Eine der eindeutigen Auswirkungen der COVID-19-Pandemie besteht darin, dass sie viele Organisationen dazu gezwungen hat, auf Remote-Arbeit zurückzugreifen; und dies könnte einen unumkehrbaren Einfluss auf künftige Arbeitspraktiken – und die Widerstandsfähigkeit des Cyberspace – haben.
Die COVID-19-Krise wird sich zweifellos nachhaltig auf die Arbeitsweise der meisten Unternehmen auswirken, da das Arbeitsleben und die betrieblichen Strukturen gezwungen sind, sich dramatisch zu verändern. Eine der offensichtlichsten Veränderungen, die durch die COVID-19-Pandemie hervorgerufen wurde, ist die Zunahme der Remote-Arbeit. Diese Entwicklung, die durch die Notwendigkeit entstanden ist, den physischen Kontakt und die Ausbreitung von Infektionen zwischen den Menschen zu reduzieren, wird wahrscheinlich auch dann noch ein Merkmal des modernen Lebens bleiben, wenn das Schlimmste der Pandemie vorüber ist.
Ein Hauptgrund für diese sich verändernde Dynamik liegt darin, dass COVID-19 vielen Unternehmen die Vorteile der virtuellen Online-Kommunikation vor Augen geführt hat. Insbesondere haben viele Unternehmen gesehen, wie effektiv Remote-Arbeit sein kann, bei der gut arbeitende Belegschaften unabhängig vom physischen Standort der Mitarbeiter reibungslos funktionieren. Angesichts der Tatsache, dass diese Arbeitsmethode wesentlich kostengünstiger ist als herkömmliche Büroräume, ist es möglich, dass viele Unternehmen zögern werden vollständig zur alten Arbeitsform zurückzukehren.
Leider ist diese Revolution der Remote-Arbeit mit Bedenken hinsichtlich der Cyber-Resilienz verknüpft, da der Umzug gewisse Bedrohungen mit sich bringt. Viele Unternehmen sind exponierter als je zuvor, da sie mit einer digitalisierten Belegschaft umgehen müssen, die jetzt fernab von den Firmenstandorten arbeitet. Fachleute für Cyberrisiken müssen sich daher der Auswirkungen der Arbeit an entfernten Standorten auf die allgemeine Cyber-Resilienz ihrer Organisation bewusst bleiben und dabei helfen, als Reaktion auf die erhöhte Gefährdung eine angemessene Widerstandsfähigkeit aufzubauen.
Ein kritischer Punkt, über den sich Risikoexperten im Klaren sein müssen, ist die Tatsache, dass es in Zukunft weniger Standardisierung bei den Computersystemen und Wi-Fi-Netzwerken geben wird, die die Mitarbeiter zur Erfüllung ihrer Aufgaben nutzen. Dieser Wandel macht es für Informationssicherheitsteams und Risikomanager schwieriger, Schwachstellen zu bewerten und Strategien zur Risikominderung zu entwickeln, da der digitale Fußabdruck einer Organisation heute viel größer ist als früher. Mit einem größeren digitalen Fußabdruck gibt es auch ein größeres Potenzial für Cyber-Bedrohungen, da die Angreifer mehr Angriffspunkte finden können. Dies wiederum könnte dazu führen, dass einzelne Mitarbeiter gehackt werden und Cyberkriminellen den Zugang zu Unternehmensressourcen ermöglicht, die zum Zwecke der Remote-Arbeit sogar erst fernzugriffs- bzw. -steuerungsfähig gemacht wurden.
Ein weiteres Problem, das dadurch entsteht, dass mehr Menschen von zu Hause aus arbeiten, ist die Tatsache, dass viele interne Systeme und VPNs durch die erhöhte Anzahl von Benutzern, die sich gleichzeitig von externen Quellen aus verbinden, überlastet werden könnten. Diese Belastung der bestehenden digitalen Infrastruktur kann erhebliche Schwachstellen für eine Organisation auslösen und sich gleichzeitig auf die Produktivität auswirken. Insbesondere bei Behörden ist die klassische Büroarbeit so ausgeprägt, dass die Ressourcen für Fernzugriffe nicht ausreichend dimensioniert sind. Systeme, die für den Zugriff einer begrenzten Anzahl von Personen konzipiert wurden, müssen jetzt und in Zukunft von viel mehr Benutzern genutzt werden, weshalb zusätzliche Fähigkeiten erforderlich sind. In diesem Fall muss nicht nur die Bandbreite größer sein, sondern es müssen auch Sicherheitswerkzeuge wie Firewalls ordnungsgemäß überprüft werden, um festzustellen, ob sie das größere Datenaufkommen bewältigen können, welches Latenzzeiten verursacht und zusätzliche Rechenleistung erfordert. Im Zusammenhang mit den Problemen, die durch einen Mangel an Standardisierung entstehen, können verschiedene Mitarbeiter eine Vielzahl unterschiedlicher Technologien verwenden, was zu Problemen bei der Integration in die bestehende Infrastruktur führen kann.
