Kapitel 6

Sicherheit einer hybriden Belegschaft

Das Jahr 2021 steht ganz im Zeichen der hybriden Arbeitsmodelle, während einige Angestellte zurück an Ihren Arbeitsplatz kehren werden, werden andere weiterhin von Zuhause aus arbeiten. Damit es hier nicht zu Sicherheitsproblemen kommt ist die richtige Sicherheitsstrategie entscheidend.

Der Einsatz von Cloud Computing und SaaS-Anwendungen ist in den letzten Jahren rasant angestiegen und hat es Unternehmen ermöglicht, mit einer verteilten Belegschaft effektiv zu arbeiten. Tatsächlich führen fast drei Viertel der Unternehmen ihren gesamten Betrieb in der Cloud aus. Diese Unternehmen sind begierig darauf, die Geschwindigkeit, Skalierbarkeit und Flexibilität zu nutzen, die cloudbasierte Infrastruktur ihren globalen Teams bieten kann. 

Aber da Cloud Computing immer beliebter wird und die Art und Weise verändert, wie Unternehmen Daten sammeln, nutzen und teilen, wird es auch ein attraktives Ziel für Cyberkriminelle. Durch die Verlagerung von Daten außerhalb der Räumlichkeiten eines einzelnen physischen Büros und über ein globales Netzwerk von Geräten und Zugangspunkten ist das Asset Management und die Sicherheit zu einer großen Herausforderung für Unternehmen geworden. 

In einer Umfrage gaben 57 % der CIOs an, dass sie den Verdacht haben, dass ihre mobilen Mitarbeiter gehackt wurden oder die Ursache von Sicherheitsproblemen sind. Globale Unternehmen mit einer geografisch verteilten Belegschaft müssen die Datensicherheit ernst nehmen und einen umfassenden Sicherheitsplan implementieren, um ihre Mitarbeiter und sensible Unternehmensdaten zu schützen.


Top 5 Sicherheitsherausforderungen und Lösungen für verteilte Teams

1. GDPR und andere Datenschutzgesetze einhalten

Die General Data Protection Regulation (GDPR) ist das europäische Datenschutz- und Sicherheitsgesetz, das am 25. Mai 2018 in Kraft getreten ist. Dieses Gesetz ist schnell zu einer wichtigen Priorität für jedes Unternehmen geworden, das in Europa Geschäfte macht, europäische Kunden hat oder europäische Mitarbeiter oder Freiberufler beschäftigt. Eine Studie fand heraus, dass 30 Prozent der Unternehmen, die GDPR-konform sein müssen, das Gefühl haben, dass ihre europäischen Remote-Mitarbeiter dazu führen, dass sie nicht konform sind. 

Darüber hinaus müssen Unternehmen, die in Nordamerika tätig sind, das Can-Spam-Gesetz der Vereinigten Staaten und die Anti-Spam-Gesetzgebung Kanadas einhalten. Die Einhaltung dieser Vorschriften bleibt eine große Herausforderung für Unternehmen mit einer verteilten Belegschaft. Viele entfernte Mitarbeiter nutzen ihre persönlichen E-Mails oder öffentliches Wi-Fi, um arbeitsbezogene Dokumente zu versenden. Dies stellt ein großes Datensicherheitsrisiko für Unternehmen dar. 

Hacker nutzen die GDPR und andere Datenschutzgesetze aus, um nicht konforme Unternehmen zu erpressen, damit sie ein beträchtliches Lösegeld zahlen, anstatt sich mit staatlichen Geldstrafen auseinanderzusetzen. Eine Studie aus einem Unternehmen für Sicherheitssoftware und -hardware, ergab, dass fast die Hälfte der britischen IT-Direktoren "definitiv" bereit wäre, ein Lösegeld an Hacker zu zahlen, um die Meldung einer Datenverletzung und das Risiko einer Geldstrafe gemäß den EU-Datenschutzgesetzen zu vermeiden.

