Arbeitsplatz der Zukunft
Der sichere Weg zum Digital Workplace
Fortsetzung des Artikels von Teil 1
Fünf Schritte zum sicheren Digital Workplace
Erster Schritt: Risiken analysieren
Nur wer seine Kronjuwelen kennt und weiß, wo sie liegen, kann sie effektiv schützen. Dazu müssen Unternehmensdaten danach klassifiziert werden, welchen Schaden ein unberechtigter Zugriff, ein Verlust oder eine Manipulation verursachen würde. Wichtig für eine realistische Risikobewertung ist es, die Fachabteilungen als „Eigentümer“ der Daten zu beteiligen. Eine besondere Rolle spielen in diesem Zusammenhang die personenbezogenen Daten von Kunden, aber auch von Mitarbeitern. Denn UCC ohne personenbezogene Daten wie Namen, E-Mail-Adressen, Telefonnummern und Kalenderinformationen ist nicht möglich. Auch das Mitschneiden von Telefonaten und Webkonferenzen sowie das Archivieren von Verbindungsdaten muss klar geregelt werden. Deshalb ist der Datenschutz in jedem Fall von Anfang an in alle Planungen zum Digital Workplace einzubeziehen.
Auch der Betriebsrat sollte unbedingt frühzeitig an der Umsetzung von Digital-Workplace-Konzepten beteiligt werden. In vielen Firmen gibt es anfangs Bedenken gegen die Anzeige von Präsenzinformationen wie „Verfügbar“, „Abwesend“, „Beschäftigt“, etc. Dahinter steht die Annahme, dass diese Informationen für Verhaltens- oder Leistungskontrollen genutzt werden können. Durch die Einbeziehung des Betriebsrats lassen sich solche Missverständnisse ausräumen, bevor sie Unruhe in der Belegschaft und Verzögerungen bei der Einführung hervorrufen. Ein einfacher Kompromiss kann zum Beispiel sein, zwar den Verfügbarkeits-Status einer Person anzuzeigen, aber nicht die Dauer der Inaktivität oder Anwesenheit.
Diese Risikobewertungen müssen regelmäßig an Veränderungen der Geschäftsprozesse angepasst werden und die getroffenen Sicherheitsmaßnahmen entsprechend auf ihre Wirksamkeit überprüft werden.
Zweiter Schritt: Identity Management erweitern
Immer mehr interdisziplinär zusammengestellte, standortübergreifende Projekt-Teams führen de facto zu einer Aufweichung hierarchischer Strukturen. Das hat Folgen für das Identity- und Access-Management von Unternehmen: Wenn Mitarbeiter in unterschiedlichen Projekten unterschiedliche Rollen einnehmen, funktioniert das herkömmliche Prinzip einer weitgehend statischen abteilungs- und rollenbezogenen Vergabe von Rechten nicht mehr. Die Flexibilisierung erhöht das Risiko, wenn Zugriffe von überall erfolgen können. Hier helfen automatisierbare Lösungen, die Zugriffsrechte und Authentifizierungsverfahren kontextbezogen an die tatsächlichen Aufgaben und die Nutzungssituation der Mitarbeiter anpassen.
Ein Beispiel: Wenn ein Mitarbeiter mit dem Firmen-Notebook im Gebäude auf das Netz zugreift, kann er sich per User-ID und Password anmelden. Aber beim Zugriff von unterwegs mit dem privaten iPad wird ein zweiter Authentifizierungsfaktor abgefragt, beispielsweise eine Einmal-PIN, die per SMS an das Dienst-Handy gesendet wird.
