(c) istockphotoDie Corona-Pandemie hat vielerorts zu neuen Arbeitsumständen und Arbeitsweisen geführt. Arbeit wird neu gedacht, mobiler und ortsunabhängiger. Aufgaben werden anders verteilt und anders strukturiert. Dies birgt in vielerlei Hinsicht Risiken für die IT-Sicherheit.
Beinahe über Nacht sahen und sehen sich viele Organisationen, darunter auch zahlreiche Call und Service Center, angesichts der Corona-Pandemie selbst und den damit einhergehenden Maßnahmen mit vielfältigen Herausforderungen konfrontiert. Das gewohnte Arbeiten vor Ort in Großraumbüros und Bürokomplexen ist, wenn überhaupt, nur eingeschränkt möglich, Online-Meetings werden zu einem zentralen Bestandteil der Office-Kommunikation. Mitarbeitende fallen aufgrund von eigener Krankheit, Quarantänemaßnahmen oder Reisebeschränkungen aus. Zudem werden in einer ganzen Reihe von Service Centern mehr Agenten benötigt, um die erhöhte Anzahl und Dringlichkeit von Anfragen bewältigen zu können.
Neue Cyber-Gefahren
Wenn die bisher standortbezogene Arbeit in ein neues Umfeld umzieht, schnell neue Technik eingeführt wird, Prozesse sich ändern und Agenten andere oder erweiterte Aufgaben übernehmen, eröffnet dies auch neue Einfallstore für Cyber-Angreifer und gesteigerte Wirtschaftskriminalität. Denn den Cyber-Angreifern ist nur allzu klar, dass in Krisenzeiten oftmals neue Abläufe noch nicht ausreichend standardisiert und eingeübt sind, generell ein hohes Maß an Unsicherheit herrscht und manche technischen Lösungen vielleicht ohne die eigentlich notwendige Sorgfalt hinsichtlich Absicherungsmaßnahmen eingeführt und genutzt werden. So ließen zu Beginn der Krise die ersten Phishing-Mail- Kampagnen nicht lange auf sich warten. Mit vermeintlichen Hilfsangeboten oder auch über Panikmache wollen diese zu unüberlegten Handlungen verleiten. Auch das Thema der ungesicherten Internet-Konferenzlösungen stand bald im Raum. Bei den ersten Online-Treffen der Regierung geriet die oftmals mangelnde Absicherung ins öffentliche Blickfeld, aber in vielen anderen Videokonferenzen, ob in Behörden oder Unternehmen, wird es nicht anders ausgesehen haben.
(c)Conet | Katharina Schug, Head of Uc & Contact Center bei Conet
Alles eine Frage der Technik?
Ob es um die Verlagerung der Arbeit ins Homeoffice, die Verlegung von Agentenarbeitsplätzen am eigenen Standort oder die Schaffung neuer Arbeitsplätze für eine erweiterte Mannschaft geht: Um den geänderten Anforderungen gerecht zu werden, stehen zunächst natürlich die Verfügbarkeit ausreichender Netzwerk- und Leitungskapazitäten zur Bewältigung des steigenden Anrufaufkommens im Vordergrund, gefolgt von der entsprechenden Hardware im Backend ebenso wie Mitarbeitergeräten und letztlich der entsprechenden Software.
In diesen technischen Bereichen ist das Bewusstsein für die Notwendigkeit einer entsprechenden Absicherung weitgehend hoch. Niemand würde heutzutage geschäftliche Netzwerke, Kommunikationsleitungen und Anwendungen beispielsweise ohne entsprechende Firewalls, Verschlüsselung oder Anti-Virenschutz betreiben. Nichtsdestotrotz bleiben auch hier noch signifikante Restrisiken bestehen, etwa wenn veraltete Infrastrukturen und Applikationen genutzt oder notwendige neue Versionen, Updates und Sicherheits-Patches nicht schnell genug eingeführt werden.
