Aktuelles, Branche - geschrieben von dp am Freitag, August 19, 2022 14:57 - noch keine Kommentare
Remote Work: Sichere Endgeräte der Banken elementar für Sicherheit der Kunden
Mehr noch als andere Einrichtungen brauchen Banken fortschrittlichen Schutz für Mitarbeiter im Home-Office
[datensicherheit.de, 19.08.2022] „So schnell wie das Home-Office für Unternehmen und Angestellte zur Routine wurde, so schnell kamen auch die Gefahren. Aktuell setzen viele Firmen weiterhin auf VPN-Tunnel für den Zugriff auf das Unternehmensnetzwerk, obwohl die Technologie den Sicherheitsanforderungen dieser neuen Rahmenbedingungen schlicht nicht mehr gerecht wird“, so Lothar Geuenich, „VP Central Europe / DACH“ bei Check Point Software Technologies, in seiner aktuellen Stellungnahme. Eine aktivierte VPN-Verbindung leite jeden Datenverkehr durch das Unternehmensnetzwerk. Dies könne besonders für Institutionen mit hochsensiblen Daten, wie Banken und Finanzdienstleister, zur Gefahr werden. Geuenich erläutert: „Surft man dann entweder mit dem Firmenlaptop privat im Netz oder nutzt umgekehrt den privaten Laptop für die Arbeit, entstehen Sicherheitsrisiken. Denn jede Malware, die das Gerät befällt, kann sich über den VPN-Tunnel direkten Zugang zum Unternehmen verschaffen – erleichtert durch den Umstand, dass man sich zuhause außerhalb der geschützten Umgebung der Firmen-IT befindet.“
Foto: CHECK POINT
Lothar Geuenich: Besonders beim Surfen im Internet und bei der Nutzung von E-Mail- und Collaboration-Apps gilt es, ganzheitliche Schutzmaßnahmen zu implementieren…
Im Home-Office jedes Gerät potenzielle Gefahrenquelle – insbesondere für Banken
Mehr noch als andere Einrichtungen brauchten Kreditanstalten daher einen fortschrittlichen Schutz für sogenannte Remote-Mitarbeiter – und dieser sollte alle Geräte, einschließlich Tablets, mobile, BYOD- (Bring-Your-Own-Device) und von der hauseigenen IT verwaltete Geräte umfassen. Geuenich betont: „Besonders beim Surfen im Internet und bei der Nutzung von E-Mail- und Collaboration-Apps gilt es, ganzheitliche Schutzmaßnahmen zu implementieren und einen Wildwuchs an Lösungen verschiedener Anbieter zu vermeiden.“ Obendrein müssten Banken einen vertrauenswürdigen Zugriff auf Unternehmensanwendungen von jedem Ort aus sicherstellen.
Hinzu komme ein weiterer Risikofaktor, welcher branchenübergreifend häufig übersehen werde: „Die Absicherung Dritter, einschließlich Auftragnehmer, Berater und Partner, die auf Geräte und Anwendungen zugreifen.“ Deren Umsetzung von Compliance- und IT-Richtlinien könne von außen nicht nachvollzogen werden, weswegen eine standardmäßige Absicherung ab Werk zu empfehlen sei.
Tipps zur Absicherung der Mobilgeräte von Banken
Grundsätzlich beschränkten sich die Arbeitsgeräte von Angestellten in Fernarbeit und Home-Office meist auf Smartphones und Laptops. Die Prioritäten und Fokuspunkte der IT-Sicherheit unterschieden sich hierbei jedoch und es stelle sich die Frage: „Worauf kommt es bei der Absicherung von mobilen und anderen Endgeräten jeweils an?“
Die Absicherung von Mobilgeräten bei Banken braucht laut Geuenich:
- Vollständigen Schutz vor Netzwerkangriffen, einschließlich Phishing, Smishing (Phishing über SMS oder Textnachrichten) und anderen Angriffstypen.
- Blockierung von nicht konformen Geräten und Schwachstellen im Betriebssystem.
- Verbesserte Einhaltung der DSGVO/GDPR (Datenschutzgrundverordnung).
- Vollständigen Schutz der Privatsphäre der Nutzer.
- Hohe Skalierbarkeit mit „Mobile Device Management“ für die Zero-Touch-Bereitstellung für alle Mitarbeiter.
Geuenichs Empfehlungen zur Absicherung von Endgeräten bei Banken:
- Vollständigen Endpunktschutz und EDR (Endpoint Detection and Response).
- Eine konsolidierte Sicherheitsarchitektur, welche Bedrohungen in Echtzeit verhindert.
- Nahezu vollständige Automatisierung der Erkennung, Untersuchung und Behebung von Angriffen.
- Schutz vor und automatische Behebung sowie Wiederherstellung nach erfolgten Ransomware-Angriffen.
- Hohe Produktivität mit „Content Disarm and Reconstruction“ (CDR).
