Cybersicherheit im Jahr 2022?  Remote Working und Mobile verändern alles…

Cybersicherheit im Jahr 2022? Remote Working und Mobile verändern alles…

Spread the love

Geschätzte Lesezeit: 10 Minuten

Wie halten Sie die Cyberkriminellen von Ihrem Unternehmen fern? Diese Frage war noch nie einfach zu beantworten.

Aber früher war es so einfach.

In der ersten Phase des digitalen Arbeitens programmierten IT-Sicherheitsprofis technische Abwehrmaßnahmen in Firmen-PCs und -Server. Sie würden ihre Mitarbeiter darin schulen, strenge Sicherheitsverfahren einzuhalten.

All dies war machbar, weil Sicherheitsspezialisten ein gewisses Maß an Kontrolle hatten. Mitarbeiter erledigten ihre Arbeitsaufgaben in der Regel auf genehmigter Unternehmenssoftware. Sie verwendeten auch firmeneigene Laptops, die die meiste Zeit im Büro blieben.

Nun, wir wissen, was als nächstes geschah.

In den 2010er Jahren tauschten Arbeitnehmer ihre firmeneigenen Laptops gegen private Mobilgeräte aus. Sie haben diese Geräte mit Cloud-basierten Produktivitäts-Apps verbunden, die sie aus öffentlichen App-Stores heruntergeladen haben. Später kamen sie sogar nicht mehr ins Büro und zogen es stattdessen vor, von Heimnetzwerken aus zu arbeiten (und sich zu verbinden).

All dies vergrößerte die Angriffsfläche für Cyberangreifer und erschwerte die Aufgabe der Sicherheitsteams erheblich.

Wie viel schwieriger ist es also? Und was kann getan werden, um Organisationen zu schützen?

In seinem 2022 Mobile Security Index Report versucht Verizon, die Antworten zu enthüllen. Diese fünfte Jahresausgabe wurde entwickelt, um Chief Information Security Officers (CISOs) dabei zu unterstützen, die mobile Sicherheitsumgebung ihrer Organisation zu bewerten und ihre Abwehrmaßnahmen zu kalibrieren.

Es enthält die Ergebnisse einer Umfrage unter mehr als 600 Personen, die für Sicherheitsstrategie, -politik und -management verantwortlich sind. Der Bericht teilt auch die Erkenntnisse von führenden Unternehmen im Bereich der Sicherheit mobiler Geräte, darunter Check Point, IBM, Proofpoint und Thales.

Sehen wir uns die wichtigsten Schlussfolgerungen an…

Cyberkriminalität war noch nie schlimmer

Der Bericht beginnt mit einer deprimierenden Statistik. Im Jahr 2021 erlebte Amerika einen beispiellosen Anstieg von Cyberangriffen. Es zitiert den Internet Crime Report 2021 des FBI, der 847.376 Beschwerden meldete – ein Anstieg von 7 Prozent gegenüber 2020. Die geschätzten potenziellen Verluste beliefen sich auf mehr als 6,9 Milliarden US-Dollar.

Und der mobile Faktor? Im Jahr 2022 gaben 45 Prozent der befragten Unternehmen an, eine Kompromittierung mit einem Mobilgerät erlitten zu haben
die letzten 12 Monate.

Und die Arbeit von zu Hause aus befeuert die Zunahme von Angriffen

Der Verizon-Bericht zitiert eine Umfrage von Proofpoint, die besagt, dass 68 Prozent der Menschen angefangen haben, entweder Voll- oder Teilzeit von zu Hause aus zu arbeiten. Dies mag der Work-Life-Balance der Menschen entgegenkommen, ist aber keine gute Nachricht für die Unternehmenssicherheit.

Der Bericht ergab, dass 79 Prozent der Befragten der Meinung waren, dass Änderungen der Arbeitspraktiken die Cybersicherheit ihres Unternehmens negativ beeinflusst haben.