Eine zunehmend kritische Gefahr aber entsteht dort, wo Verantwortliche davon ausgehen, dass es mit diesen Maßnahmen zum Schutz vor externen Gefahren getan sei. Denn etwa für die Lage in Deutschland sind nach Schätzungen des Bundesamts für Sicherheit in der Informationstechnik (Bsi), Bundeskriminalamt (Bka) und It-Forensikern mindestens 40 und je nach Quelle und Studie sogar bis zu 90 Prozent der gelungenen Angriffe nicht externer Natur, sondern kommen von innen. Ob es sich dabei um mutwillige Eingriffe oder Sabotage handelt oder Angreifer beispielsweise durch Phishing erschlichene Zugangsdaten nutzen – der Schaden ist immens.
Regelmäßige Weiterbildungsmaßnahmen sind essenziell, um Regelungen zu verankern, am Puls der aktuellen Gefährdungslage zu bleiben und das Bewusstsein für Risiken, das eigene Handeln und die eigene Rolle zu schärfen.
Am Anfang war der Mensch
Aber wie kann man dieser Bedrohungslage in der Praxis Herr werden? Zunächst einmal – so banal das klingen mag – mit Aufklärung. Im Umgang mit Anwendungen, Kommunikationsmitteln und Daten geschulte Mitarbeiter sind weniger angreifbar für Phishing-Versuche, gehen bewusster mit den ihnen anvertrauten Geräten und Daten um und sind damit die besten Verteidiger Ihrer geschäftlichen Integrität. Insbesondere in Service Centern von Banken und Versicherungen oder im Gesundheitswesen, wo mit einer Vielzahl personenbezogener und teils hochsensibler Daten gearbeitet wird, ist ein ebenso sensibler Umgang mit diesen Informationen unerlässlich. Dabei reicht das alleinige Unterzeichnen einer mehrseitigen Sicherheitsrichtlinie und Datenschutzverpflichtung natürlich nicht aus. Gelesen bedeutet schließlich nicht zwingend verstanden. Regelmäßige Weiterbildungsmaßnahmen sind essenziell, um Regelungen zu verankern, am Puls der aktuellen Gefährdungslage zu bleiben und das Bewusstsein für Risiken, das eigene Handeln und die eigene Rolle zu schärfen.
Ist mit dieser geschaffenen Awareness bei Führungspersonal und Mitarbeitern also schon viel gewonnen, so lässt sich allerdings auch damit kein vollständiger Schutz erreichen – Unachtsamkeiten und Fehler können und werden passieren und mutwillige Schädigungen böswilliger Mitarbeiter lassen sich zwar erschweren, aber nicht verhindern.
Spezialisierte Methoden und Werkzeuge helfen hier, das Sicherheitsniveau weiter anzuheben. Will man modernen Arbeitskonzepten nicht im Wege stehen, lässt sich die Sicherheit aber nicht einfach nur durch Einschränkung der Hardware oder Kontrolle der Netzwerkwege herstellen. Vielmehr gibt es nur eine Konstante, die unabhängig vom eingesetzten It-Gerät und jenseits des Zugriffsorts Bestand hat, und das ist die Identität des Nutzers. Um die entsprechenden Risiken zu minimieren, bedarf es also eines fundierten Authentifizierungs-, Identitäts- und Zugriffsmanagements: Es schützt und verifiziert die Identität des Nutzers, steuert die in seinem Namen getätigten Zugriffe schnell und transparent und grenzt sie bei Bedarf ein.
Identity und Access Management
In einem aufeinander abgestimmten Identity und Access Management System (Iam) werden im Identity Management grundsätzliche Rollen und entsprechende Berechtigungen festgelegt und verwaltet. Feste Vorgaben für die genaue Aufteilung von Verantwortlichkeiten („Segregation of Duties“) sorgen dafür, dass Call Center Manager und Agenten jeweils nur genau die Zugriffe und Rechte erhalten, die sie für ihre Funktion und die Erfüllung ihrer Aufgaben tatsächlich benötigen. Eine sinnvolle Gruppierung von Berechtigungen zu Rollen sorgt für besseren Überblick und Handhabbarkeit insbesondere in komplexen Service-Center-Strukturen. Der Tool-gestützte Umgang mit Personaländerungen und eine intelligente Provisionierung regeln die automatisierte Erzeugung und Löschung von Benutzerkonten bei Eintritten, Austritten oder Positionsveränderungen von Nutzern und gewährleisten einen konsistenten Informationsstand in allen angeschlossenen Systemen – unabhängig davon, ob sich diese im eigenen Rechenzentrum oder in der Cloud befinden. So lässt sich zielgerichtet steuern, wer auf welche Tiefe der Kunden- und Anruferdaten Zugriff erhält, sie einsehen, ändern, bearbeiten oder weiterleiten darf.
