#BusinessVsCovid19 - Fehlen deutschen Unternehmen wichtige Komponenten der IT-Sicherheit?

Wie viele E-Mails haben Sie in den letzten Wochen von der IT-Abteilung Ihres Unternehmens erhalten? Nutzen Sie Ihre persönlichen Geräte, um auf Firmen- oder Kundendaten zuzugreifen? Ist Ihnen der aktuelle Anstieg voni Angriffen auf die Cybersicherheit bekannt?

Ursula von der Leyen, Präsidentin der Europäischen Kommission, hat am Dienstag (24. März) das Thema der zunehmenden Cyber-Kriminalität in der EU hervorgehoben. Unternehmen auf der ganzen Welt haben ihre physischen Büros verkleinert und ihre Mitarbeiter auf virtuelle Arbeitsplätze verlegt. Dieser drastische Wechsel zum Homeoffice kam so abrupt, dass nur eine handvoll Cyber-Sicherheitsteams genügend Zeit hatten, sich darauf vorzubereiten. Gleichzeitig sind Unternehmen und Gesundheitseinrichtungen bereits ahnungslose Opfer der Cyber-Kriminalität geworden. 

Aktuelle Daten deuten auf eine Zunahme von Cyber-Sicherheitsdelikten und Angriffen auf private und geschäftliche Konten hin. Barracuda, ein IT-Sicherheitsunternehmen, hat einen Anstieg von Phishing-Angriffen um 667% von Februar bis März 2020 gemeldet. In diesem Artikel werfen wir einen umfassenden Blick auf die Risiken im Zusammenhang mit der Cybersicherheit, die die Geschäftswelt kennen sollte. Außerdem betrachten wir die Auswirkungen von Covid-19 auf die Cybersicherheit und verschaffen uns einen Überblick über die Reaktion der Branche durch die Brille eines in Berlin ansässigen Cybersicherheitsexperten - Pierre Pronchery.

Cybersicherheit: Was passiert gerade? 

Böswillige Angreifer zielen auf persönliche Anmeldedaten, die Übertragung sensibler Daten oder Gelder ab oder versuchen, über geschäftliche E-Mails (BEC) in wichtige Informationssysteme einzudringen. Ihre Aktivitäten sind vielfältig:

• Zunehmende Angriffe auf Gesundheitseinrichtungen: 

Krankenhäuser, Testzentren, Forschungs- und Entwicklungszentren und Einrichtungen, die medizinische Geräte herstellen, werden Opfer von Lösegeldangriffen - das bedeutet, dass sensible und kritische Daten von böswilligen Akteuren durch Verschlüsselung gesperrt werden und ihnen der Zugang verweigert wird, wenn kein Lösegeld gezahlt wird. 

• Phishing-E-Mails, die sich als staatliche oder internationale Ankündigungen ausgeben (Social Engineering)

Die WHO warnte vor Phishing-Angriffen, die scheinbar von ihnen ausgehen und um Spenden bitten, in Wirklichkeit aber dazu benutzt werden, um die Zugangsdaten von Einzelpersonen zu erlangen. Es wird von ähnlichen Versuchen berichtet, bei denen sich die Angreifer*innen als Vertreter*innen der Centers for Disease Control (CDC) ausgeben, die sich über "neueste Fälle in Ihrer Nähe" informieren und direkt auf eine Betrugsseite weiterleiten. 

• Ausnutzung von Schwachstellen im Heimbüro 

Die Geschäftskontinuität während der virenbedingten Einschränkungen hat zu einem enormen Ansturm auf die Heimarbeitsplätze geführt. Dies zwang die IT-Sicherheitsteams, den VPN-Zugang ohne die erforderlichen umfangreichen Tests einzurichten, was zu zweifelhaften Konfigurationen führte. Viele IT-Teams leiden zudem an krankheitsbedingten Ausfällen was die Schaffung einer robusten Sicherheit behindert. Infolgedessen hat sich der Diebstahl von Anmeldeinformationen von Remote-Benutzern aufgrund der großen Anzahl von Mitarbeiter*innen, die VPNs oder manchmal auch ihre eigenen Geräte verwenden, beschleunigt. 

Übersehen deutsche Unternehmen die Anforderungen an die Cybersicherheit?

