutzer.
- Hohe Skalierbarkeit mit Mobile Device Management für die Zero-Touch-Bereitstellung für alle Mitarbeiter.
Die Absicherung von Endgeräten braucht:
- Vollständigen Endpunktschutz und EDR (Endpoint Detection and Response).
- Eine konsolidierte Sicherheitsarchitektur, die Bedrohungen in Echtzeit verhindert.
- Nahezu vollständige Automatisierung der Erkennung, Untersuchung und Behebung von Angriffen.
- Schutz vor und automatische Behebung und Wiederherstellung nach erfolgten Ransomware-Angriffen.
- Hohe Produktivität mit Content Disarm and Reconstruction (CDR).
- Reduzierte TCO (Total Cost of Ownership) mit einer einzigen Lösung, die erweiterte Überwachungs- und Berichterstattungsfunktionen für schnelle Problemlösung enthält.
Zero Trust und Applikationssicherheit sind die Kirsche auf der Torte
Abgesicherte Endgeräte reichen jedoch nicht aus. Auch der Datenverkehr zwischen ihnen muss lückenlos geschützt sein. E-Mail und Collaboration-Apps sind heutzutage zu den wichtigsten Tools für Unternehmen, aber auch zu den beliebtesten Zielen von Hackern geworden. BEC-Angriffe (Business-E-Mail Compromise) haben in der Vergangenheit bereits zahlreichen Institutionen hohe Verluste beschert.
Um beim Schutz der vielen täglich verwendeten Applikationen wie Outlook, SharePoint, Teams, OneDrive, etc. nicht den Überblick zu verlieren, empfiehlt sich die Verwendung einer einzigen Anwendung zur Überwachung aller. Dabei kommt es besonders auf den Schutz vor Malware, Phishing, bösartigen Links, Kontoübernahmen und mehr an.
Denn es gilt zu bedenken: Banken haben die Verantwortung über sensible Geschäfts- und Finanzinformationen ihrer Kunden, die diese nicht im Darknet wiederfinden wollen. Aus diesem Grund sollte auch nicht weniger als das Zero-Trust-Konzept oberster Leitfaden der Sicherheitsarchitektur sein.
Bei der aktuellen Bedrohungslage ist eine Null-Vertrauen-Policy alternativlos und Banken sollten bei der Umsetzung von Zero Trust folgendes sicherstellen:
- Least-Privilege-Zugriff auf Webanwendungen.
- Sichere Shell-Server, Remote-Desktops und Datenbanken.
- Zugriffsmanagement für Plattformen wie Splunk, interne WeApps, AWS-Ressourcen, etc.
- Administratoren die Verfolgung von Benutzeraktivitäten mit aufgezeichneten Sitzungen und Prüfpfaden ermöglichen.
Besonders für Finanzinstitute und Kredithäuser ist es entscheidend, die IT-Sicherheit der Endgeräte ihrer Mitarbeiter trotz Telearbeit im Blick zu behalten. Denn unmittelbar mit ihrer Sicherheit ist die ihrer Kunden und deren Daten verbunden.
IT-Verantwortliche, die zusätzlich den Mailverkehr und die Apps zur gemeinsamen Zusammenarbeit im Blick haben und Zero Trust als Grundlage für alle Sicherheitsentscheidungen nehmen, sind den Herausforderungen der modernen IT-Landschaft gewachsen.