Der Punkt Sicherheit bei Remote Working
Die wichtigste, unverzichtbare Funktion bei der Arbeit von zu Hause aus ist die Sicherheit. Wenn sich ein Mitarbeiter von außerhalb des Büros anmeldet, muss er dies über eine geschützte Verbindung tun. Nicht nur, um sich selbst zu schützen. Sondern auch, um sein Unternehmen vor finanziellen Schäden und Folgen von Cyberangriffen zu schützen.
Die Antwort darauf, wie diese sichere Verbindung hergestellt werden kann, ist häufig ein VPN. Auf dem Papier scheint es zuverlässig genug zu sein: Die IT-Abteilung richtet die Verbindung ein, die Mitarbeiter nutzen sie und, voilà, sie sind sicher.
Dabei werden jedoch häufig auftretende Probleme mit einem VPN ignoriert. Anstatt die Sicherheit von Remote-Mitarbeitern zu gewährleisten, geben VPNs Unternehmen in der Regel nur die Illusion einer vollständigen Sicherheit, wodurch verteilte Teams weniger sicher sind.
Sind alle immer verbunden?
Ein wichtiges Problem bei diesem Setup ist, dass die vollständige Einhaltung der Vorschriften durch die Mitarbeiter erforderlich ist, damit ein VPN auch funktioniert. Die Verbindung bietet nur dann Sicherheit, wenn die Mitarbeiter tatsächlich eine Verbindung zum Netzwerk herstellen. Ohne diese Verbindung schützt nichts ihre Kommunikation vor Hackern.
Natürlich sagen Unternehmen ihren Mitarbeitern, dass sie bei der Arbeit von zu Hause immer ein VPN verwenden sollen. Trotzdem kommt es immer wieder vor, dass diese Unternehmensrichtlinien nicht wirklich befolgt werden. Angenommen, ein Mitarbeiter verschläft morgens und vergisst, eine Verbindung zum VPN herzustellen, wenn er sich rasch anmeldet. Oder nehmen wir an, er muss außerhalb der Geschäftszeiten schnell einen VoIP-Anruf bei einem Kollegen tätigen. Dazu möchte er keine erneute Verbindung zum VPN herstellen.
Die Folgen dieser Fehler können natürlich schwerwiegend sein. Jedoch ist das Problem, dass es sich um einfache, menschliche Fehler handelt, die daher bei Verwendung von VPNs umso leichter passieren können.
Aber das ist nicht alles
Ein weiterer Faktor bei VPNs ist, dass sie die Bandbreite belasten können.
Da VPNs ein privates Netzwerk innerhalb einer vorhandenen Internetverbindung erstellen und alle darüber gelieferten Dateien verschlüsseln, steigt die Datennutzung über ein VPN um 10 bis 15%. Und für diejenigen Mitarbeiter, die zu Hause eine schlechte Internetverbindung haben, kann selbst ein derartig geringer Anstieg katastrophal sein. Während es Möglichkeiten gibt, die Bitraten in einem Heimbüro zu verbessern, bringen diese Methoden letztendlich nur bedingt Abhilfe.
Wenn also ein Download schlecht läuft oder die Qualität eines Videoanrufs abnimmt, ist es für einen Smart Worker sehr verlockend, sein VPN auszuschalten, um dies zu kompensieren (ja, selbst wenn die Sicherheitsstandards des Unternehmens etwas anderes vorschreiben).
“Alles oder nichts”-Schutz
Nehmen wir jedoch an, dass alle Mitarbeiter im Home Office das VPN gemäß der Standards verwenden. Würde das einem Unternehmen mit verteilten Teams absolute Sicherheit bringen?
Nicht ganz. Denken Sie daran, dass ein VPN, unabhängig davon, wie sicher Sie Ihre private Netzwerkverbindung machen, nur eine Schutzschicht gegen Hacker darstellt. Sobald sie verletzt ist, können Hacker die Kommunikation beliebig abfangen, als wären sie Teil des angestellten Teams. Es ist die offensichtlichste Form einer „alles oder nichts“- Sicherheit, ohne echte Sicherheitsvorkehrungen nach diesem anfänglichen Verbindungszugriff.
Dies bedeutet, dass das Erhalten von Zugangsdaten für VPNs eine wahre Goldmine für Hacker ist, da sie als Express-Ticket für die gesamte Kommunikation Ihres Unternehmens dienen. Ironischerweise bietet die Verwendung eines VPN den Tätern von Cyberangriffen eine einfache Blaupause für den Angriff auf eine Unternehmensverbindung.
Vertrauen Sie Ihrem Provider?
Auch für Hacker ist es keineswegs unmöglich, VPN-Anmeldeinformationen zu erhalten. Alles, was Hacker tun müssen, ist, direkt zur Quelle zu gehen: dem VPN-Anbieter.
Es ist ein Grundmerkmal von VPNs, dass der Netzwerkanbieter alle Informationen für die Anmeldung im Netzwerk innehat. Leider ist dieses Vertrauen nicht immer gerechtfertigt, wenn man bedenkt, dass die Mehrheit der Unternehmen 2018 einen Datenleck bei Drittanbietern erlebt hat. (Bedenken Sie auch, dass selbst der bekannte VPN-Anbieter NordVPN eine massive Datenschutzverletzung erlitten hat.)
Angesichts der Tatsache, dass ein VPN-Setup Unternehmen nur eine Schutzschicht gegen Hacker bietet, bedeutet dies, dass der Anbieter effektiv das einzige Bollwerk ist, das Ihr gesamtes Netzwerk schützt. Wenn dies ein Grund zur Beunruhigung zu sein scheint, sollten andere Optionen in Betracht gezogen werden.
Nach Alternativen zu VPNs suchen
Was sind also diese anderen Optionen?
Anstatt die gesamte Unternehmenskommunikation über einen speziell hergestellten sicheren Server zu leiten, ist es sicherer und bequemer, Security Standards für alle Kommunikationen direkt beim ersten Senden aufzusetzen. Dies bedeutet, Sicherheitsmethoden wie Verschlüsselung, private End-to-End-Verbindungen und andere Schutzmaßnahmen einzubeziehen, die direkt in die Kommunikationsplattform des Unternehmens integriert sind. Dieser „secure-by-design“-Ansatz wird hier ausführlicher erläutert.
Da Smart Working zum operativen Rahmen für Unternehmen wird, ist es wichtiger denn je, die vollständigen Auswirkungen der von Ihrem Unternehmen verwendeten Sicherheitsmethoden vollständig zu verstehen. Und im Fall von VPNs zu verstehen, warum es ratsam ist, nach Alternativen zu suchen.