- Reduzierte TCO (Total Cost of Ownership) mit einer einzigen Lösung, die erweiterte Überwachungs- und Berichterstattungsfunktionen für schnelle Problemlösung enthält.
Banken haben Verantwortung über sensible Geschäfts- und Finanzinformationen ihrer Kunden
Abgesicherte Endgeräte reichten jedoch nicht aus. Geuenich macht indes deutlich: „Auch der Datenverkehr zwischen ihnen muss lückenlos geschützt sein. E-Mail und Collaboration-Apps sind heutzutage zu den wichtigsten Tools für Unternehmen, aber auch zu den beliebtesten Zielen von Hackern geworden. BEC-Angriffe (Business-E-Mail Compromise) haben in der Vergangenheit bereits zahlreichen Institutionen hohe Verluste beschert.“ Um beim Schutz der vielen täglich verwendeten Applikationen wie „Outlook“, „SharePoint“, „Teams“, „OneDrive“, etc. nicht den Überblick zu verlieren, empfiehlt er die Verwendung einer einzigen Anwendung zur Überwachung aller. Dabei komme es besonders auf den Schutz vor Malware, Phishing, bösartigen Links, Kontoübernahmen und mehr an. Denn es gelte zu bedenken: Banken hätten die Verantwortung über sensible Geschäfts- und Finanzinformationen ihrer Kunden, „die diese nicht im Darknet wiederfinden wollen“.
Aus diesem Grund sollte auch nicht weniger als das sogenannte Zero-Trust-Konzept oberster Leitfaden der Sicherheitsarchitektur sein. Bei der aktuellen Bedrohungslage sei eine Null-Vertrauen-Policy alternativlos und Banken sollten bei der Umsetzung von „Zero Trust“ folgendes sicherstellen:
- Least-Privilege-Zugriff auf Webanwendungen.
- Sichere Shell-Server, Remote-Desktops und Datenbanken.
- Zugriffsmanagement für Plattformen wie „Splunk“, interne WeApps, AWS-Ressourcen, etc.
- Administratoren die Verfolgung von Benutzeraktivitäten mit aufgezeichneten Sitzungen und Prüfpfaden ermöglichen.
Insbesondere Banken sollten IT-Sicherheit der Endgeräte ihrer Tele-Mitarbeiter im Blick behalten
Besonders für Finanzinstitute und Kredithäuser sei es entscheidend, die IT-Sicherheit der Endgeräte ihrer Mitarbeiter trotz Telearbeit im Blick zu behalten. „Denn unmittelbar mit ihrer Sicherheit ist die ihrer Kunden und deren Daten verbunden.“
Geuenich Fazit zur Motivation: „IT-Verantwortliche, die zusätzlich den Mailverkehr und die Apps zur gemeinsamen Zusammenarbeit im Blick haben und ,Zero Trust’ als Grundlage für alle Sicherheitsentscheidungen nehmen, sind den Herausforderungen der modernen IT-Landschaft gewachsen.“
Weitere Informationen zum Thema:
datensicherheit.de, 25.11.2019
Zero Trust: Warum die Zeit gerade jetzt dafür reif ist / Laut einer aktuellen Studie befassen sich bereits 78 Prozent der befragten Unternehmen damit
datensicherheit.de, 15.08.2019
Firmennetzwerke bedroht: Nathan Howe empfiehlt Zero Trust Network Access / Ein Hacker verkauft gefälschte und manipulierte Apple-Ladekabel, die einen WLAN-Chip beinhalten
datensicherheit.de, 19.06.2019
Einfache Implementierung des Zero-Trust-Modells in Netzwerken / Palo Alto Networks empfiehlt Fünf-Stufen-Methode
Aktuelles, Experten, Veranstaltungen - Okt 14, 2024 20:41 - noch keine Kommentare
Politisches Herbstforum der BfDI: Daten im Dienst der Patienten
weitere Beiträge in Experten
- ELITE 2.0 Wanderzirkus: OT-Awareness für KMU am 16. Oktober 2024
- Cyber Resilience Act der EU verabschiedet – Fraunhofer IEM nimmt Stellung
- BigBrotherAwards 2024 an Deutsche Bahn, Karl Lauterbach, Sachsens Innenminister, Shein und Temu sowie Technikpaternalismus
- Berechtigtes Interesse: BfDI begrüßt EDSA-Leitlinien
- Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
Aktuelles, Branche - Okt 10, 2024 19:38 - noch keine Kommentare
Open Source Software – unbestreitbare Vorteile sowie Risiken
weitere Beiträge in Branche
- Kritische Sicherheitslücken im Linux-CUPS-System erfordern umgehende Maßnahmen
- SBOM: Software-Stücklisten laut ONEKEY-Studie noch immer kein Standard in der Industrie
- Präsidentschaftswahlen in den USA 2024: Wahl-Phishing auf dem Vormarsch
- Zunehmende Bedrohung in der digitalen Welt durch Deepfake-Angriffe
- Microsoft-E-Mails: Tausende verschiedener Fälschungen im Umlauf
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren