Sie sind hier: HomeMobile Solutions

Digital Workplace: Sicherheit auf allen Ebenen

Fortsetzung des Artikels von Teil 1.

Ein neues Einfallstor

IT-Security, Datenschutz und Compliance müssen in Digital-Workplace-Strategien eine zentrale Rolle einnehmen, sind integraler Bestandteil, denn Mitarbeiter greifen über Mobile Devices, Collaboration-Lösungen und Cloud-Speicher auf sensible, in vielen Fällen personenbezogene Daten zu – und das im Zweifelsfall auch außerhalb des Unternehmensnetzwerks, über ungesicherte Verbindungen oder externe Endgeräte. Zahlreiche IT-Verantwortliche sehen daher nicht nur die Komplexität der Systemlandschaft als Herausforderung an, sondern befürchten ganz konkret, bei der Entwicklung der Workplace-Infrastruktur schlimmstenfalls neue Einfallstore für Cyberkriminelle zu schaffen. Laut einer von IDG Research Services durchgeführten Umfrage zum Thema Arbeitsplatz der Zukunft treibt 45,3 Prozent der knapp 300 befragten Entscheider die Sorge um, gegebenenfalls neue Schwachstellen zu schaffen, 48,8 Prozent der Teilnehmer sehen die Datensicherheit als Herausforderung und 35,1 Prozent das Thema Safety beziehungsweise Betriebssicherheit. Entsprechend bezeichnen 44,2 Prozent der Entscheider den gesamten Bereich Security als wichtigen Teilbereich des Themenkomplexes Arbeitsplatz der Zukunft, direkt hinter „Mobilität und Technologie“.

Das Bewusstsein um die Risiken des digitalen Arbeitsplatzes ist in den Unternehmen verankert. Umso wichtiger ist es, besonders in Hinblick auf die steigende Bedrohung durch Cyberkriminalität, dieses Wissen von Anfang an in die Praxis und die Ausarbeitung eines Digital-Workplace-Konzeptes einfließen zu lassen. Das systematische Vorgehen folgt dabei einem ähnlichen Aufbau wie auch andere gängige Security-Strategien: Am Anfang steht die Analyse der eigenen Infrastruktur, der bestehenden Risiken und vor allem der vorhandenen Daten. Diese müssen kategorisiert und klassifiziert werden. Ein besonderer Fokus sollte dabei auf den personenbezogenen Daten liegen, um den Vorgaben der Datenschutzgrundverordnung jederzeit Rechnung zu tragen, die am digitalen Arbeitsplatz nochmals stärker ins Gewicht fallen. Denn UC- und Collaboration-Tools können ihr Potenzial erst entfalten, wenn auch die entsprechende Informationen über Kollegen und Kunden verarbeitet werden dürfen. Ein effektiver Datenschutz ist daher die oberste Prämisse und bestimmt nicht zuletzt die Frage, wie genau die Systemlandschaft gestaltet werden muss.

Betriebsrat frühzeitig informieren

Am UCC-Anwendungen lässt sich darüber hinaus exemplarisch ablesen, wie wichtig es ist, nicht nur die Fachabteilungen in die Planung einzubeziehen, sondern auch den Betriebsrat früh über Strategie und Technologie zu informieren. Immerhin können diverse Funktionen und erhobene Daten nicht nur im Kundenkontakt kritisch sein, sondern auch unternehmensintern zum Stolperstein avancieren. So dürfte eine aktivierte Präsenzanzeige selbst heutzutage in zahlreichen Unternehmen eine hitzige Diskussion rund um Leistungs- und Anwesenheitskontrollen befeuern. Wenn Digitalisierungsverantwortliche aber schon vor der konkreten Umsetzung den Dialog mit dem Betriebsrat und der Belegschaft suchen, lassen sich entsprechende Missverständnisse gegebenenfalls frühzeitig umgehen.

Auch am Digital Workplace gilt darüber hinaus: Der wohl wichtigste Faktor einer Sicherheitsstrategie ist der Mitarbeiter selbst. Die besten Sicherheitsvorkehrungen haben kaum einen Effekt, wenn Nutzer zu leichtfertig mit Endgeräten und Daten agieren. Daher sollten regelmäßige Schulungen zur Grundlage jedes Workplace-Konzeptes gehören: sowohl in Hinblick auf die Einarbeitung in neue Prozesse und Werkzeuge als auch etwaige Sicherheitsrisiken. Zusätzlich müssen IT-Abteilung, Betriebsrat, Datenschutzbeauftragte, Fachabteilungen, Geschäftsführung und gegebenenfalls auch die Rechtsabteilung klar definieren, welche Mitarbeiter mit welchem Endgeräten von wo Zugriff auf welche Systeme und Daten haben. Je weniger die Zugriffsrechte reguliert sind, umso größer ist die Gefahr, dass Daten und Informationen aus dem Unternehmen gelangen können. Sollte der Worst Case dennoch eintreten, muss bereits vorab feststehen, welche Mechanismen in diesem Fall greifen.

