Cybersicherheitsanforderungen berücksichtigen
Der große Remote-Working-Test – und welche Fragen man sich jetzt stellen sollte
Angst vor Kontrollverlust: Manch ein Arbeitgeber mag vielleicht soweit gehen eine Fernüberwachungssoftware einzusetzen, um sicherzustellen, dass die Mitarbeiter "tatsächlich arbeiten"
Von Tim Mackey, Prinicipal Security Strategist, Synopsys Cybersecurity Research Center (CyRC)
Für Teams, die daran gewöhnt sind, in Büroumgebungen zu arbeiten und Kollegen in der Nähe zu haben, wird die Entfernung natürlich zur Herausforderung. Per definitionem gilt das sicherlich für diejenigen, die in Paarprogrammierung arbeiten oder deren Teams ihre Arbeit beispielsweise um Ideation Pods herum strukturieren. Wie uns aktuell besonders bewusst wird, entziehen sich Mitarbeiter, die außerhalb des Unternehmens arbeiten auch der Kontrolle der IT. Das heißt aber nicht, dass die IT jetzt den Zugang einschränken und dadurch auf die Geschwindigkeitsbremse treten sollte. Sie sollte vielmehr die Arbeit erleichtern, und verhindern, dass Mitarbeiter sich andere (eigene) Wege suchen.
Menschen bevorzugen unterschiedliche Arbeitsmodelle. Die einen suchen nach individuellen Modellen, bei denen ihnen flexible Arbeitszeiten helfen, besonders produktiv zu sein, ohne an einem bestimmten physischen Standort gebunden zu sein. Diese Option ist so ziemlich das genaue Gegenteil zu denjenigen, die lieber in einer Büroumgebung arbeiten und deren Arbeitspraktiken um soziale Zusammenarbeit herum aufgebaut sind. Man sollte die unterschiedlichen Arbeitsstile kennen. Denn darin liegt der Schlüssel zur maximalen Produktivität, wenn ein Arbeitsstil plötzlich allen aufgezwungen wird.
Wenn Sie an Remote-Working-Modelle gewöhnt sind, betrachten Sie die Arbeit als eine Reihe von Aufgaben und nicht als Zeitaufwand. Im Laufe des Tages unterbrechen Sie üblicherweise die Arbeit und Sie arbeiten nicht unbedingt acht Stunden durchgängig. Einige verbringen im Laufe eines Monats den Großteil ihrer Zeit vielleicht in unterschiedlichen Zeitzonen. Dann gewährt dieses Modell ihnen die Flexibilität, unabhängig von Flugplänen, Projekten oder Rednerverpflichtungen produktiv zu bleiben. Zumindest grundsätzlich. Wer wie jetzt gerade, in ein Fernarbeitsmodell gezwungen wird, hat vielleicht noch nie genau darüber nachdenken müssen was ihn produktiv macht und worin grundsätzliche Herausforderungen bestehen.
Zum Beispiel, wenn die Homeoffice-Umgebung weit vom Idealzustand entfernt ist. Oder wenn Kinder oder Haustiere einen Teil ihrer Aufmerksamkeit beanspruchen. Oder der Küchentisch zum improvisierten Home Office wird. Diese Ablenkungen zu bewältigen wird für diejenigen, die an vorhersehbare Büroumgebungen gewöhnt sind, leicht zu einem Kraftakt. Auch aus der Perspektive des Arbeitsmanagements bestehen Unsicherheiten. Wer als Führungskraft bisher sehr genau wusste, was für jeden einzelnen Mitarbeiter ansteht, der erlebt jetzt einen Kontrollverlust. Manch ein Arbeitgeber mag vielleicht soweit gehen eine Fernüberwachungssoftware einzusetzen, um sicherzustellen, dass die Mitarbeiter "tatsächlich arbeiten".
Wenn man die potentiellen Auswirkungen solcher Softwarelösungen auf Privatsphäre und Arbeitsmoral einmal ignoriert, ist es wichtig zu erkennen, dass sich die Angst von Führungskräften direkt auf die Mitarbeiter überträgt. Jeder Arbeitnehmer hat unabhängige Zeitpläne und Feedback-Modelle ändern sich. Unter solchen Voraussetzungen mögen Mitarbeiter sich fragen, ob sie überhaupt in der Lage sind, die in sie gesetzten Erwartungen zu erfüllen.
Die Aufgabe einer Führungskraft besteht jetzt darin, ihren Mitarbeitern die Sorge zu nehmen, dass sie tatsächlich die Erwartungen im Rahmen einer "neuen Normalität" erfüllen. Gleichzeitig müssen Vorgesetzte sicherstellen, dass die Aufgaben entsprechend der individuell einzigartigen Situation ihrer Mitarbeiter richtig verteilt werden. Schulen und Kitas sind geschlossen. Von wem als Eltern erwartet wird, in täglichem Kontakt mit den Lehrern zu stehen und das Schuljahr von zu Hause aus fortsetzen, der wird kaum das erledigen können, was sonst an einem vollen Arbeitstag machbar ist. Solche Arbeitnehmer sind gerade vollzeitbeschäftigte Arbeitnehmer und minimal teilzeitbeschäftigte Lehrkräfte gleichzeitig. Diejenigen, die es gewohnt sind, sich auf technische Problemlösungen zu konzentrieren, brauchen vielleicht mehr Zeit für das Umsetzen von Produktänderungen als gewohnt.
Wer neue Paradigmen für das Management und anfallende Arbeitsaufgaben definiert, muss diese Veränderungen auch bei den IT- und Cybersicherheitsanforderungen berücksichtigen. Ein Beispiel ist der Zugriff auf Kundendatenbanken. Wie werden diese Daten auf dem heimischen Computer gesichert? Wenn der Arbeitgeber von einem Firmen-Laptop aus arbeitet, ist dieser Laptop wahrscheinlich gesichert. Vorausgesetzt, er ist regelmäßig an das Unternehmensnetzwerk angeschlossen. Änderungen bei den Sicherheitsrichtlinien und Kennwortrücksetzungen müssen eventuell zurückgestellt werden, bis der Laptop wieder im Unternehmen ist. Im Moment sieht es ganz danach aus, dass uns "Stay at home" noch eine Weile begleiten wird. Auch wenn die Unsicherheit groß ist, sollte man prüfen wie man weiter verfahren will, sollte der Shut down länger andauern.
Probleme bereiten nicht selten die technischen Voraussetzungen. Heimnetzwerke sind kaum so gut abgesichert wie ihre Unternehmensverwandten. Und wenn eine komplette Familie die zur Verfügung stehende Bandbreite nutzt, kann es bei zusätzlichen Videokonferenzen zum Engpass kommen. Längst hat auch diese Krise die Aufmerksamkeit von Kriminellen auf sich gezogen, die von der Not anderer profitieren wollen. Da selbst IT- und Sicherheitsteams überwiegend remote arbeiten, ist das, was eine normale Netzwerktopologie ausmacht inzwischen alles andere als normal. VPNs, eigentlich für den Notfall oder für eine begrenzte Anzahl von Remote-Mitarbeitern ausgelegt, sind aktuell schnell überlastet, ebenso wie die Netzwerke, die sie unterstützen. Cyberkriminelle können ein Unternehmen direkt über einen Denial-of-Service-Angriff auf die VPN-Verbindung schädigen.
Über die Unterstützung der allgemeinen Belegschaft hinaus sollte jedes Team die sicherheitsrelevanten Veränderungen in seinen Prozessen identifizieren. Beispielsweise besteht die Möglichkeit, dass Software-Entwickler, die außerhalb der Corporate-Governance-Grenzen arbeiten, versehentlich Code integrieren, der Angriffe auf die Lieferkette erlaubt. Das ist etwa der Fall, wenn ein Angreifer eine populäre legitime Software mit bösartigem Code infiziert. Beim Herunterladen von Software ist es oft nicht ganz einfach, eine legitime Quelle von einer Quelle zu unterscheiden, die Code enthält, den die Autoren nicht in ihre offiziellen Veröffentlichungen aufgenommen haben. Diese Tatsache machen Cyberkriminelle sich zunutze.
Jedes dieser Szenarien wirft Fragen auf, denen sich Führungskräfte aus der Wirtschaft stellen und die sie anhand von Bedrohungsmodellen mit ihren IT- und Cybersicherheitsteams durchspielen sollten. Während die meisten Anbieter von Sicherheitslösungen damit beschäftigt sind, ihre Tools zu bewerben und ihre Varianten eines Weltuntergangsszenarios zu präsentieren, ist es in Wirklichkeit unmöglich, sich gegen das Unbekannte richtig zu verteidigen.
Wenn man erkennt, dass die Angreifer die Regeln für ihre Attacken festlegen, sollte man dafür sorgen, dass man nicht zu einer leichten Beute wird. Bedrohungsmodelle zu erstellen, um die Situation bewerten zu können, ist etwas, das jedes Team tun kann. Wenn man sich diese Fragen stellt, darf man sich durchaus von einer leichten Berufsparanoia leiten lassen. Angesichts des ungewissen Endes von "Stay at home" ist es eine ausgezeichnete Investition bestehende IT-Schwachstellen zu identifizieren, bevor es andere tun. (Synopsys Cybersecurity Research Center (CyRC): ra)
eingetragen: 01.05.20
Newsletterlauf: 31.08.20
Synopsys Software Integrity Group: Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.