Unternehmen, die diese Probleme angemessen berücksichtigen und sich auf die neue Verbreitung des Remote-Arbeitens einstellen, sind wahrscheinlich am besten in der Lage, sich sowohl während der COVID-19-Krise als auch in einer Welt nach einer Pandemie für die Widerstandsfähigkeit des Cyberspace einzurichten.
Ein einfacher Schritt für Organisationen, die Widerstandsfähigkeit aufbauen wollen, wäre es, mehr Sicherheitsüberprüfungen innerhalb der IT-Systeme durchzuführen. Unternehmen könnten einen eingehenden Verteidigungsansatz verfolgen, der zusätzliche Sicherheitsebenen hinzufügt, wobei mehrere Abwehrmechanismen gleichzeitig greifen, um potenzielle Angriffe abzuwehren und die Sicherheit des gesamten Systems zu erhöhen. Digitale Kontrollpunkte können eingesetzt werden, um die richtigen Personen zu autorisieren und Cyber-Kriminelle am Zugriff auf sensible Systeme zu hindern. Dies kann z.B. mit Firmen-Laptops erreicht werden, die spezifische Kontrollen wie Endpunktschutz oder Multifaktor-Authentifizierung nicht nur für den VPN-fähigen Fernzugriff verwenden – jede Methode fügt eine Abwehrschicht hinzu, um sicherzustellen, dass die Personen mit entsprechendem Zugriff eine sichere Verbindung herstellen können. Wenn alle intern arbeiteten, wäre dies viel einfacher zu kontrollieren, aber das Modell ändert sich, wenn Personen von außen verbunden werden.
Ein weiterer Bereich, den Organisationen in Bezug auf die Cyber-Resilienz berücksichtigen müssen, ist die Bedeutung eines aktuellen Krisenreaktionsplans. Die Pandemie hat deutlich gemacht, wie unvorhersehbare Ereignisse, die scheinbar nichts mit der Cybersicherheit zu tun haben, in Zukunft angemessen berücksichtigt werden müssen. Als Grundvoraussetzung müssen die Organisationen ihre Gefährdung durch Cyberrisiken verstehen und wissen, welche Bereiche möglicherweise mehr Aufmerksamkeit benötigen. Verfügt die Organisation zum Beispiel über die richtigen Richtlinien und Verfahren? Wird der Krisenplan regelmäßig aktualisiert, um neue potenzielle Szenarien zu berücksichtigen? Diese Fragen müssen mit einem Verständnis der geschäftskritischen Prozesse des Unternehmens und der Frage beantwortet werden, wie diese angemessen geschützt werden können.
Es ist jetzt klar, dass die COVID-19-Pandemie einen großen Einfluss auf die Cyber-Resilienz haben wird, selbst wenn das Schlimmste der Pandemie vorübergeht. Obwohl Änderungen der betrieblichen Strukturen aus der Notwendigkeit heraus vorgenommen wurden, ist es wahrscheinlich, dass das Arbeiten aus der Ferne noch lange, nachdem COVID-19 zu einem weniger dringenden Thema geworden ist, eine gängige Praxis bleiben wird. Fachleute für Cyberrisiken werden diesen Trend verstehen müssen, da sie die Verantwortung dafür tragen werden, dass die Umstellung auf die Arbeit an entfernteren Standorten nicht mit einer erhöhten Cybergefährdung einhergeht. Die Einführung strengerer Sicherheitsmaßnahmen in dem Bestreben, die Sicherheitsverfahren vor Ort in der Wohnung jedes einzelnen Mitarbeiters zu replizieren, wird einen großen Beitrag zum Aufbau der Cyber-Sicherheit leisten. Natürlich ist dies keine kleine Aufgabe, aber es ist eine Aufgabe, an die sich Risikoprofis anpassen müssen, oder sie riskieren, dass ihre Organisationen unter der neuen Realität leiden.