Digital Workplace Security
Strategischen Einfallsvektoren Herr werden
Fortsetzung des Artikels von Teil 1
Cloud-Sicherheit – nicht selbstverständlich
Kritische Firmendaten, die in der Cloud gespeichert und über mobile Geräte aufgerufen werden, stellen die beiden größten Einfallsvektoren für Datenmissbrauch dar. Die in der Cloud betriebene IT ist aber nicht automatisch unsicherer als die im eigenen Rechenzentrum betriebene IT, solange sich der Cloud Provider an einige wichtige Sicherheitsspielregeln hält. Schließt ein Unternehmen einen Vertrag mit einem Cloud Provider, muss es wissen, wo sich die Daten befinden. Außerdem sollte es prüfen, ob die standardmäßig angebotenen Services des Anbieters die eigenen Sicherheitsstandards erfüllen oder ob zusätzliche Maßnahmen entweder vom Cloud Provider oder auch vom Auftraggeber selbst zu implementieren sind. Kunden sollten außerdem ein Auge darauf haben, ob nationale und internationale Vorschriften zur Erfassung und Nutzung personenbezogener Daten (DSGVO) sowie firmeninterne Regularien und Compliance-Vorschriften vom Dienstleister ihrer Wahl eingehalten werden beziehungsweise abbildbar sind.
Generell gilt: Nach anfänglicher Skepsis gegenüber Cloud-Diensten bewerten mittlerweile auch stark regulierte Branchen wie Banken und Versicherungen den Einsatz von Cloud Services eher positiv. Aber nicht immer bietet der Anbieter seinen Kunden automatisch ein hohes Maß an Datenschutz. Die Gefahren, die Notebooks, Tablets und Smartphones mit sich bringen, sind vielfältig: Apps aus dem Web und Dienstleistungen aus der Cloud können beispielsweise mit gefälschten Zertifikaten Login-Daten zu geschützten Seiten abgreifen. Aber auch die WLAN-Funktion „Automatisch verbinden“ birgt Risiken. Wählt sich ein Gerät in ein ungesichertes Netz ein, können Dritte die Daten schlimmstenfalls mitlesen. Eine Firewall direkt auf dem Endgerät ist daher essenziell und bildet zusammen mit klassischen Sicherheitsmechanismen wie Anti-Viren-Software, VPN-Tunnel, Webfilter oder Sandbox-Lösungen die Basis eines umfangreichen Geräteschutzes.
Mobiler Risikoschutz
Um den Verwaltungsaufwand so gering wie möglich zu halten, lassen sich mit Enterprise-Mobility-Management-Lösungen (EMM) alle Geräte zentral verwalten. So kann die IT im Notfall – etwa bei Verlust oder Diebstahl – das Gerät aus der Ferne sperren und die Geschäftsinhalte löschen. Entscheidend für EMM-Tools sind darüber hinaus Funktionen wie die Softwareverteilung inklusive Echtzeit-Updates, Deinstallationen von Applikationen oder Konfigurations-, Change- oder Patch-Management. Auch die Anwendungsverschlüsselung oder die Festlegung von Application Whitelists und Blacklists gehören zum Lösungsspektrum. Das EMM darf jedoch nicht losgelöst betrachtet werden, sondern muss Bestandteil einer umfassenden Sicherheitsstrategie sein, die den gesamten End-to-End-Sicherheitsservice abdeckt und ein umfassendes und vor allem durchgängiges Risikomanagement sicherstellt.
Digital Workplace der Zukunft – neue Gefahren
Es ist ratsam, die schriftlich niedergelegte und unternehmensweit kommunizierte Sicherheitsstrategie etwa alle drei bis vier Jahre zu überprüfen und gegebenenfalls anzupassen. Viele Firmen scheuen sich davor, aber das ist ein Fehler, der sie unter Umständen teuer zu stehen kommt. Denn der Digital Workplace verändert sich, und damit muss auch die Sicherheitsstrategie regelmäßig einem Tauglichkeitstest unterzogen werden. Das Analystenhaus Gartner hat in seiner Studie „Hype Cycle for the Digital Workplace 2018“ 40 Technologien untersucht, die den digitalen Arbeitsplatz in den kommenden zwei bis fünf Jahren entscheidend prägen. Spracherkennung, Chatbots, persönliche Assistenten und Augmented Analytics gewinnen laut Gartner an Bedeutung. Cyberkriminelle könnten die neuen Technologien für Social-Engineering-Tricks nutzen.
Matthias Straub ist Director Consulting DE & AT bei NTT Security
- Strategischen Einfallsvektoren Herr werden
- Cloud-Sicherheit – nicht selbstverständlich
- #Dwpf19: Arbeitsschutz für den Digital Workplace
Lesen Sie mehr zum Thema
