Alle 14 Tage aktuelle News aus der IT-Szene   >   
KPMG Österreich tritt SAP-PartnerEdge-Programm bei 27. 03. 2024
Dem Beratungshaus stehen im Rahmen der neuen Kooperation zahlreiche Tools für die digitale Geschäftstransformation zur Verfügung.
SAP und NVIDIA intensivieren Partnerschaft 20. 03. 2024
Die beiden Tech-Player wollen mit ihrer neuen Kooperation den Einsatz generativer KI in Unternehmensanwendungen vorantreiben.
IT Security made in Austria 13. 03. 2024
Medialine partnert mit dem österreichischen Hersteller von „Quantum safe“ Speicherlösungen fragmentiX.
Neue Funktionen für SAP Datasphere 07. 03. 2024
Frische Features für SAP Datasphere und eine neue Unternehmenspartnerschaft helfen Unternehmen beim produktiven und sicheren Umgang mit Geschäftsdaten.
KI-Transformation: Effizienzsteigerung statt Innovation im Mittelpunkt 06. 03. 2024
Laut einer aktuellen Befragung hat die Mehrheit der Unternehmen noch keine KI-Strategie.
Nagarro fördert Digitalisierungsideen 19. 02. 2024
Nagarro sucht erneut innovative Ideen zu digitalen Geschäftsmodellen, Produkten und Services. Als Gewinn winkt ein Realitätscheck durch Expert:innen im Wert von 50.000 Euro.
Einfacher Weg zur Cloud-First-Strategie 12. 02. 2024
SAP präsentiert neue Möglichkeiten für Migration und Modernisierung von Softwaresystemen.
Dätwyler IT Infra übernimmt Seabix 18. 12. 2023
Der IT-Infrastruktur-Anbieter holt sich eine intelligente Kommunikationslösung ins Portfolio.
Bechtle konsolidiert Geschäft in Österreich 18. 12. 2023
Die beiden österreichischen Unternehmen der Bechtle-Gruppe gehen ab 2024 gemeinsame Wege.
hosttech launcht Kl-gestützte Domainsuche 15. 12. 2023
Der Internet Service Provider lanciert mit Domain GPT eine eigens entwickelte Kl-gestützte Domainsuche.
BOLL übernimmt Distribution von WALLIX in Österreich 15. 12. 2023
Der Security-VAD nimmt die Privileged-Access-Management(PAM)-Lösung des französischen Softwareanbieter ins Programm für Österreich.
vshosting expandiert nach DACH 14. 12. 2023
Der europäische Business Cloud Provider bietet seine Dienstleistungen nun auch im deutschsprachigen Raum an.
BestRecruiters 2023: BEKO holt Gold 01. 12. 2023
Der österreichische Technologiedienstleister sichert sich den Sieg in der Kategorie „Arbeitskräfteüberlassung“.
Trusted Access Client: Rundum-Schutz fürs Netzwerk 30. 11. 2023
Mit der Cloud-managed Remote Network Access-Lösung sorgt LANCOM für Sicherheit beim hybriden Arbeiten.
BOLL schließt Distributionsverträge mit Tenable und ALE 30. 11. 2023
Der DACH-IT-Security-VAD BOLL Engineering ist ab sofort Distributor für die Lösungen von Tenable in Österreich und in der Schweiz sowie ab 2024 für Alcatel-Lucent Enterprise in Österreich.
SVS setzt auf SuccessFactors 29. 11. 2023
Die HR-Lösung aus dem Hause SAP sorgt bei der SVS für Datentransparenz und eine aktive Einbindung der Belegschaft in die Geschäftsprozesse.
Trend Micro zeigt KI-gestützten Cybersecurity-Assistenten 28. 11. 2023
Der Companion unterstützt Analysten, um die Erkennung von und Reaktion auf Bedrohungen zu beschleunigen.
Nagarro bringt neue KI-Plattformen auf den Markt 23. 11. 2023
Genome AI, Ginger AI und Forecastra AI ermöglichen einen schnellen Einstieg in die KI-Welt.
weiter
Cisco Österreich

Die Welt ist mein Office – aber ist es auch sicher?