Lösung: Unternehmensweite Sicherheitsrichtlinien und -verfahren implementieren

Um mit den Datenschutzgesetzen konform zu bleiben, solltest du die Sicherheitsrichtlinien für den Umgang mit Unternehmensdaten klar definieren, dokumentieren und die Mitarbeiter darin schulen - und zwar zu jeder Zeit. Dazu gehört, dass du schriftlich festlegst, was Mitarbeiter mit arbeitsbezogenen Geräten, Informationen und Dokumenten tun dürfen und was nicht. Stelle sicher, dass alle Daten verschlüsselt sind und lege fest, wer auf sensible Unternehmensdaten zugreifen darf. Schließlich solltest du klare Richtlinien für die Fernarbeit haben, die regeln, wie sich die Mitarbeiter mit dem Firmennetzwerk verbinden sollen, sowie Richtlinien für das private und öffentliche Wifi.

2. Nachverfolgung und Verwaltung von Assets in der Cloud

Unternehmen mit verteilten Teams sind oft technikbasierte Unternehmen mit IT-Assets wie Software, Daten und anderen relevanten Geschäftsinformationen. Die meisten dieser unschätzbaren Daten werden über die Cloud gespeichert und abgerufen. "Die Cloud" bezieht sich auf Server, auf die über das Internet zugegriffen wird, und die Software und Datenbanken, die auf diesen Servern laufen. Geschäftsgeheimnisse, vertrauliche Berichte, Mitarbeiter- und Kundeninformationen und sogar visuelles Material wie Logos und Kampagnengrafiken sind alles sensible, geschützte Informationen, die in der Cloud gespeichert sind und vor allen Arten von externen Bedrohungen geschützt werden müssen. 

Ein kleines Leck kann den Betrieb eines Unternehmens unterbrechen oder zum Stillstand bringen. Schlimmer noch, eine größere Sicherheitsverletzung oder ein Datenverlust kann ein Unternehmen komplett lahmlegen. Eine Studie hat herausgefunden, dass 93% der Unternehmen, die ihre Daten für 10 Tage oder länger verloren haben, innerhalb eines Jahres Konkurs angemeldet haben und 50% haben sofort Konkurs angemeldet.

Lösung: Verwende Cloud-Management- und Sicherheits-Tools

Um die Daten deines Unternehmens sicher zu halten, ohne den Arbeitsablauf und die Produktivität der Mitarbeiter zu beeinträchtigen, verwende eine IT-Management-Lösung wie die Syxsense Cloud Management Suite. Diese gibt den Mitarbeitern die Flexibilität, ihre Arbeitsgeräte aus der Ferne sicher zu nutzen. Für die IT kombiniert Syxsense die Endpunktverwaltung mit Echtzeit-, prädiktiven und proaktiven Endpunktsicherheits- und Überwachungsdiensten. Für zusätzlichen Schutz kannst du zusätzliche Sicherheitsüberwachungs-Tools wie Geofencing, prädiktive Asset-Überwachung und Ticketing-Systeme nutzen, um Cyber-Angriffe abzuwehren. 

3. Reduzierte Sicherheit auf den persönlichen Geräten der Mitarbeiter

Traditionell nutzten Mitarbeiter für die Arbeit bestimmte Bürogeräte, die mit physischen und elektronischen Sicherheitsschichten gesichert waren. Heutzutage, mit der Popularität von verteiltem Arbeiten, begrüßen viele Unternehmen eine BYOD-Richtlinie (bring your own device), die es den Mitarbeitern erlaubt, ihre eigenen Laptops, Tablets oder Smartphones für die Arbeit zu nutzen. 

Dies spart Unternehmen Geld, da sie keine neue Technologie kaufen müssen und die Mitarbeiter keine Lernkurve haben, da sie bereits mit dem Gerät vertraut sind. Aber mit dieser Zunahme an Arbeitsflexibilität kommt auch eine Zunahme an Sicherheitsrisiken. Das persönliche Gerät eines Mitarbeiters kann ungesichert sein und eine große Gefahr für die Datensicherheit darstellen. Darüber hinaus verbinden sich viele Remote-Mitarbeiter mit ihren persönlichen Smart Devices mit öffentlichen Wi-Fi-Netzwerken, was ihre wichtigen Daten einem Cyber-Angreifer preisgeben kann. 