Das Access Management steuert und kontrolliert dann die einzelnen Zugriffsrechte zu bestimmten Teilen der physischen oder virtuellen Infrastruktur. Damit es diese Aufgabe aber überhaupt erfüllen kann, muss zu Beginn die einwandfreie Identifizierung des Anwenders sichergestellt und hierzu ein geeigneter Mechanismus gewählt werden. Insbesondere der klassische, passwortgeschützte Zugang steht hier zunehmend in der Kritik, denn um ausreichend sicher zu sein, werden Passwortvorgaben immer komplexer und die Kennworte daher oftmals entweder unsicher gelagert oder schlicht vergessen.
Um dieses Dilemma zu entschärfen und zugleich ein höheres Sicherheitsniveau zu erreichen, werden zunehmend erweiterte Authentifizierungsmethoden und spezialisierte Authentifizierungsplattformen eingesetzt, die es erlauben, verschiedene Anmeldetechniken miteinander zu koppeln und flexibel einzusetzen. Man spricht hier von „Advanced Authentication Framework” (Aaf) beziehungsweise „Multi-Factor Authentication“ (Mfa).
Bei der Zugangserteilung über Mfa werden dem Namen entsprechend mehrere Identitätsquellen und Identitätstypen kombiniert: etwas, das die Nutzer kennen (zum Beispiel eine Pin), etwas Physisches, das sie besitzen (zum Beispiel eine Schlüsselkarte oder ein Token), und etwas, das ihre Identität nachweist (zum Beispiel ein Fingerabdruck, ein Netzhaut-Scan oder eine Spracherkennung).
„Privileged User“ stellen ein besonderes Risiko für die It Security dar.
Das Ziel all dieser integrierten Ansätze im Identity und Access Management muss es dabei letztlich aber auch sein, hohe Sicherheitsstandards mit einem möglichst hohen Komfort und damit hoher Akzeptanz bei den Anwendern in ein Gleichgewicht zu bringen. Denn sobald Nutzer die angebotenen, sicheren Zugangs- und Nutzungswege als zu aufwendig oder kompliziert empfinden, werden sie sich vereinfachte Wege und Arbeitsweisen aneignen, die dann wiederum die vorhandenen Sicherheitsmaßnahmen aushebeln. Wird aber durch die zentrale Positionierung der Plattform etwa ein Single Sign-on erreicht, bei dem sich der Anwender bei der Verwendung weiterer Dienste nicht erneut authentisieren muss, ist eine komfortable Nutzung bei gleichzeitig höchstmöglicher Sicherheit gewährleistet.
Privileged User Management
Eine immer bedeutendere Herausforderung stellt in diesem Zusammenhang die Verwaltung der Zugriffsrechte besonders berechtigter Personen dar. Denn bestimmte Anwender benötigen für ihre Arbeit teils weitreichende Berechtigungen. Diese „Privileged User“ stellen ein besonderes Risiko für die It Security dar. Dies gilt für die Administratoren im technischen Bereich ebenso wie etwa für Call Center Manager, Supervisor oder andere Schlüsselpositionen in der Service-Bearbeitung, deren Namen mitunter sogar öffentlich zugänglich sind und die so ein bevorzugtes Angriffsziel darstellen.
Im Umgang mit diesen Privilegien sorgen Lösungen für Privileged User Management für die Verwaltung der speziellen Zugangsrollen wie Administrator oder Root Access. Privileged Access Management steuert die generelle oder zeitgesteuerte Vergabe von besonderen Zugangsrechten an bestimmte persönliche Accounts, beispielsweise für das Service Center Management.
Gesteigerte Transparenz und verbesserte Dokumentation
Die durch das Identity und Access Management erreichte gesteigerte Transparenz und Dokumentation über alle Zugriffe ist zudem ein wichtiger Baustein in Richtung der Governance und Compliance mit gesetzlichen Vorgaben. Insbesondere durch die Eu-Dsgvo (Datenschutzgrundverordnung) und die von ihr verlangten technischen und organisatorischen Maßnahmen (Tom) zur Sicherstellung eines hohen Datenschutzniveaus ergeben sich zahlreiche Pflichten im Umgang mit den gerade in Call und Service Centern oftmals mannigfaltig gespeicherten und verarbeiteten personenbezogenen Daten.