Dritter Schritt: Adaptive Security einführen
Die wachsende Komplexität der Unternehmensnetze im Zuge der Digitalisierung von Prozessen stellt die IT-Sicherheitsverantwortlichen vor ein Problem: Es gibt kein Innen und Außen mehr, keine klar definierte Grenze, die man wirksam schützen könnte. Ein typisches Beispiel liefern die zahlreichen Public-Cloud-Services für Datenaustausch und Projektmanagement, die Mitarbeiter für die unternehmensübergreifende Zusammenarbeit nutzen: Dropbox, Slack, Basecamp und andere. Den Zugriff auf solche Dienste einfach zu verbieten, ist meist keine praktikable Lösung. Denn solange die Unternehmens-IT keine vergleichbaren Lösungen anbietet, fühlen die Mitarbeiter sich bei der Arbeit behindert und suchen nach Wegen, das Verbot zu umgehen – es entsteht eine „Shadow IT“, die nur schwer kontrolliert werden kann und damit erst recht Sicherheitsprobleme verursacht. Gefordert ist vielmehr eine „Adaptive Security“, die sich laufend an die Erfordernisse des Geschäftsbetriebs anpasst. Helfen können dabei Cloud Access Security Broker (CASB). Sie ermitteln, wie und wofür die Cloud-Anwendungen eines Unternehmens genutzt werden.
Verantwortliches IT Security Management fragt deshalb: Wenn die Sicherheit nicht am Perimeter und nicht am Netzwerk ansetzen kann – wie kann ich sie in den Daten selbst verankern? Das ist der Ansatz von Verfahren wie Digital Rights Management (DRM) und Data Leakage Protection (DLP). Damit kann der Eigentümer einer Datei per Verschlüsselung genau festlegen, wer eine bestimmte Datei öffnen und bearbeiten oder nur lesen darf. Ergänzend dazu lässt sich mit DLP verfolgen, wohin sich die als schützenswert eingestuften und gekennzeichneten Daten verteilen.
Vierter Schritt: Monitoring verbessern
Sicherheit ist kein Zustand, sondern ein Prozess – diese Erkenntnis ist nicht neu, aber in Zeiten der digitalen Transformation wichtiger als je zuvor, weil die Bedrohungen sich fortlaufend und immer schneller ändern. Deshalb kommt es darauf an, das Monitoring der Systeme zu verbessern und Sicherheitsvorfälle so früh wie möglich zu erkennen. Denn je eher eine Störung entdeckt wird, desto geringer sind der Schaden und die Kosten für ihre Beseitigung. Dabei darf es nicht bei einer Erkennung anhand von Signaturen bleiben, sondern die Systeme müssen Abweichungen von normalem Verhalten der Nutzer erkennen und entsprechend alarmieren. Zusätzlich helfen „Deception-Technologien“, bei denen scheinbar echte Systeme aufgebaut werden, die aber nicht wirklich genutzt werden. Finden nun Zugriffe darauf statt, ist klar, dass es sich um einen Angriff handelt.
Permanent: Sicherheitsbewusstsein fördern und fordern
Unternehmen sollten klare Regeln aufstellen, was Mitarbeiter mit welchen Geräten, Anwendungen und Daten tun dürfen – und was nicht. Dazu reicht es nicht, ihnen einzuschärfen, dass sie sich bei der Eingabe eines Passworts nicht über die Schulter schauen lassen. Vielmehr geht es darum, gemeinsam mit Betriebsrat, Datenschutz, Compliance- und Rechtsabteilung, IT und Fachabteilungen die sicherheitskritischen Punkte in den Geschäftsabläufen zu identifizieren und praktikable Lösungen dafür zu entwickeln. Immer nach dem Motto „Trust but Verify“ – prinzipiell sollte ein Unternehmen davon ausgehen, dass die Mitarbeiter ein eigenes Interesse daran haben, sich umsichtig und im Einklang mit den Sicherheitsbestimmungen zu verhalten, sofern sie regelmäßig entsprechend geschult werden. Aber in den wirklich kritischen Bereichen müssen Unternehmen stärker kontrollieren, was in ihren Netzen geschieht. Auch hierbei gilt: Solche Verfahren sind unbedingt frühzeitig im Detail mit der Arbeitnehmervertretung abzustimmen.
Martin Stemplinger ist Senior Security Consultant bei BT
- Der sichere Weg zum Digital Workplace
- Fünf Schritte zum sicheren Digital Workplace
Lesen Sie mehr zum Thema