Markus Sageder, Cybersecurity-Experte bei Cisco Österreich, im Gespräch über IT-Sicherheit im Digital Workplace.

Foto: Cisco Markus Sageder, Cisco Österreich: „Die Möglichkeiten für Cyberkriminelle, in das System einzufallen, sind mannigfaltig“ it&t business: Welche sind die aktuell größten & gefährlichsten Cybersecurity-Bedrohungen am Digital Workplace (im Home Office & Co.)? Welche werden sich zukünftig verschärfen?

Markus Sageder: Für Mitarbeiter und Mitarbeiterinnen, die hybrid von verschiedenen Orten aus arbeiten (Büro, Home Office, Cafés, etc.), sind klassische E-Mail-Bedrohungen momentan weit verbreitet und gefährlich. Dabei nutzen Angreifer verschiedene Taktiken per E-Mail, um die Empfänger zu täuschen und zu schädlichem Verhalten zu bewegen. So mancher nutzt zudem nie oder nur teilweise die sichere VPN-Verbindung, verbindet sich mit dem Internet ohne schützenden Secure Internet Gateway, bei einer mangelhaften Zero-Trust-Architektur. Für IT-Abteilungen gilt es zu steuern: Welche User dürfen mit welchen Devices, wann, von wo, auf welche Ressourcen zugreifen. Ganz gleich, ob Mitarbeiter im Büro arbeiten oder über die Cloud verbunden sind, es muss klar geregelt sein, welche Apps untereinander interagieren dürfen und welche Abhängigkeiten es innerhalb der Kommunikation von Apps gibt.

Die Möglichkeiten für Cyberkriminelle, in das System einzufallen, sind mannigfaltig. Wir müssen uns dabei immer vor Augen halten: Cybercrime ist profitgetrieben. Ein Angriff passiert nur selten aus reinem Spaß an der Sache. Egal ob es sich um eine Attacke unter Verwendung von Ransomware oder um Datendiebstahl handelt: Alle Bedrohungen, die verlässlich Geld einbringen, werden sich verschärfen.

it&t business: Parks, Wiener Cafés und die eigenen vier Wände werden zum neuen Office – doch wie sicher ist unser Digital Workplace eigentlich? Wie hoch ist die Privatsphäre in den eigenen vier Wänden, am Balkon oder an öffentlichen Arbeitsplätzen?

Sageder: Die IT-Sicherheit und der Schutz sensibler Informationen insbesondere an Arbeitsorten außerhalb des Büros sind immens wichtig. Besonders gewichtig sind hier zwei Faktoren: Gut abgesicherte Geräte, die mit verschiedenen IT-Security-Features ausgestattet sind, zum Beispiel für einen sicheren Login, für eine sichere Verbindung, et cetera. Aber es braucht auch das nötige Bewusstsein bei Mitarbeitern: Ein vertrauliches Gespräch an einem öffentlichen Ort, selbst am eigenen Balkon, kann selbstverständlich mitgehört werden. Die Wahrscheinlichkeit, dass Zuhörer etwas Verwertbares hören, ist relativ gering, aber nicht von der Hand zu weisen. Hier braucht es eine hohe Sensibilität der Mitarbeitenden, welche Informationen wo und wie geteilt werden. In den eigenen vier Wänden oder im Büro ist ein kritisches Telefongespräch wohl besser aufgehoben, als im Kaffeehaus. Mitarbeiter können das meist sehr gut selbst einschätzen und als Unternehmen gilt es, regelmäßig zu schulen und Awareness zu schaffen, aber auch zu vertrauen. Zusammenfassend: Selbstverständlich ist Security in modernen Hybrid-Work-Zeiten mit unterschiedlichen Arbeitsorten unter neuen Gesichtspunkten zu betrachten, weil sich der Firmenperimeter verändert. Unternehmen müssen hier einfach mit der Zeit gehen und Flexibilität beweisen. Mit einer State-of-the-Art Security-Infrastruktur lassen sich eine Vielzahl der Herausforderungen meistern.

it&t business: Welche Gefahren bestehen insbesondere für KMU? Wie können auch kleine, wenig digitalisierte Unternehmen ihren Mitarbeitern eine hohe Sicherheit im Home Office gewähren?