Mein Interview mit Pierre begann damit, dass er sich überrascht zeigte, dass er nicht mehr Anfragen für die Überprüfung der IT-Sicherheitsinfrastruktur erhält. 

leverist.de: Was ist die unmittelbare Auswirkung von Covid -19auf Ihr Unternehmen ?
Pierre: Wir sehen drei wichtige Entwicklungen -  

• Ein Großteil unserer Arbeit findet vor Ort beim Kunden statt, um die Robustheit der IT-Systeme zu testen. Wir erleben eine Absage solcher Projekte. 
• Kunden, die Arbeiten an uns als Subunternehmer vergeben haben, sagen diese Projekte ab oder verschieben sie
• Viele Kunden, die wir aus der Ferne bedient haben, setzen ihre Zusammenarbeit fort. Wir helfen ihnen bei der Einrichtung einer sicheren Infrastruktur für Videokonferenzen und Online-Zusammenarbeit. 

Führen die Datenschutzgesetze in Europa zu unnötiger Komplexität?
leverist.de: Was sind die unmittelbaren Anliegen der Unternehmen, die Sie beraten? 
Pierre: Europäische Unternehmen müssen sich an strenge Datenschutz- und Vertraulichkeitsvorschriften halten. Ihre erste Priorität ist es, ihren Mitarbeiter*innen die Möglichkeit zu geben, aus der Ferne zu arbeiten. Während Unternehmen und Freiberufler*innen auf der ganzen Welt für Videogespräche über Zoom schwärmen, stehe ich dem persönlich skeptisch gegenüber. Meine Kollegen haben Bedenken über die Nutzung von Third-Party-Clouds für die Kommunikation geäußert, insbesondere von Nicht-EU-Anbietern. Besorgniserregend ist auch, dass die Software versucht, einen Fußabdruck zu hinterlassen, wenn man versucht, sie zu deinstallieren. Wir arbeiten daher an von uns selber gehosteten Lösungen.Derzeit implementieren wir eine commercial-finanzierte Open-Source-Software namens Jitsi. 

leverist.de: Was sind die Vorteile von Jitsi? 
Pierre: Es ist ein Open-Source-Projekt, was bedeutet, dass der Code der Software frei zugänglich und transparent ist. Firmen können ihn für ihre eigenen Unternehmen nutzen, Funktionen modifizieren und auf ihren eigenen Servern hosten, so dass die Daten nirgendwo extern gehostet werden und die Gespräche auf den eigenen Servern der Firma bleiben.

leverist.de: What are the benefits of using jitsi? 
Pierre: This is an open-source project meaning the source code for the software is completely open and transparent. Companies can brand it for their own companies, modify features and host it on their own servers so that the data is not hosted anywhere external and all conversations stay on the company´s own servers.

Positive developments emerging for the business community

leverist.de : What are some positive developments you see emerging for the business community?
Pierre: I see three positives emerging out of the crises - 

• We are identifying critical infrastructure - energy, mobility, water supply. This relies on people showing up for their work. So, we can learn from these industries how they are able to adapt to the changes and still keep their services up and running. 
  
• We are seeing a shift towards increased trust in employees. Companies can no longer micromanage their employees. So, it’s a test of how much can you trust your employees to manage their work and personal lives. Many companies who were skeptical about moving to flexible work, had to adopt it 100% and its leading to more freedom and trust at work.
  

• I see a shift towards smaller company offices and more support for setting up home offices in the near future. Companies are creating possibilities to work from home and support financially the right infrastructure to do that. 

Advice to companies 

leverist.de: What would be your advice to companies adapting to these changes? 
Pierre: There are short, medium and long-term measures to be taken by companies.

In the short- term, they should review their VPN configurations with external services as it is difficult for internal employees to identify all the flaws in their own systems. We talk about the 4eye principle where critical systems are reviewed by at least two experts. Companies should also aim to give as many company-owned devices to employees as possible as they are more secure and have fewer vulnerabilities. 

In the midterm, businesses need to improve the security of remote access systems and implement robust solutions for mobile device management. In the long-term, preparing support services like accounting and HR for more digitalization is essential. 

Pierre Pronchery is a Senior IT-Security Consultant and an accomplished Software Engineer. Freelancing for over a decade, he audits and advises leading companies in the Telecommunications, Finance, and Retail industries, and supports Open Source software and hardware communities. He is currently serving as Vice-President for the NetBSD Foundation and is the founder and CEO of Defora Networks GmbH, Germany.

By: 

Saptarshi Baksi 
Product Innovation and Marketing consultant – leverist.de | Design Thinker

rishiwrk@gmail.com | Linkedin