Im ersten Band der Spiderman Comics wird der schüchterne Normalo Peter Parker von einer Spinne gebissen und mutiert zum Superhelden mit Spinnenkräften. Anschließend wird er ständig mit neuen Herausforderungen und Erzfeinden wie dem grünen Goblin oder Venom konfrontiert. Auch im realen Leben lauern auf Sicherheitsexperten erhebliche Gefahren, wie im folgenden Beitrag von Imbit beschrieben.

Durch verschiedene Wendungen des Schicksals, sei es Corona oder ein massiver Cyber-Angriff, kann sich für ein Unternehmen oder eine ganze Gesellschaft alles schlagartig ändern. Peter Parker nimmt seine Herausforderung an und wird zu Spiderman. Von ihm können Admins eine Menge über modernes Arbeiten und IT-Sicherheit lernen.

Jeder, der einen Büro-Arbeitsplatz hat, hat es inzwischen gemerkt: Arbeitsplätze verändern sich. Das ist nicht erst seit Corona so, aber die Pandemie hat diese Entwicklung beschleunigt. Auch bei den Herstellern und Marken hat sich ein Wandel vollzogen: Denn es ist weniger entscheidend, welche Technik man physisch und lokal im Einsatz hat.

Viel wichtiger ist heute die Softwarelösung, die oben beschriebene Anforderungen ermöglicht. Es kommt Bewegung in den Herstellermarkt. Verliert die Hardware an Bedeutung und gewinnt die Software, verkleinert sich auch der Markt, den nur noch wenige Hersteller dominieren. Lokal installierte Programme ersetzen wir zunehmend durch Apps und Services, die unabhängig von Ort und Endgerät nutzbar sind. Unsere Daten und Prozesse verlagern wir in die Cloud. Alles folgt dem Motto: einfacher, automatisierter, digitalisierter. So weit, so gut.

Herausforderung für Cybersicherheit

Doch während alle ins Homeoffice verschwanden, führte die rapide Zunahme der Heim- und der mobilen Arbeit zu einer völlig neuen und heterogenen IT-Infrastrukturkonfiguration. Diese umfasst alles: Heim-Internet, persönliche mobile Geräte und Tools. IT-Abteilungen auf der ganzen Welt standen vor einer Herausforderung nie gekannten Ausmaßes: Für diese dezentrale und teils neue Cloud-IT-Infrastruktur sollten sie ein Höchstmaß an Sicherheit gewährleisten.

Der Büro-Schreibtisch wird so zu einem Cloud-Arbeitsplatz. Das „Ökosystem Cloud“ bedeutet erweiterte und auch neue Anforderungen an die IT-Sicherheit. Und damit an die Sicherheit für das Unternehmen. Dessen sensible Daten müssen stets geschützt bleiben. IT-Abteilungen müssen neue Wege finden, um diesen Spagat zu meistern: Sicherheit für das Unternehmen bei gleichzeitiger dezentraler Verfügbarkeit der Daten für alle Zugriffsberechtigten. Gelingt das nicht, haben alle ein Problem.

Cyberkriminalität ist ein Problem für die gesamte Gesellschaft

Jährlich entsteht der deutschen Wirtschaft ein Gesamtschaden von 223 Milliarden Euro. Allein durch Cyberkriminalität. Damit erreichen kriminelle Attacken, sei es Diebstahl, Spionage oder Sabotage, einen neuen Rekord. In 2020/2021 waren neun von zehn Unternehmen (88 Prozent) von Cyberangriffen betroffen. Vor allem Fälle von Erpressung haben massiv zugenommen – verbunden mit der Sabotage von IT- und Produktionssystemen und der Störung von Betriebsabläufen. Der Name für diese Art des Angriffs: Ransomware-Attacke.

Um den veränderten Sicherheitsrisiken Rechnung zu tragen, müssen Unternehmen ihre Sicherheitskonzepte auf die Herausforderungen des „neuen Normalzustands“, d. h. heterogene IT-Infrastrukturen, Remote-Zugriffsmanagement, unwirksame physische Perimetersicherheit und sichere Informationsweitergabe sowie Zusammenarbeit in der Cloud, anpassen und einführen.

„never trust and always verify“

Die Herausforderungen der Digitalisierung sind kaum mehr technische. Von der Anbindung an Glasfaser mal abgesehen. Denn die technischen Lösungen sind vorhanden. Nun geht es vielmehr darum, neue Strategien zu entwickeln und diese nachhaltig zu integrieren. Unternehmen müssen ihre Mitarbeiter in diese Veränderungsprozesse einbeziehen, sie mitnehmen und mit ihnen zusammen den neuen Weg gehen. So erkennen sie die Verantwortung, die jeder einzelne trägt, verstehen die Notwendigkeit und die Vorteile und nehmen die neuen Lösungen an. Der Mindchange ist eine grundlegende Veränderung: Der Grundsatz „Mein Schreibtisch, meine Ablage, mein lokaler Desktop“ gilt nicht mehr. An diese Stelle tritt das kollaborative Arbeiten, auf einer gemeinsamen, digitalen Plattform.

Und dabei gilt: Zero Trust – Vertraue keinem Endgerät pauschal, nur noch deinen Anmeldedaten. Das ist ein wirkungsvoller erster Ansatz für die Cybersicherheit, der Unternehmen hilft die Integrität und Sicherheit ihrer Daten und Vermögenswerte außerhalb des Perimeters über eine Reihe von Geräten hinweg zu schützen.

Die fünf Spiderman Lektionen

#1 Suche nach Verbündeten

Und nun kommt Spiderman ins Spiel. Die erste Lektion, die wir von unserem Superhelden lernen können, ist: Suche nach Verbündeten und nutze Ihre Kraft. Die Kehrseite des kollaborativen Ansatzes ist, dass Unternehmen mit einem Tool bzw. einem Service alles auf eine einzige Karte setzten. Das Thema Sicherheit müssen sie daher neu denken. Auch hier muss das Unternehmen seine Belegschaft aufklären und sensibilisieren. Das geht am besten mit Security Awareness-Schulungen, die nachhaltig konzipiert und in regelmäßigen Abständen durchgeführt werden. Das Ergebnis: jedes Teammitglied ist mit geschärften Sinnen unterwegs und damit Teil der menschlichen Verteidigungslinie des Unternehmens. IT-Sicherheit ist damit keine Aufgabe mehr allein von IT-Abteilungen. Sondern eine Gesamtaufgabe und damit die Verantwortung jedes einzelnen. So setzt jeder seine „Superkräfte“ zum Wohle der Gemeinschaft ein und beschützt sie vor großem Unheil.

#2 Spinne ein Sicherheitsnetz

Ein digitales Büro ist immer von einer stabilen Internetleitung abhängig. Gibt es Probleme mit dem Provider, der Geschwindigkeit oder der Bandbreite, ist die Produktivität eines Unternehmens gemindert. So gilt auch im neuen Normalzustand von dezentralem cloudbasiertem Arbeiten: „Kein Back-Up, kein Mitleid“. Zum Absichern der Firmen- und Projektdaten müssen Unternehmen Redundanzen schaffen. Und damit sind wir bei der zweiten Lektion, die wir von Spiderman lernen: Spinne ein Sicherheitsnetz, das dich bei Problemen auffängt. So geht nichts verloren und eine lückenlose Wiederherstellung der Daten ist jederzeit möglich.

Beim Bewusstseinswandel in der Belegschaft sind nämlich auch IT-Mitarbeitende mitgemeint. Denn auch hier wächst der Verantwortungsgrad. Wo es vorher rollenbasierte Admins gab, also klar festgelegt war, wer für welche Bereiche zuständig ist und an welchen Punkten die Zuständigkeit endet, so ist die Administration der neuen Systeme viel globaler angelegt. Eine einzelne Person verfügt somit über viel mehr Rechte in sämtlichen Bereichen. Wo jeder einzelne mehr Verantwortung trägt, stellt sich die Frage nach der wahren Identität.

#3 Schütze deine wahre Identität

Das Identitätsmanagement genoss bislang keine hohe Priorität. Unternehmenslösungen waren bisher nur auf Zugriffe vor Ort und innerhalb des Unternehmens ausgerichtet. Und „innerhalb des Unternehmens“ bedeutete bis vor Kurzen noch „im Unternehmensgebäude“. Und damit in einem lokalen Netzwerk. Doch diese Prämisse ist nicht mehr gültig. In der Welt nach COVID-19 arbeiten wir von überall. Wir lösen die physischen Grenzen zwischen innerhalb und außerhalb des Unternehmens auf – und öffnen Cyberschurken Tür und Tor. Eine Studie von Gartner hat ergeben, dass ein Drittel der Sicherheitsangriffe auf die Cloud-Infrastruktur von Unternehmen auf eine unzureichende rollenbasierte Zugriffskontrolle zurückzuführen ist.