Identity- und Access-Management

Ein wichtiger technischer Sicherheitsfaktor im Rahmen des Digital Workplace ist das Identity- und Access-Management. Denn nicht immer kommt ein VPN für einen sicheren externen Zugriff auf das Firmennetzwerk zur Anwendung, doch auch bei Remote-Verbindungen können moderne IAM-Lösungen mittlerweile ein größtmögliches Maß an Sicherheit gewährleisten. Während innerhalb des Unternehmensnetzwerks beispielsweise eine klassische Anmeldung über Benutzernamen und Passwort erfolgt, kann ein externer Zugriff oder ein Zugriff unter vordefinierten Bedingungen (beispielsweise Ort oder Zeitzone) eine Zwei-Faktor-Authentisierung erfordern. So haben Cyberkriminelle selbst über das Endgerät eines Mitarbeiters sowie mit dem passenden Passwort kaum eine Chance, auf kritische Daten zuzugreifen, da der zweite Faktor fehlt. Gerade in Hinblick auf Authentifizierung und Authentisierung der Nutzer gilt jedoch: Unternehmen müssen das Gleichgewicht zwischen Sicherheit und Nutzerfreundlichkeit wahren. Wer den Zugriffsprozess zu kompliziert und hürdenreich gestaltet, könnte letztendlich die
angestrebte Effizienz und Flexibilität des mühsam erstellten Digital-Workplace-Konzeptes beschränken oder gar verfehlen.

Dieser Ansatz gilt auch für den Einsatz von externen Lösungen wie Cloud-Speichern oder mobilen Datenträgern. In vielen Fällen haben Unternehmen bereits den Einsatz von USB-Sticks gänzlich untersagt und die entsprechenden Ports an den Rechnern der Mitarbeiter gesperrt, um zu verhindern, dass fremde Daten in das Firmennetzwerk gelangen. Wer jedoch mit strikten Verboten agiert und die Nutzung externen Services gänzlich unterbindet, läuft Gefahr, dass Nutzer kreative Wege um diese Restriktionen herum finden und in kritischen Fällen eine Schatten-IT errichten, die sich komplett außerhalb der Reichweite der eigenen Sicherheits- und Datenschutz-Maßnahmen befindet. Der ungebrochene Einsatz von WhatsApp im Business-Umfeld und die damit verbundenen oftmaligen Verletzungen verschiedener Datenschutzvorgaben sind dafür ein gewichtiges Beispiel. Die Bereitstellung moderner, leistungsfähiger und vor allem nutzerfreundlicher Arbeitswerkzeuge kann aber bereits der erste Schritt sein, um dem Einsatz von Schatten-IT entgegenzuwirken. Martin Stemplinger, Senior Security Consultant bei BT, forderte darüber hinaus in einem funkschau-Beitrag bereits vor rund zwei Jahren eine „Adaptive Security“, die sich laufend an die Erfordernisse des Geschäftsbetriebs anpasst und auch die Nutzung externer Services und Lösungen berücksichtigt. Er empfiehlt eine Security-Architektur, die nicht starr ist, sondern sich stetig am laufenden Betrieb orientiert, indem sie die Datenströme nicht nur punktuell, sondern permanent analysiert. 

Hier greift auch das Monitoring im eigenen Unternehmensnetzwerk an. Der aktiven Beobachtung kommt in Digital-Workplace-Strategien eine große Bedeutung zu. Denn Unternehmen, die das normale Verhalten der Nutzer auch in einer heterogenen Systemlandschaft und über zahlreiche mobile Endgeräte hinweg kennen, können Anomalien frühzeitig erkennen und auf diese reagieren. Hier kommt es aber schon längst nicht mehr auf ein scharfes Auge des IT-Administrators an. Wie Crisp Research erklärt, rüsten Hersteller unter anderem ihre Lösungen für Unified Endpoint Management (UEM) zusehends mit Machine-Learning-Mechanismen aus. So lassen sich Abweichungen mit jedem Tag, mit jeder Handlung im Netzwerk und mit jedem Vorfall effektiver erkennen und entsprechende Reaktionen auslösen. Laut Crisp könne eine Echtzeit-Entscheidung zur Sperrung von Zugängen oder Geräten nicht mehr von Menschenhand erfolgen. „Daher werden Machine-Learning- und AI-Lösungen dabei helfen, das Management fast vollständig zu automatisieren“, so Maximilian Hille von Crisp. „Die Admin- und IT-Teams legen die Richtlinien fest und optimieren den Zugriff auf die Anwendungen für eine optimale User Experience, während die standardisierbaren Schutz- und Management-Aufgaben automatisiert erfolgen können.“ Demnach habe UEM laut Hille daher eine entscheidende Rolle für den Erfolg des Digital Workplace. Es diene nicht nur als „Schutzpatron der DSGVO-Konformität zum Überblick aller Daten und Prozesse im Unternehmen, sondern sei als Fundament des vernetzten digitalen Arbeitsplatzes aus vielen Endgeräten und Apps alternativlos“.