Zentrale Fragen wie „Wer versucht auf welche Dienste zu-zugreifen?“ oder „Wann und von wem wurden bestimmte Daten aufgerufen?“ beantworten zu können, ist somit eine Dokumentationsgrundlage beim Nachweis von Dsgvo-Konformität ebenso wie ein wesentlicher Bestandteil im Kampf gegen Wirtschaftsspionage, Sabotage oder Datendiebstahl. Für Service- und Kundencenter haben diese Themen besondere Brisanz, denn nicht selten sind sie durch ihre Speicherung großer Mengen an personenbezogenen Daten – mitunter samt Kontaktinformationen, Bankdaten und weiteren sensiblen Informationen – ein willkommenes Ziel für Cyber-Angreifer.
Es gibt nur eine Konstante, die unabhängig vom eingesetzten It-Gerät und jenseits des Zugriffsorts Bestand hat, und das ist die Identität des Nutzers.
Monitoring, Steuerung und Managed Security
Für erweiterte Cyber-Gefahren müssen also parallel zur Einführung neuer Arbeitsweisen und neuer technischer Elemente auch angepasste Security-Konzepte entwickelt und geeignete Maßnahmen und Tools eingesetzt werden. Hierzu gehören auch Monitoring- und Steuerungswerkzeuge wie ein Security Information & Event Management (Siem), die beispielsweise Anomalien oder verdächtiges Verhalten in User Accounts und Netzwerkdaten identifizieren helfen und entsprechende Maßnahmen unterstützen.
Doch entsprechende Lösungen bedeuten nicht selten hohe Investitionen. Gleichzeitig befinden sich gerade in Krisenzeiten zusätzliche Ausgaben und Aufwände auf dem Prüfstand und die Wirtschaftlichkeit von eingesetzten It-Lösungen wird immer wichtiger – ganz zu schweigen von der Tatsache, dass entsprechende Cyber-Sicherheitsspezialisten zur Bedienung der oft enorm komplexen Sicherheitssysteme und der verlässlichen Bewertung von potenziellen Sicherheitsvorfällen aktuell am Markt schwer zu finden und ebenfalls sehr teuer sind.
Vor diesem Hintergrund erhält das Konzept der Managed Security gesteigerte Bedeutung, bei dem entsprechende Aufgaben an Spezialisten ausgelagert und als definierte Dienste bei Bedarf „as a Service“ bezogen werden. In den Bereichen Cloud-Anwendungen, Rechenzentrum und It-Service bereits seit Jahren üblich, bietet Managed Security gerade bei begrenzten Ressourcen und diffusen Bedrohungsszenarien die Chance, aktuelles Know-how, wirkungsvollen Schutz und wertvolle Unterstützung bei der Reaktion auf Sicherheitsbedrohungen zu überschaubaren und verlässlich kalkulierbaren Kosten zu beziehen, beispielsweise über die professionellen Dienste eines externen Security Operations Centers (Soc).
Conet
„Erfolg. Unsere Leidenschaft.“ Conet ist das kompetente It-Beratungshaus für Sap, Infrastructure, Communications, Software und Consulting in den Schwerpunktbereichen Cyber Security, Cloud, Mobility und Data Intelligence. Mit rund 1000 Mitarbeitern gehört Conet laut der Computerwoche-Systemhausumfrage zu den besten mittelständischen It-Häusern in Deutschland. Namhafte Unternehmen und Organisationen aus Industrie & Handel, öffentlichem Sektor sowie Defense & Public Security vertrauen seit 1987 den Experten der mittelständisch geprägten Unternehmensgruppe. Conet-Lösungen für Leitstellenkommunikation, Collaboration und Business Process Management sind weltweit im Einsatz. Mit der Unternehmenszentrale in Hennef unterhält Conet zwölf Standorte in Deutschland und Österreich.
Autorin: Katharina Schug, Head of Uc & Contact Center bei Conet
