WFA ist ein schlechtes Omen für die Cybersicherheit

Die Kluft zwischen dem Ausmaß an Cybersecurity, das zwischen großen und kleinen Unternehmen zum Tragen kommen kann, scheint sich im Zuge der COVID-19-Pandemie vergrößert zu haben. Es gibt zwar wieder mehr Arbeitnehmer, die im Büro arbeiten, aber die Zahl derer, die regelmäßig im Homeoffice arbeiten, hat drastisch zugenommen. Das Problem ist, dass die meisten Menschen für kleinere Unternehmen arbeiten, die, wie sich herausstellte, während der Pandemie oft nicht viel für die Verbesserung ihrer Cybersecurity getan haben.

Eine von PC Matic, einem Anbieter von Antivirensoftware, durchgeführte Umfrage unter 5.800 Arbeitnehmern in den USA ergab, dass etwas mehr als ein Drittel (36 %) weiterhin remote arbeitet. Nur 39 % dieser Arbeitnehmer geben an, dass ihr Arbeitgeber ihnen ein Gerät zur Verfügung gestellt hat, mit dem sie von zu Hause aus arbeiten können, und 91 % geben an, dass ihr Arbeitgeber ihnen keine AV-Software für die von ihnen zu Hause verwendeten Geräte zur Verfügung gestellt hat.

Nun gehen sicher viele Arbeitgeber davon aus, dass die Angestellten versiert genug sind, um ihre eigene AV-Software zu erwerben und zu installieren. Die Umfrage zeigt jedoch auch, dass 38 % der Mitarbeiter kein virtuelles privates Netzwerk (VPN) nutzen. Die meisten geben auch an, dass sie keine IT-Unterstützung erhalten, wenn sie von zu Hause aus arbeiten.

Der Hauptgrund dafür, dass Mitarbeiter keinen Zugang zu den benötigten Cybersecurity-Technologien erhalten, ist, dass der Großteil der Arbeitskräfte in den USA bei kleineren Unternehmen beschäftigt ist, die nur über ein geringes Fachwissen im Bereich Cybersecurity oder über ein geringes Budget verfügen. Größere Unternehmen beginnen inzwischen, Zero-Trust-Best Practices zu implementieren, die hauptsächlich auf Tools und Plattformen für das Identitätszugriffsmanagement (IAM) basieren. Das Problem dabei ist jedoch, dass fast nichts mit Blick auf IAM einfach ist. Eine von Forrester Consulting im Auftrag von ForgeRock, einem Anbieter von IAM-Tools, und Google Cloud durchgeführte Umfrage unter 300 IT-Führungskräften ergab, dass eine Reihe von Problemen — von Herausforderungen bei der Bereitstellung bis hin zu mangelndem Fachwissen – die Einführung von IAM verzögert.

Beispielsweise geben 66 % der Befragten an, dass Prozessprobleme wie die Flexibilität und Agilität von IAM-Systemen und die Fähigkeit dieser Systeme, hybride Cloud-Welten zu unterstützen, ihre Einführung behindern. Darüber hinaus gaben 88% der Befragten an, dass technologische Probleme, wie z. B. eine begrenzte IAM-Funktionalität, mangelnde Skalierbarkeit der Produkte und die Unfähigkeit, Identität und Zugriff über aktuelle Anwendungen hinweg zu verwalten, die Einführung verhindern. Fast die Hälfte (48 %) nannte einen Mangel an Cloud-IAM-Expertise als Problem.

Die Wahrscheinlichkeit, dass ein kleineres Unternehmen IAM besser beherrschen kann als ein Unternehmen mit wesentlich mehr Ressourcen, geht gegen Null. Die Tatsache, dass die Sicherheit von IT-Umgebungen kleinerer Unternehmen deutlich geringer ist als die von größeren Unternehmen, ist nicht unbedingt neu, aber es ist auch klar, dass sich diese Kluft bald noch vergrößern wird. Die Herausforderung besteht darin, dass die meisten großen Unternehmen von einer Lieferkette abhängig sind, die aus einer schwindelerregenden Anzahl kleinerer Unternehmen besteht, die von Cyberkriminellen immer besser identifiziert und ins Visier genommen werden können. Ein Mitarbeiter eines kleinen Unternehmens, der von zu Hause aus mit einem drahtlosen Netzwerk arbeitet, das nicht einmal über ein VPN verfügt, ist heute das schwächste Glied der Cybersecurity in einer erweiterten Lieferkette.

Es besteht kein Zweifel daran, dass die gesamte WFA-Bewegung (Work from Anywhere, also Arbeiten von überall aus) eine größere Diskussion über die Cybersecurity nach sich ziehen wird. Einer weltweiten Umfrage von Lenovo zufolge gehen 83 Prozent der IT-Entscheidungsträger in den befragten Unternehmen davon aus, dass sie nach der Pandemie mindestens die Hälfte der Zeit remote arbeiten wird. Da sich immer mehr Menschen von überall aus bei Unternehmensanwendungen anmelden, wird die Zahl der Cybersecurity-Vorfälle zunehmen. Das Problem für die Cybersicherheitsteams größerer Unternehmen ist dabei, dass sie keinen wirklichen Einfluss auf das Verhalten der Mitarbeiter kleinerer Unternehmen ausüben können. Viele dieser Mitarbeiter haben häufig mit allen Arten von sensiblen Daten zu tun, die von größeren Unternehmen – ihren Kunden – stammen. Möglicherweise bedarf es einiger größerer Verstöße, bevor das gesamte WFA-Phänomen aus der Perspektive der Cybersecurity richtig adressiert wird. In der Zwischenzeit sollten versierte Cybersicherheitsteams darüber nachdenken, was es wirklich bedeutet, Zero-Trust-Best-Practices in einem erweiterten Unternehmensumfeld zu implementieren, das verschiedenste Einrichtungen umfasst, die aktuell über keine bedeutenden eigenen Cybersicherheitsfunktionen verfügen.