Lösung: Alle Geräte verschlüsseln und sichern

Zunächst sollten Mitarbeiter angeben, welche Geräte sie für die Arbeit nutzen, einschließlich privater Telefone, Tablets oder Computer, damit diese Geräte mit einer vom Unternehmen zertifizierten Sicherheits- und Antivirensoftware richtig verschlüsselt und gesichert werden können. Mit Sicherheitstools wie AirWatch kannst du nicht nur die Geräte deiner Mitarbeiter sichern, sondern sie auch aus der Ferne verfolgen, orten oder löschen, falls das Gerät gestohlen wird. 

4. Unzureichende Backup- und Wiederherstellungssysteme

70% der Angestellten haben schon einmal einen Datenverlust aufgrund von Viren, Systemausfällen oder anderen Katastrophen erlebt. Viele Unternehmen verfügen nicht über ein adäquates Backup- und Recovery-System für diese Art von Datenverlust. Für Unternehmen, die eine BYOB-Politik haben, wird dieses Problem sogar noch ausgeprägter. Mitarbeiter können das gleiche Smart Device oder den gleichen Laptop sowohl für die Arbeit als auch für private Zwecke nutzen und dabei oft geschäftliche und private Daten vermischen, wodurch beide den Schwachstellen des jeweils anderen ausgesetzt sind. 

Zum Beispiel kann ein Mitarbeiter einen Film für den privaten Gebrauch auf seinen Laptop herunterladen, ohne zu merken, dass die Datei Malware enthält. Der Laptop stürzt ab und sowohl die privaten als auch die beruflichen Daten des Mitarbeiters sind verloren. Die Wiederherstellung dieser Daten kann ohne ein Backup- und Recovery-System unmöglich sein.

Lösung: Nutze eine Cloud-Backup-Lösung

Glücklicherweise gibt es eine Reihe von Möglichkeiten, dieses Problem zu lösen und eine vollständige Sicherung und Wiederherstellung der Daten zu gewährleisten. Eine einfache Lösung ist, dass die Mitarbeiter ihren Computer auf einer lokalen oder externen Festplatte sichern. Unternehmen können auch ein zentrales Datensicherungs- und Wiederherstellungsprogramm für alle Geräte in ihrem Netzwerk anbieten. Beide Optionen haben jedoch Einschränkungen, da die Datensicherungsgeräte und Server anfällig für Ausfälle und Hacker sind. 

5. Kommunikationslecks und Hacks

Einige der größten Markennamen der Welt haben Kommunikationslecks und Hacks erlebt. Unternehmen wie Apple, Microsoft, Facebook und das Filmstudio von Sony hatten allesamt kostspielige Kommunikationslecks, die es Außenstehenden ermöglichten, an ihre wertvollen Informationen zu gelangen. Viele dieser Gefährdungen sind darauf zurückzuführen, dass Mitarbeiter geschäftskritische Dateien und vertrauliche Nachrichten über ungesicherte Kommunikationskanäle verschickt haben. 

Die Verwendung von unverschlüsselten Kommunikationsplattformen für E-Mail, Instant Messaging, Audioanrufe und Videokonferenzen kann deine privaten Informationen preisgeben und dich anfällig für Hacks machen. Diese Sicherheitsverletzungen sind für Unternehmen sehr kostspielig. Weltweit kosten die Schäden durch Cyberkriminalität die Unternehmen 6 Billionen Dollar pro Jahr.