Nun gewinnt ein vertrauenswürdiger Zugriff an Bedeutung. Damit schlägt sie Stunde des Identitätsmanagements, des Stiefkinds der Admins. Schütze deine wahre Identität, lautet daher unsere dritte Lektion. Denn ein einfacher Benutzername und ein sicheres Passwort mit Zahlen, Buchstaben und Sonderzeichen reicht nicht mehr – zu groß sind die Kräfte der Cyber-Erzfeinde. Dagegen hilft eine bislang wenig beachtete Superkraft der IT: Die Zwei-Faktor-Authentifizierung.

#4 Näh dir dein eigenes Kostüm

Schnelle Lösungen sind zwar verlockend, machen die Out-of-the-Box-Lieferungen ein schnelles, produktives Arbeiten möglich. Für die Unternehmens-IT bedeutet es aber, Lösungen immer selbst noch einmal kritisch zu prüfen. Und nicht die Standardeinstellungen ungeprüft zu übernehmen. Hier muss immer ein Abgleich stattfinden: Welche Anforderungen, beispielsweise in Compliance oder Sicherheit, besteht im Unternehmen? Welche Konfigurationen müssen dafür vorgenommen werden? Spiderman bestellt doch auch kein Kostüm bei Amazon. Er macht sich sein eigenes, individuelles.

Mit der Veränderung vom Arbeitsplatz und dessen Anforderungen, also die Entkopplung von festen Arbeitsplätzen hin zu virtuellen Arbeitsumgebungen, haben sich auch die Aufgaben von IT-Mitarbeitern und Consultants gewandelt und verändern sich weiter. Berater fungieren immer mehr als „Trusted Adviser“. Wo es früher um die Frage ging, welches physische Arbeitsgerät ist am schnellsten und effektivsten ist, geht es nun darum, ein sicheres Umfeld für die neuen Anforderungen zu schaffen. Und vor allem Sicherheitsrichtlinien für die Cloudnutzung, individuell auf die jeweiligen speziellen Bedürfnisse eines Unternehmens abgestimmt, zu definieren. Dreh- und Angelpunkt sind dabei die Zugriffsrechte. Gleichzeitig muss das neue Sicherheitskonzept auf die nun verteilten und unterschiedlichen Umgebungen angepasst sein und Endpoint-, Web- und E-Mail-Sicherheit sowie Netzwerkzugriffskontrolle umfassen. Um jedoch ein höheres IT-Sicherheitslevel zu erreichen und den Reifegrad der IT-Umgebung zu steigern, ist es wichtig zunächst eine Basis zu schaffen. Gerade im Bereich der KMU besteht großer Handlungsbedarf, um nicht doch Ziel von Cyberattacken zu werden. Und gemeinsam mit Ihrer Belegschaft eine sicheres, modernes, digitales Arbeitsumfeld zu schaffen. Der erste Schritt dorthin ist: Wie Spiderman die neue Herausforderung annehmen, um dann an ihr zu wachsen und zum Superhelden zu werden.

#5 Sei dir deiner Verantwortung bewusst

Die letzte und wichtigste Lektion, die wir von Spiderman lernen, lautet: Aus großer Macht folgt große Verantwortung. Sei dir daher deiner Verantwortung stets bewusst. Denn all die Maßnahmen allein reichen nicht aus, um dem virtuellen Bösen die Stirn zu bieten. Die größte und wichtigste Kraft liegt in jedem von uns: Ein verantwortungsvoller Umgang insgesamt und durch jeden einzelnen ist notwendig. So ist jeder selbst dazu angehalten, verantwortungsvoll mit seinen Logindaten umzugehen, die Sicherheitsrichtlinien seiner Organisation zu kennen und zu achten.

Als Peter Parker mit seinen neu gewonnen Superkräften einen Wrestling-Wettbewerb gewinnen will, lässt er auf dem Weg zur Arena einen Dieb laufen – denn das ginge ihn ja nichts an. Viel zu spät erkennt er, dass er die Verantwortung gehabt hätte, ihn aufzuhalten. Und Schlimmes zu verhindern. Jeder einzelne von uns kann Schlimmeres verhindern. Vorausgesetzt, die Unternehmen schaffen innerhalb der Belegschaft das Bewusstsein und die Verantwortung für das eigene Handeln.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago