Im Gespräch mit Stefan Schachinger von Barracuda Networks

Stefan Schachinger, Product Manager Network Security beim IT-Unternehmen Barracuda Networks, erklärt, wie Firmen der Sicherheitsgefahren durch die Mitarbeiter Herr werden.

Stefan Schachinger: Home Office birgt sicher Risiken, insbesondere wenn es schnell und unerwartet eintritt. Die Heimnetze, in denen viele jetzt arbeiten, sind aus Richtliniensicht des Unternehmens nicht vertrauenswürdig. Eine grosse Gefahrenquelle stellen privat genutzte Geräte im Home Office dar. Eine BYOD-Policy muss gut überlegt sein und sollte nicht überstürzt eingeführt werden. Der Trend geht eher wieder davon weg, da die mögliche Kostenersparnis bezüglich der Anschaffung zusätzlicher Geräte das Sicherheitsrisiko nicht rechtfertigt.

Im Unternehmen kommt Perimeter-Security zum Einsatz, die zu Hause wegfällt. Während sich die Firewall um Antivirus, Webfilter, Advanced Threat Protection und dergleichen zuverlässig kümmert, sitzen die Mitarbeiter jetzt oft hinter einfachen Pro­vider-Modems, die keinen Schutz bieten. Der Einsatz von Cloud-Diensten kann diesen Schutz jedoch immerhin bis zum Edge verlängern, auch ohne Eingriffe ins lokale Netzwerk.

Häufig stehen IT-Admins heute vor der zusätzlichen Herausforderung, VPN-Zugänge remote einzurichten, da oft wenig Zeit blieb, geeignete Geräte zu besorgen und sie zu konfigurieren. Neben den klassischen Software-VPN-Clients können auch Hardware-Clients helfen, vor allem wenn mehrere Geräte wie Telefone oder Drucker angebunden werden sollen.

Computerworld: Warum ist E-Mail immer noch so erfolgreich als Einfallstor für Cyberkriminelle?

Schachinger: E-Mail ist und bleibt der Angriffsvektor Nummer eins, auch in absehbarer Zukunft. Insbesondere durch das momentan situationsbedingt angestiegene Arbeiten von zu Hause ist mit einem weiteren Anstieg des E-Mail-Volumens zu rechnen.

Es bleibt nur ein umfassender Schutz als Ausweg. Dazu gehören neben dem klassischen Spamfilter und der Malware-Erkennung auch Advanced Threat Protection, Tools zur Erkennung von E-Mail-basierten Social-Engineering-Angriffen, Security-Awareness-Trainings sowie Incident Response. Zudem sollte ein Notfallplan vorhanden sein: Was ist zu tun, wenn etwas passiert ist? Ist die Schad-Software erst im eigenen Netz angekommen, kann die Ausbreitung rasant vor sich gehen und es wird fast unmöglich, alle infizierten Systeme zu identifizieren.

Schachinger: Awareness-Trainings speisen sich aus einer Vielzahl von Inhalten. Natürlich müssen die Mitarbeiter darin geschult werden, welche technischen Konzepte die Angreifer einsetzen und wie diese zu erkennen sind. Die grösste Gefahr besteht aber darin, technisch fortgeschrittene Mitarbeiter eventuell gar nicht zu erreichen oder die technisch weniger versierten Mitarbeiter irgendwann zu verlieren. Inhalte müssen jeweils an das vorhandene Sicherheitsbewusstsein des Mitarbeiters angepasst sein sowie kontinuierlich angehoben und verändert werden. Auch Sichtweise und Sprache müssen auf die Mitarbeiter ausgerichtet sein. Zudem haben nicht alle Mitarbeiter Zugang zu den gleichen Informationen, auch kann das geforderte Sicherheitslevel variieren. Nur so kann der Prozess zur Awareness-Steigerung über längere Zeit spannend und damit sicher bleiben.

Schachinger: Eine Trennung der Netze innerhalb der IT etwa in Server, Clients und Gäste sollte Standard sein. Sind noch nachgelagerte OT-Netze vorhanden, etwa in Produktions- und Industrieunternehmen, aber auch in medizinischen Einrichtungen, dann müssen diese betriebskritischen Netze besonders geschützt sein. Auch besonders schützenswerte Daten oder verwundbare Systeme lassen sich durch zusätzliche Segmentierung vor Angreifern oder Schad-Software schützen. Solche Systeme sollten unbedingt netzwerkseitig segmentiert und geschützt sein. Eine Segmentierung ist also grundsätzlich sinnvoll und hilft, Ausbrüche einzudämmen. Zwischen Netzen kann dann nur kommunizieren, was explizit freigeschaltet wurde, und selbst das wird noch inspiziert und auf mögliche schädliche Inhalte geprüft.