Lösung: Nutze Ende-zu-Ende-verschlüsselte Kommunikationslösungen

Bei der Suche nach einem neuen Kommunikationsanbieter oder bei der Neubewertung von bestehenden Anbietern sollte die Sicherheit immer eine Komponente mit hoher Priorität sein. Suche nach einer Lösung, die nachweislich die Daten ihrer Kunden schützt und die neueste Sicherheitstechnologie wie die Ende-zu-Ende-Verschlüsselung bietet.  Ende-zu-Ende-Verschlüsselung (E2EE) ist ein System zur sicheren Kommunikation zwischen Nutzern, dass das Mitlesen der Nachrichten durch Dritte blockiert. Daten, die Ende-zu-Ende verschlüsselt sind, gewährleisten die Vertraulichkeit zwischen Sender und Empfänger, mindern das Risiko und schützen sensible Daten. 

Best Practices zur Gewährleistung der Sicherheit für Remote-Teams

Das menschliche Element kann die stärksten Sicherheitssysteme der Welt unterminieren. Deshalb ist es wichtig, dass jeder Mitarbeiter das Risiko einer Datenverletzung versteht und die unternehmensweiten Sicherheitsprotokolle strikt befolgt. Datensicherheitsschulungen sollten bereits während des Einführungsprozesses neuer Mitarbeiter beginnen. Die frühe Betonung der Wichtigkeit von Cybersicherheit hilft dabei, gute Sicherheitspraktiken zu fördern und die Mitarbeiter für ihre Handlungen zu sensibilisieren. 

Darüber hinaus sollten Unternehmen alle Mitarbeiter regelmäßig über neue Protokolle, Sicherheitsrisiken und Best Practices informieren, indem sie Schulungen abhalten, informative Memos verschicken und Online-Schulungsmodule nutzen. Nachfolgend haben wir einige Best Practices für den Schutz der Informationen deiner Mitarbeiter und sensibler Unternehmensdaten zusammengestellt.

Erstelle und erzwinge eine Sicherheitsrichtlinie für Fernarbeit

Dein Unternehmen sollte über eine umfassende Sicherheitsrichtlinie für Fernarbeit verfügen, die vor Nachlässigkeit der Mitarbeiter, Verstößen, Hacks und anderen externen Bedrohungen schützt. Diese Richtlinie sollte klar umreißen, was beim Senden und Empfangen von Dateien, bei der Kommunikation mit Personen innerhalb und außerhalb deines Unternehmens und beim Umgang mit sensiblen Unternehmensdaten zulässig ist und was nicht.

Vermeide die Nutzung ungesicherter WiFi-Hotspots

Ungesicherte WLAN-Netzwerke, die du oft an öffentlichen Plätzen findest, sind eine wahre Goldgrube für Hacker, die private Informationen stehlen wollen. Auf ein ungesichertes WLAN-Netzwerk kann man normalerweise ohne jegliche Sicherheitsvorkehrungen wie ein Passwort oder Login zugreifen. Im Gegensatz dazu muss man bei einem gesicherten WLAN-Netzwerk den rechtlichen Bedingungen zustimmen, ein Konto registrieren oder ein Passwort eingeben, bevor man sich verbindet. Aber auch gesicherte öffentliche Netzwerke können riskant sein, daher sollten Mitarbeiter sie mit Vorsicht nutzen.

Vermeide es, auf Links von Pop-ups und unbekannten E-Mails zu klicken.

Hüte dich vor Phishing. Phisher versuchen, Mitarbeiter dazu zu verleiten, auf einen Link zu klicken, der zu einem Sicherheitsverstoß führen kann. Bösartige Links können eingebettete Viren oder Malware enthalten. Oft erscheinen diese Links in einem Pop-up-Fenster, einer E-Mail von einer nicht vertrauenswürdigen Quelle oder einer anderen Form der Kommunikation, die du nicht initiiert hast. Weise deine Mitarbeiter darauf hin, niemals auf verdächtige Links zu klicken oder Anhänge von E-Mail-Adressen zu öffnen, die sie nicht kennen.