Sageder: KMU sollten sich genauso wie große Großkonzerne mit ihrer IT-Sicherheit befassen, sie stellen sich im Wesentlichen denselben Herausforderungen. Klassische E-Mail-Bedrohungen wie Phishing-Mails, Malware-Attacken oder Social Engineering stellen für Mitarbeitende eines KMU die gleiche Gefahr dar, wie für das Team eines größeren Unternehmens. Die gute Nachricht ist: Die meisten Cyber-Security-Lösungen skalieren von KMU- bis Enterprise-Level und insbesondere Cloud-basierte Security hilft, eine sehr wirksame Sicherheitsplattform aufbauen zu können. Ein Unterschied ist aber festzumachen: Während die meisten großen Unternehmen eigene IT-Teams haben, sind KMU häufig auf externe Dienstleister angewiesen. Hier gilt es, genau zu überprüfen, wie breit das angebotene Lösungsportfolio wirklich ist. Endpoint-Antivirus-Schutz und eine Firewall mit E-Mail-Gateway sind heutzutage zu wenig.

it&t business: Wie kann die für Home Office & Co. erforderliche Flexibilität bei gleichzeitig hoher Sicherheit ermöglicht werden – auf welche Sicherheitslösungen sollten heimische Unternehmen setzen? Wie kann IT Security konzipiert werden, damit Mitarbeiter bedenkenlos auch an öffentlichen Orten arbeiten können?

Sageder: Design Thinking ist hier das Stichwort: Selbstverständlich müssen IT-Teams bei der Gestaltung ihrer Sicherheitslösungen die höchsten Security-Ansprüche berücksichtigen, aber selbst eine Zero-Trust-Architektur darf die Usability nicht beeinflussen. Letztendlich hängt der Erfolg vieler Maßnahmen von der Einfachheit in der Nutzung ab, denn schließlich müssen die Anwender sie auch umsetzen und dürfen sich nicht von komplizierten Prozessen abschrecken lassen. Es geht auch hier um Convenience. Besonders im Bereich der Authentifizierung kann sehr viel Sicherheit gewonnen werden und die Nutzung denkbar einfach sein: Vorausgesetzt, die Lösungen im Hintergrund, gefüttert mit granularen Policys, unterscheiden genau, was gemacht werden darf und was nicht. Auch öffentliche WLAN-Netzwerke müssen in die Überlegungen einbezogen werden: Im frei zugänglichen Netzwerk keine VPN-Verbindung zu nutzen, ist fahrlässig. Neuerdings gibt es aber auch VPNaaS-Angebote für Unternehmen, damit ersparen sind Konzerne die Implementierung und den Betrieb von eigenen Inhouse-VPN-Gateways.

it&t business: Wie können Unternehmen bei einem Angriff ihre Daten retten und den größten Schaden abwenden? Was bringen mobile Eingreifgruppen?

Sageder: Idealerweise geht es immer um Prävention, nicht um einen Kriseneinsatz. In diesem Fall haben Unternehmen schon im Vorfeld Sensoren im Netzwerk, an Endpunkten wie dem Firmen-Handy oder -Laptop beziehungsweise in der Cloud stationiert. Diese erkennen frühzeitig Angriffe, melden Bedrohungen und können automatisiert Rechte und Verbindungen kappen, um das sogenannte Lateral-Movement von Schadsoftware verhindern zu können. All das kann eine moderne Sicherheitsplattform automatisiert machen. Im tatsächlichen Krisenfall kann vor allem bei neuartiger Malware die Bereinigung des Netzwerkes eine echte Herausforderung sein. Hier empfiehlt es sich, schon im Vorfeld beispielsweise einen Incident Response Retainer bei einem professionellen IT-Dienstleister zu kaufen. Das sind Pakete, die im Fall der Fälle eine Remote- oder falls erforderlich Vor-Ort-Hilfe gewährleisten. Zu Hilfe kommen dann IT-Spezialisten, die rund um die Uhr im Einsatz sind. Banal, aber wichtig: Regelmäßige Back-ups helfen im Falle des Falles bei der Wiederherstellung, entweder der wichtigsten Daten oder vom gesamten System.

it&t business: Wie können heimische Unternehmen eine neue IT-Sicherheitskultur etablieren, um vor modernen Security-Threats gerüstet zu sein?

Sageder: Wichtig ist, das große Ganze zu sehen: Weg von Best-of-Breed, hin zu einem Best-Platform Approach. Wem nützen viele gute Einzellösungen, die nicht zusammenarbeiten? Eine integrierte Plattform erkennt Angriffe deutlich früher, verringert den Impact der Attacke und ergreift automatisiert Gegenmaßnahmen, wie in den Policys beziehungsweise im Notfallplan festgelegt. Der Zeitgewinn durch Automatisierung ist im Krisenfall Gold wert. Außerdem gilt es, bei den Mitarbeitern das Bewusstsein für IT-Bedrohungen zu schärfen und regelmäßige Schulungen zu machen, zum Beispiel mit Simulationen. Erfolgreiche Security baut auf drei Säulen: Technologie, Prozesse und Menschen.

it&t business: Sie sprechen das Thema Awareness an: Wie hat sich das Bewusstsein für IT Security auch außerhalb der IT-Abteilungen durch die Corona-Krise verändert?

Sageder: Das ist tatsächlich ein heikler Punkt, denn nicht überall ist die Awareness gestiegen. Gerade in Zeiten von Hybrid Work, speziell vermehrt Home Office, und einer deutlich erhöhten Anzahl von dicht aufeinanderfolgenden Meetings, sinken Konzentration und Vorsicht. Eine interessante Mail mit einem verführerischen Link kann – achtlos während eines Online-Meetings geklickt – zu schwerwiegenden Konsequenzen führen. Regelmäßige Sicherheits-Schulungen und Simulationen sind unabdingbar: Gerade, um das Bewusstsein für E-Mail-Bedrohungen zu schärfen, gibt es gute Trainings, in denen auch „echte“ Phishing-Mail-Kampagnen laufen. Nur, wenn Mitarbeiter täglich gefordert werden, schärft das die Sinne.

it&t business: Hybrid Work ist ein Treiber für die Entwicklung passwortloser IT-Strategien: Welche Rolle spielen Trends wie Passwordless? Wie sicher sind passwortlose Zugänge?

Sageder: Höchste Sicherheit und gute Bedienbarkeit schließen sich nicht gegenseitig aus. Die ständige Eingabe komplizierter, unterschiedlicher Passwörter ist für Mitarbeiter lästig und verlangsamt die Geschäftsprozesse. Und: Passwörter sind von Natur aus eine schwache Form der Benutzerauthentifizierung. Sicherer und user-freundlicher sind biometrische Login-Möglichkeiten, Security Keys und spezialisierte mobile Apps, kurzum: passwortlose Authentifizierungsmethoden. Sie ermöglichen einen sicheren Zugriff für jeden Anwendungsfall, seien es Hybrid-, Cloud-, lokale oder Legacy-Apps und ein reibungsloses Login-Erlebnis, reduzieren den Verwaltungsaufwand und die allgemeinen Sicherheitsrisiken für Unternehmen. Dadurch, dass sie deutlicher weniger Benutzerinteraktion während des Anmeldevorgangs erfordern, sind sie um Welten sicherer: Denn sie verhindern, dass Mitarbeiter aus Convenience-Gründen Passwörter im Browser speichern oder zu kurze, einfache Passwörter wählen.

it&t business medien OG
Tel.: +43/1/369 80 67-0
office@ittbusiness.at