Der Wechsel vieler Mitarbeiter in das Home Office zu Beginn der Corona-Kontaktbeschränkungen ging oft überhastet vonstatten. Die Gefahr besteht nun, dass bei Rückkehr ins Unternehmen Schadcode-infizierte Geräte die Sicherheit des Netzwerks beeinträchtigen.
Von Nicolas Casimir, EMEA CISO Zscaler
In der IT-Sicherheit ist eine ‚Logic Bomb‘ ein schädlicher Code, der in eine Software oder ein System eingeschleust wird und dessen Funktion nur dann ausgelöst wird, wenn bestimmte Bedingungen erfüllt sind. Diese ‚Zeitbomben‘ werden von Viren, Würmern, Trojanern und Ransomware eingesetzt, um den Schaden im Unternehmensnetz zu maximieren und eine frühzeitige Entdeckung zu vermeiden. Ein solcher Angriff im Herzen des Netzwerks hat größere Folgen, als ein Angriff auf einen Home Office-Arbeitsplatz.
Die Corona-Krise hat die perfekten Voraussetzungen für Cyberkriminelle geschaffen, um diesen Angriffsmechanismus ins Auge zu fassen: Tausende Angestellte wechselten mit Beginn der Kontaktbeschränkungen zum Arbeiten an den heimischen Schreibtisch und nutzten tragbare Geräte und häufig VPN-Zugänge, um von dort arbeiten zu können. Die Computer und Smartphones sind dabei im heimischen Netzwerk angemeldet, das in der Regel schlechter abgesichert ist, als ein Unternehmensnetzwerk und damit ein leichteres Ziel für Cyberkriminelle darstellt.
Hinzu kommt, dass viele Angestellte auf private Geräte zugreifen mussten, weil ihre Unternehmen nicht genügend Laptops zur Verfügung stellen konnten. Potenziell lauern also Hundertausende ‚Dirty Devices‘ darauf, endlich in das Unternehmensnetzwerk gebracht zu werden. Die Angreifer müssen die vielen tragbaren Geräte lediglich mit ihrem Schadcode infiltrieren und darauf warten, dass die betroffenen Mitarbeiter ins Büro zurückkehren und das Gerät dort mit dem Unternehmensnetzwerk verbinden. In diesem Moment kann die „Logic Bomb“ detonieren und ihren weiteren Angriff im Herzen des Netzwerks starten.
Unternehmen müssen also dringend eine Strategie entwerfen, wie sie mit dieser Bedrohung umgehen wollen, bevor alle Mitarbeiter wieder regelmäßig ins Büro zurückkehren. Der wichtigste Grundsatz aller Überlegungen sollte sein: Traue keinem Gerät, dass außerhalb des Unternehmens im Einsatz und mit fremden Netzwerken verbunden war. Vor der erstmaligen Verbindung mit dem Firmennetzwerk sollte jedes Gerät überprüft, aktualisiert und mit neuen Passwörtern versehen werden. Zudem sollte sämtliche Software darauf auch künftig nur in Versionen installiert sein, die als stabil gelten und vom Unternehmen freigegeben wurden. Das sind die wichtigsten kurzfristig anwendbaren Handlungsempfehlungen aus dieser Home Office-Zeit.
Mittelfristig empfiehlt sich ein Umdenken. Durch die Telearbeit ist es angeraten, dass die Sicherheitsinfrastruktur über den klassischen Netzwerkperimeter hinaus ausgeweitet wird. Der neue Perimeter ist tatsächlich jeder einzige Anwender, eine Anwendung, auf die zugegriffen wird und das dafür eingesetzte Gerät. Um den Security Status von Netzwerken in der heutigen Situation zu erhöhen, Sicherheitsprobleme mit mobilen Geräten zu vermeiden und Verwaltungsaufwand für Rückkehrer ins Büro zu reduzieren, empfiehlt sich der Umstieg auf ein Zero Trust Konzept. Mit einem solchen Ansatz erhält jedes Gerät nur direkten Zugriff auf bestimmte Anwendungen auf Basis einer autorisierten User Identität. Die übrige Netzwerkstruktur bleibt verwehrt und sogar völlig unsichtbar, was die laterale Ausbreitung von Hackerangriffen und Malware im Netz unmöglich macht.
Die Malware-Gefahr in der Situation der Kontaktbeschränkung ist real. Sicherheitsforscher des Zscaler ThreatLabZ-Teams fanden heraus, dass Attacken, die einen Corona-Bezug hatten, von Januar bis April um 30.000 Prozent zunahmen. Allein im März entdeckten sie 380.000 Angriffe – im Unterschied zu lediglich 1.200 im Januar. Die Wahrscheinlichkeit ist also hoch, dass einige mobile Geräte – private und geschäftliche – infiziert wurden. Sie sind tickende Zeitbomben.