Erstelle starke Passwörter

Das schwache Passwort eines Mitarbeiters hat das Potenzial, nicht nur die persönlichen Daten des Mitarbeiters zu kompromittieren, sondern auch die sensiblen Daten des gesamten Unternehmens. Jedes Jahr veröffentlicht SplashData eine Liste mit den 50 schlechtesten Passwörtern, und jedes Jahr führen Passwörter wie "123456" und "password" die Liste an. Passwörter sollten mindestens acht Zeichen lang sein und Buchstaben, Zahlen und mindestens ein Sonderzeichen enthalten. 

Vermeide es, deinen Namen, den Namen deines Haustieres, den Namen deiner Kinder, den Geburtstag deiner Kinder und alles, was die Leute leicht auf deinem Social Media Profil finden können, zu verwenden. Zu guter Letzt sollten Passwörter alle ein bis drei Monate aktualisiert werden, um das Risiko zu verringern, dass dein Konto gehackt wird.

Verwende Multifaktor-Authentifizierung

Bei der Multifaktor-Authentifizierung (MFA) werden zwei oder mehr unabhängige Anmeldeinformationen kombiniert, um sich in ein Konto einzuloggen oder auf Daten zuzugreifen. Dies kann den Namen und das Passwort eines Benutzers mit einer zusätzlichen Verifizierung wie einem Fingerabdruck, einer Sicherheitsfrage oder einem Verifizierungscode, der in einer Textnachricht an das Mobiltelefon eines Mitarbeiters gesendet wird, beinhalten.

MFA schafft eine mehrschichtige Verteidigung, die es für Hacker schwieriger macht, in Computergeräte, Datenbanken oder das unternehmensweite Netzwerk einzubrechen. Wenn ein Faktor kompromittiert wird, haben die Cyberkriminellen immer noch mindestens eine weitere Barriere zu überwinden, bevor sie erfolgreich auf die privaten Daten zugreifen können.

Sei vorsichtig bei Software-Downloads

Viele Mitarbeiter glauben naiv, dass ein Software-Download von einer vertrauenswürdigen Marke sicher ist, aber das Internet ist voll von Seiten, die Software-Downloads anbieten, die sich als bekannte Marken tarnen. Diese bösartigen Downloads können Malware, Trojaner, Spyware, Würmer oder andere Arten von Viren enthalten. Setze eine Download-Richtlinie auf und stelle sicher, dass jeder Mitarbeiter das Protokoll für das Herunterladen von Software auf seinem Laptop und seinen Smart Devices versteht. Um das Risiko zu verringern, kann die IT-Abteilung auch Downloads auf Firmengeräte beschränken.

Geräte, Server und Datenspeicher virtuell und physisch sperren

Mitarbeiter sollten ihre Geräte immer sperren, wenn sie sie unbeaufsichtigt lassen, besonders wenn sie in öffentlichen Räumen arbeiten. Das bedeutet, den Bildschirm zu sperren, wenn du weggehst und sicherzustellen, dass das physische Gerät nicht gestohlen werden kann. Stelle sicher, dass die Einstellung "Automatisches Sperren bei Nichtgebrauch" aktiviert ist und dass Programme so eingestellt sind, dass sie sich aggressiv ausschalten, wenn sie nicht benutzt werden. Zusätzlich zu den arbeitsbezogenen Geräten der Mitarbeiter sollten auch Serverräume und Datenspeicher, die sensible Informationen enthalten, sicher verschlossen werden.

Nächstes Kapitel:

Wie man die Team-Produktivität für hybride Teams steigert


Willst du Insider-Tipps?

Werde INSIDER, es geht um DICH!
Die Digitale-Community von Gleichgesinnten kommt zusammen und wird am lebendigsten durch das E-Mail-Abonnement.
 

Sichere dir Neuigkeiten, Ideen und Inspiration rund ums Thema Digitalisierung. Exklusiv und aus erster Hand. Dazu Blogartikel, Whitepapers, Buchtipps, Einladungen, Best Practice, Podcast und vieles mehr.