Anzeige

Cyber Security

Für IT-Security-Verantwortliche muss sich ein abrupter Wechsel vom Büro- in den vollständigen Remote-Betrieb wie ein Umzug aus einer soliden ummauerten Villa in den Wilden Westen anfühlen. Traditionelle Grenzen des On-Premises-Betriebs und damit auch die Kontrolle, die dieser bietet, gibt es nicht mehr.

Im Homeoffice kontrollieren die Benutzer Geräte und Software mehr oder weniger selbst. Und damit fangen für IT-Admins die Schwierigkeiten an. Der zu sichernde Bereich potenziert sich schlagartig. Nur ein Klick auf einen bösartigen E-Mail-Anhang, das Surfen auf einer Website mit Malware, ein offenes WLAN-Netzwerk oder ein ungesichertes Endgerät, das ein Mitarbeiter nutzt, kann Angreifern Zutritt zur IT-Unternehmensinfrastruktur verschaffen, wo sie noch größeren Schaden anrichten können.

Ausschließlich auf die Besonnenheit und Zuverlässigkeit der Belegschaft zu vertrauen, wäre ein schlechter Rat. Selbst mit ausführlicher Sensibilisierung besteht vor allem in Stresssituationen die Wahrscheinlichkeit, dass Mitarbeiter entgegen besseren Wissens einen riskanten Fehler machen. Der Druck, produktiv zu sein, ist für Arbeitnehmer im Homeoffice ohnehin schon leicht erhöht. Tatsächlich kommt die Unternehmensberatung McKinsey zu dem Schluss, dass Remote Work im Jahr 2020 die seit langem bestehenden Herausforderungen der Cybersicherheit - physische und psychologische Stressfaktoren, die Mitarbeiter dazu zwingen, Kontrollen zu umgehen, um ihre Aufgaben zu erledigen – verstärkt. Kurz gesagt, der Produktivitätsdruck kann die Sicherheit im Homeoffice erheblich beeinträchtigen.

Um auch unter diesen Bedingungen ein ausreichendes Sicherheitsniveau herzustellen, greifen IT-Admins zu den Tools, die sich im regulären Bürobetrieb für die Anbindung weniger externer Teilnehmer im Bürobetrieb bewährt haben: In erster Linie kommen Firewalls, Antivirenprogramme und VPN-Verbindungen als Sicherheitsvorkehrungen für den Zugriff auf Unternehmensressourcen zum Einsatz. Für die IT-Manager bedeutet dieser Ansatz einen spürbaren Mehraufwand: Sie müssen neue oder gegebenenfalls die persönlichen Endgeräte der Mitarbeiter absichern und die dort installierte Software stets aktuell halten. Das Durchsetzen von Datensicherheitsrichtlinien muss über diverse Security-Anwendungen hinweg sichergestellt werden. Verursacht die Firewall bei einer hohen Nutzerauslastung Bandbreitenprobleme bei den Anwendern, sehen sich die IT-Admins mit einem erhöhten Aufkommen an Supportanfragen konfrontiert. Alles in allem: Weniger Kontrolle, erhöhte Sicherheitsrisiken und suboptimale Managementprozesse. 

Was auf der IT-Security-Ebene dabei an Kontrolle verloren geht, gewinnt die Geschäftsebene hinzu. Im digitalisierten Unternehmen lassen sich neue Wege der Unternehmensführung einfacher umsetzen, da die IT-Gestaltung schnelle, effiziente Umstrukturierungen zulässt. Daher soll in vielen Firmen Remote Work künftig zumindest für Teile der Belegschaft dauerhaft beibehalten oder allgemein als Option bestehen bleiben. Einer Umfrage von Gartner nach wollen 74 Prozent der Unternehmen nicht, dass ihre Mitarbeiter in ein Büro zurückkehren. Führungskräfte auf der ganzen Welt drängen darauf, so schnell wie möglich neue Remote-Geschäftsprozesse zu etablieren, und sie sind bereit, das dafür notwendige Budget bereitzustellen.

IT-Security muss für Remote-Szenarien neu entwickelt werden

Die Ankündigung von dauerhaftem Remote Work scheint für viele IT-Admins zunächst keine erfreuliche Aussicht zu sein. Für sie bedeutet dies, eine größere Menge an Risiken mit umständlicheren Methoden zu managen. Das ist jedoch nur auf den ersten Blick der Fall. Bei genauer Betrachtung zeigt sich, dass das IT-Management von Remote Work im Jahr 2020 meist nur auf Grund der kurzfristigen Umsetzung derart aufwändig war. Die Nutzung von VPN-Verbindungen und Firewalls ist zwar ein geeigneter Weg, um im Bürobetrieb einigen wenigen Mitarbeitern Remote-Zugriff zu erlauben. Wird dieser Ansatz jedoch auf die gesamte Belegschaft ausgerollt, erweist er sich als umständlich und wenig leistungsfähig.

