Remote Working
Dort ansetzen, wo Anwendungen und Daten sind
Durch die Pandemie wurden viele Unternehmen dazu gezwungen, ihren Mitarbeitern schnell Homeoffice-Arbeitsplätze bieten zu können. Welchen Einfluss das auf kritische Security-Aspekte wie Datenschutz hat und wie SASE in dem Kontext seine Vorteile ausspielen kann, erläutert Forcepoint im Interview.
Wie hat die Verbreitung von Homeoffice die Risikoszenarien verändert?
Christian Patrascu: Remote Working ist in atemberaubender Geschwindigkeit nicht nur salonfähig, sondern sogar unternehmenskritisch geworden. Die Brisanz dieses Themas und der immense Druck auf rasche Umsetzung hat vielfach dazu geführt, dass die notwendigen Sicherheitsstrukturen und Compliance-Richtlinien mit diesem Tempo nicht Schritt halten konnten. Dazu kam vielfach das Zugangsproblem mit nicht ausreichend dimensionierten VPN-Verbindungen, die für diesen sprunghaft ansteigenden Bedarf einfach nicht ausgelegt waren. Das hat dazu geführt, dass für immer mehr Mitarbeiter Cloud- und SaaS-Anwendungen bereitgestellt werden mussten. Und das häufig spontan! Das mindert einerseits Visibilität und Kontrollmöglichkeiten für die IT-Abteilungen und steigert andererseits die potenziellen Zugriffsmöglichkeiten für Cyber-Attacken. Sowohl Unternehmen als auch Mitarbeiter müssen davor geschützt werden, ohne dass dadurch die Arbeit beeinträchtigt wird.
Wie sehen die damit verbundenen Herausforderungen und Bedrohungen aus?
Patrascu: Die neue Form von Mobilität hat dazu geführt, dass Mitarbeiter weitaus häufiger nicht mehr am Firmensitz arbeiten, sondern an vielen unterschiedlichen, dislozierten Arbeitsplätzen. Das wirft Fragen auf, die über die rein organisatorischen Aspekte von Mobile Device Management, BYOD (Bring Your Own Device) oder COPE (Corporate-Owned, Personally Enabled) hinausgehen. Etwa dann, wenn der Anschluss dieser Geräte an das Firmennetzwerk über ungesicherte WIFI-Netzwerke mit ihren erhöhten Risikopotenzialen erfolgt. Oder wenn der Umgang mit suspekten E-Mails am heimischen Arbeitsplatz gefährlich werden kann, weil für Nachfragen der direkte Draht zum IT-Administrator oder Kollegen vor Ort fehlt.
Wie können neue Technologien, Einstellungen und Firmenkulturen beim Schutz gegen die beschriebenen Bedrohungsszenarien helfen?
Patrascu: Auf der Technologieebene ist der umfassende Schutz von Cloud-Services essentiell. Dazu müssen die klassischen IT-Sicherheitsarchitekturen in den Unternehmen analog zu den beschriebenen Anforderungen neu aufgestellt werden. Wie das aussehen kann, haben erstmals die Analysten von Gartner mit dem Konzept des Secure Access Service Edge, kurz SASE, formuliert. Es bringt Networking und Security dorthin, wo die Anwendungen und die Daten sind: in die Cloud. Viele Anbieter haben bereits damit begonnen, Produkte und Lösungen zu entwickeln, die SASE-basierte Architekturen unterstützen, und Forpcepoint hat jüngst sogar die erste echte datenzentrierte SASE-Lösung auf den Markt gebracht. Eine Einbeziehung des eigenen Rechenzentrums in den Datenfluss von Niederlassungen und Zweigstellen ist weder sinnvoll noch erforderlich. Durch das interne Datacenter ausgelöste Verbindungs-, Performance- oder Latenzenprobleme gehören damit der Vergangenheit an. Auf der Ebene der Unternehmenskultur ist es wichtig, den Mitarbeitern ihre tragende Rolle innerhalb des Security-Konzepts deutlich zu machen und konkrete Verhaltensanweisungen mitzugeben. Statt passiver Regelerfüllung sollten sie zudem ermutigt werden, sich als aktive Wächter der Unternehmenssicherheit zu verstehen, und potentiellen Verdachtsfälle sofort nachzugehen und die zentrale IT zu informieren. Die kann mit entsprechenden Tools den Workflow von Daten und Dateien verfolgen und durch Analyse dieser Informationen den sicherheitsbewußten Umgang damit fördern.
Welchen Einfluss hat das auf kritische Security-Aspekte wie Datenschutz und Compliance?
Patrascu: Datenschutz- und Compliance-Policies sind universell gültig. Deshalb gelten die Vorgaben unabhängig von Arbeitsort und Verbindungsart. Deren konkrete Ausgestaltung im Einzelfall muss jedoch in praktisch jedem Unternehmen überarbeitet werden, um die Regularien an die neuen Herausforderungen anzupassen. Bei hybriden oder Multi-Cloud-Architekturen reicht es nicht mehr, nur das eigene Rechenzentrum und das Firmennetzwerk abzuschotten. Der Perimeter wird vielmehr definiert durch den Standort der Mitarbeiter. Ebenso müssen die Sicherheitskonzepte und -maßnahmen für die Remote- und Cloud-Verbindungen definiert und ausgestaltet werden. Auch hier gilt es wieder, die Mitarbeiter über die neuen Gefahren über Cyber-Attacken auf IT-Systeme, Kundendaten oder geistiges Eigentum aufzuklären und in geeigneten Verhaltensregeln und Abwehrmaßnahmen zu schulen.
Wie können diese Aufgaben angesicht der angespannten finanziellen Situation vieler Unternehmen sinnvoll umgesetzt werden?
Patrascu: Eines muss bei allen Kostenerwägungen klar sein: Von der Stabilität und Unüberwindbarkeit der Sicherheitsmaßnahmen kann das Überleben eines Unternehmens abhängen. Betriebsausfälle, Regressforderungen oder Vertrauensverluste in Folge des Abgriffs kritischer Daten durch erfolgreiche Cyber-Attacken gefährden seinen Fortbestand. Investitionen in Cyber Security sind deshalb ähnlich unternehmenskritsch wie etwa Forschung und Entwicklung. Dazu kommt, dass dank der Cloud die Skalierbarkeit von Security-Tools weitaus höher ist als tradierte Bereitstellungsformen. Die bislang notwendige und kostenintensive Überdimensionierung von Sicherheitsmaßnahmen für Belastungsspitzen oder Notfälle ist daher nicht mehr notwendig. Bei der Nutzung einer SASE-Architektur kann das interne Rechenzentrum kleiner und damit kostengünstiger dimensioniert werden. Gleichzeitig sind durch den sinkenden Bedarf an teuren Netzwerk-Ressourcen zusätzliche Kostenvorteile zu realisieren. Zudem beendet SASE durch einheitliche Lösungen aus der Cloud den teuren Wildwuchs an unterschiedlichsten Security-Tools und die damit verbundene personelle Ressourcenbindung. Und die neben den erwähnten Aufwendungen für technische Systeme notwendigen und wichtigen Sicherheitsschulungen für die Mitarbeiter sind unter rein finanziellen Gesichtspunkten nur mit vergleichsweise geringen Belastungen verbunden.
Lesen Sie mehr zum Thema