Der „Bring Your Own Device“-Faktor ist die große Herausforderung. Die Sicherung von BYOD-Geräten ist viel schwieriger als die Sicherung unternehmenseigener Geräte mit einer vorhandenen Mobile Device Management (MDM)-Lösung. Aber welche Wahl haben Arbeitgeber im Zeitalter der Arbeit von zu Hause aus?

Die Umfrage ergab, dass 70 Prozent der Unternehmen derzeit eine BYOD-Richtlinie haben. Aber bezeichnenderweise sagte die Hälfte, dass sie es währenddessen adoptiert hatten
Ausgangssperre. Darüber hinaus erlauben 41 Prozent den Mitarbeitern, ihre eigenen Telefone/Tablets für den Zugriff auf Unternehmenssysteme und -daten zu verwenden (BYOD). 60 Prozent erlauben Mitarbeitern, auf ihren eigenen Geräten auf E-Mails zuzugreifen.

Mobile war früher ziemlich sicher. Es ist nicht jetzt.

Es sei daran erinnert, dass mobile Geräte früher als ziemlich widerstandsfähig gegen Angriffe galten. Vor einem Jahrzehnt war es BlackBerry, das den Unternehmensmobilmarkt beherrschte. Das BlackBerry Enterprise Server-Backend stellt Sicherheit an erste Stelle. Aber im Laufe der Zeit dominierten Apple und Google den Verbraucherbereich. Unternehmensanwender folgten unweigerlich und dieser sicherheitsorientierte Ansatz ging verloren.

Unternehmen geben also mehr für Cybersicherheit aus

77 Prozent der Befragten gaben an, dass ihre Sicherheitsausgaben im Laufe des Jahres gestiegen sind. Mehr als ein Fünftel gab an, deutlich zugenommen zu haben. Und die meisten dieser Ausgaben entfielen auf bestehende Benutzeraktivitäten und nicht auf „neue Dinge“.

Kriminelle haben es auf mobile Apps abgesehen

Die Idee „dafür gibt es eine App“ hat das Leben der Menschen einfacher und unterhaltsamer gemacht. Aber die App bietet auch einen Einstiegspunkt für schlechte Schauspieler in Millionen von Telefonen. In dem Bericht bestätigte Verizon, dass 48 Prozent derjenigen, die eine Sicherheitsverletzung im Zusammenhang mit Mobilgeräten erlitten haben, angaben, dass App-Bedrohungen ein Faktor waren, der dazu beigetragen hat.

Die Drohungen sind bekannt. Menschen werden dazu verleitet, mit Malware geladene Apps herunterzuladen. Im Jahr 2021 der Prozentsatz der Organisationen
die die Installation von Malware auf einem Remote-Gerät erlebten, verdoppelte sich von 3 Prozent auf 6 Prozent.

Sogar nicht bösartige Apps können eine Bedrohung darstellen, wenn sie nach Berechtigungen fragen, die sie nicht benötigen. Kriminelle veröffentlichen häufig „harmlose“ kostenlose Apps wie Taschenlampen, die den Zugriff beispielsweise auf die Kamera oder das Mikrofon anfordern. Diese verwenden sie dann, um sensible Daten zu sammeln.

Angreifer wissen, dass Menschen und nicht Geräte die Schwachstelle der Sicherheit sind

Während es immer eine gute Politik ist, technischen Schutz zu schaffen, ist es wohl noch wichtiger, das Personal zu schulen. Leider 44 Prozent
der Unternehmen bieten ihren Mitarbeitern keine regelmäßigen Sicherheitsschulungen an.

Warum ist das ein Problem? Denn die allermeisten erfolgreichen Angriffe gehen auf menschliches Verhalten zurück. Dem Bericht zufolge geschahen 82 Prozent der Sicherheitsverletzungen in diesem Jahr aufgrund gestohlener Zugangsdaten, Phishing, Missbrauch oder einfach menschlichem Versagen.

Tatsächlich scheint Phishing mittlerweile allgegenwärtig zu sein. Im Jahr 2021 bestätigten fünf von sechs Unternehmen, dass sie einen E-Mail-basierten Phishing-Angriff erlebt hatten, der Benutzer zu riskanten Aktionen verleitete, wie z. B. das Klicken auf einen fehlerhaften Link, das Herunterladen von Malware, die Bereitstellung von Anmeldeinformationen oder
Ausführung einer Überweisung.

Wie der Bericht sagt: „Die traurige Tatsache ist, dass viele Angreifer sich nicht in Systeme hacken. Sie melden sich an.“

Der „große Rücktritt“ ist ein Sicherheitsalptraum

Über die durch den Lockdown ausgelöste Massenflucht und die nachdenkliche Wirkung auf die Beschäftigten ist viel geschrieben worden. Es stellt sich die Frage: Was passiert mit all diesen Unternehmensdaten, wenn eine Person den Arbeitsplatz verlässt?

Die Antwort ist ziemlich alarmierend. Verizon zitiert eine Studie von Lookout, die besagt, dass etwa jeder sechste ausscheidende Mitarbeiter eine persönliche Cloud-Speicher-App verwendet, um Unternehmensinformationen mitzunehmen.

Es bezieht sich auch auf einen Bericht, aus dem hervorgeht, dass eine kleine Anzahl von Mitarbeitern anscheinend große Mengen an Arbeitgeberdaten sammelt, bevor sie das Unternehmen verlassen. Von den Benutzern, die Dateien auf ihre persönlichen Geräte hochgeladen haben, hat die Hälfte mehr als das 5-fache des normalen Volumens hochgeladen, 8 Prozent das 100-fache und ein Prozent das 1.000-fache.

Jeder kann ein öffentliches Netzwerk nutzen … einschließlich Hacker

Die Verfügbarkeit von Cloud-Diensten hat es sicherlich einfacher gemacht, mobil zu arbeiten. Aber um auf die Cloud zuzugreifen, müssen sie sich über ein Heimnetzwerk oder ein öffentliches Netzwerk verbinden. Dies bietet eine neue Schwachstelle, die Angreifer ausnutzen können. Sie können den Datenverkehr durch Man-in-the-
middle (MitM) angreift oder Mitarbeiter dazu verleitet, betrügerisches Wi-Fi zu verwenden
Hotspots oder Zugangspunkte.

Dem Bericht zufolge hatten 52 Prozent derjenigen, die einen Handyschaden erlitten hatten, einen Zusammenhang
Sicherheitsverletzung sagte, dass Netzwerkbedrohungen ein Faktor waren, der dazu beitrug. Doch weniger als ein Drittel der Unternehmen (32 Prozent) verbieten die Nutzung öffentlicher WLANs, und nur etwa die Hälfte (52 Prozent) unternimmt etwas, um diese Richtlinie durchzusetzen.

Zero Trust gewinnt an Bedeutung, wenn es um Sicherheit geht

Unternehmen lernen, dass gute Cybersicherheit sowohl ein Ansatz als auch eine Reihe technischer Praktiken sein kann. Dies erklärt, warum so viele Unternehmen jetzt die Zero-Trust-Netzwerkzugangsidee untersuchen.

ZTNA geht davon aus, dass jedes Gerät, jede App oder jedes System kompromittiert werden kann. Benutzer erhalten also nur Zugriff auf die Apps, die sie für ihre Arbeit benötigen. Es isoliert auch Geräte, Apps oder Systeme von bestimmten Teilen des Netzwerks, auf die über das Internet nicht zugegriffen werden kann.

82 Prozent der Befragten in dem Bericht gaben an, dass sie einen Zero-Trust-Sicherheitsansatz angenommen haben oder aktiv erwägen, dies zu übernehmen.

Hier ist ein Best-Practice-Leitfaden, um die Arbeit von zu Hause aus sicher zu machen

Wenn Heimarbeit und BYOD die neue Norm sind, müssen sich Unternehmen damit auseinandersetzen. Natürlich gibt es einfache Maßnahmen, mit denen sie ihre Abwehr stärken können. Hier ist der einfache Leitfaden des Verizon-Berichts zur BYOD-Sicherheit.

Leave a Comment

Your email address will not be published.