Neue Möglichkeiten entstehen jedoch, wenn man sich von dem Prinzip „Notfall-Remote für alle“ löst und bereit ist, die Gestaltung seiner IT-Security von Grund auf neu zu denken. Konsolidierung kann dabei ein grundlegender, erster Schritt sein: Wenn Unternehmen ihre On-Premises-Implementierungen vollständig in die Cloud verlagern, lässt sich deren Verwaltung vereinfachen. Die Anwendung von Richtlinien lässt sich durch Policy Engines, die Security-Tools wie CASBs oder SWGs anleiten, zentral durchführen. Wenn Prozesse so einfach wie möglich gehalten werden, sinkt auch die Wahrscheinlichkeit, dass Schwachstellen unbemerkt bleiben, da eine fragmentierte Sicherheitsumgebung, die sich nur schwer kontrollieren lässt, auf diese Weise vermieden wird.

Effektive Konsolidierung und Vereinfachung erlauben ein kosteneffizienteres Arbeiten. Bereitstellungen und deren Konfigurationen lassen sich innerhalb von Tagen statt Wochen durchführen und ermöglichen es Unternehmen, im Remote-Betrieb schnell die Balance zwischen Sicherheit, Verfügbarkeit und Produktivität herzustellen.

Zu guter Letzt sollte sichergestellt werden, inwieweit ein neuer Ansatz resilient gegenüber künftigen Bedrohungen und Entwicklungen ist. Die Infrastruktur sollte in der Lage sein, sich schnell und dynamisch an Änderungen der Arbeitslast anzupassen, und gleichzeitig Engpässe im Backhaul-Verkehr zu vermeiden, die sich im Laufe der Zeit auf die Produktivität auswirken können.

Die Verlagerung auf Remote Work ist ein weiterer Meilenstein der voranschreitenden Digitalisierung. Wenn Geschäftsprozesse vorwiegend digital abgewickelt werden, erhält die IT-Security eine entscheidende Bedeutung. Dieser können Unternehmen nur gerecht werden, wenn sie bereit sind, die Gestaltung ihrer IT-Security grundlegend neu zu denken. Mit den beschriebenen Grundsätzen schaffen IT-Admins geeignete Voraussetzungen, um den IT-Bedrohungen einen Schritt voraus zu sein und gleichzeitig so effizient zu arbeiten wie in On-Premises-Umgebungen.

Anurag Kahol, CTO
Anurag Kahol
CTO, Bitglass

Artikel zu diesem Thema

VPN
Mär 15, 2021

VPN-Nutzung - Unternehmen legen in Sachen Sicherheit zu

Es ist ein Jahr her, dass COVID-19 die Arbeitswelt zum ersten Mal erschütterte. Seitdem…
Datenqualität
Mär 15, 2021

Eine erfolgreiche Digitalisierungsstrategie setzt hohe Datenqualität voraus

Keine Frage: Die Corona-Pandemie hat Digitalisierungsprojekte auf der Agenda vieler…
Penetrationstest
Dez 14, 2020

Penetrationstests: Fünf Schritte zu mehr Cybersicherheit

Ein Penetrationstest ist ein beauftragter, autorisierter, geplanter sowie simulierter…

Weitere Artikel

Cyber Security

Jeder dritte Arbeitnehmer über 50 kümmert sich selbst um die private IT-Sicherheit

Arbeitnehmer in Deutschland werden in Zeiten fortschreitender Digitalisierung mit den veränderten Herausforderungen konfrontiert: Wo früher ein verschließbarer Aktenschrank die Anforderungen der Datensicherheit bereits erfüllen konnte, müssen digitale…
E-Mobility

E-Mobility-Security: Sicherheit auf drei Ebenen

Wenn von Sicherheit bei Ladestationen die Rede ist, denkt man an die Gerätesicherheit, doch wenig bis überhaupt nicht an die Cybersicherheit. Das ist ein fataler Fehler, sind Ladestationen, komplette Infrastrukturen und die damit verbunden Systeme doch ein…
Cyber Kriminalität

BSI-Lagebericht 2021: Bedrohungslage angespannt bis kritisch

Cyber-Angriffe führen zu schwerwiegenden IT-Ausfällen in Kommunen, Krankenhäusern und Unternehmen. Sie verursachen zum Teil erheblichen wirtschaftlichen Schäden und bedrohen existenzgefährdend Produktionsprozesse, Dienstleistungsangebote und Kunden.
White hacker

Penetrationstest: Ethisch korrektes Hacking für die IT-Sicherheit von Unternehmen

Jedes Unternehmen ist heute auf vielfältigste Weise mit der Welt außerhalb seiner eigenen Strukturen verbunden, sei es durch immer komplexer werdende Webanwendungen, mobile Anwendungen oder Verbindungen zu Kunden, Geschäftspartnern und Zulieferern.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.