everythingpossible - stock.adobe
Home-Office: Security und Datenschutz richtig umsetzen
Das Thema sichere Identitäten ist bei der Umsetzung von Telearbeit von großer Bedeutung. Richtig angewandt, können Unternehmen daraus Sicherheitsstandards für die Zukunft ableiten.
Das Phänomen Home-Office ist kein Trend mehr, sondern in Zeiten der aktuellen Situation die neue Normalität für viele Mitarbeiter verschiedenster Branchen. Für viele Unternehmen war die Idee der Telearbeit bisher unvorstellbar und eine Praktik, die viele Betriebe nicht unbedingt in Betracht gezogen haben.
Eine im Sommer 2019 erschienene Studie des Instituts für Arbeitsmarkt- und Berufsforschung (IAB) ergab beispielsweise, dass viele Entscheider dem Thema durchaus kritisch gegenüberstanden. In dieser Studie berichteten 22 Prozent der befragten Betriebe, dass die Arbeit von Zuhause aus ihrer Meinung nach die Zusammenarbeit unter den Angestellten erschweren würde, weitere 16 Prozent gaben Datenschutzbedenken an.
Die Situation wurde im Frühjahr 2020 aufgrund der aktuellen Ereignisse innerhalb weniger Wochen auf den Kopf gestellt.
Neue Bedingungen – Neue Herausforderungen für Betriebe
Im Zuge der Pandemie schreiben die Regierungen vieler Länder ihren Bürgern nun vor, zu Hause zu bleiben, um die ungezügelte Ausbreitung des Virus zu verhindern und dadurch Leben zu retten. Für die Arbeit gilt hier: Wem es möglich ist von Zuhause aus zu arbeiten, der solle dies auch unbedingt tun.
Wie verbreitet Home-Office derzeit ist, zeigt die Tatsache, dass Microsoft bekannt gab, die Zahl der täglichen aktiven Nutzer von Teams – seinem Gruppen-Kollaborationsdienst – sei innerhalb von sieben Tagen von 32 Millionen auf 44 Millionen aktive Nutzer pro Tag angestiegen. Zum Vergleich: Im November 2019 lag die Zahl der täglich aktiven Teams-Nutzer erst bei 20 Millionen.
Das unglaubliche Tempo, mit dem Unternehmen ihre Zugangsrichtlinien, VPNs, Tools und Anwendungen ändern mussten, um die Anweisungen ihrer Regierung zu befolgen, hat die ohnehin schon schwer beschäftigten IT- und Sicherheitsteams enorm belastet.
Als wäre dies nicht schon genug, gaben laut der Studie des IAB aus dem Jahr 2019 ganze 54 Prozent der Beschäftigten an, dass die technischen Voraussetzungen dafür nicht einmal gegeben seien. Da das Arbeiten aus der Ferne auf absehbare Zeit zur De-facto-Normalität wird, sind die Firewalls von Unternehmen zur Absicherung der Netzwerke nicht mehr ausreichend.
Jetzt ist es mehr denn je wichtig, sich bewusst zu machen, dass das Thema digitale Identität und ein effektives Identity Management die Grundlage für Sicherheitspraktiken in schwierigen Zeiten sein muss.
Technische Lösungen helfen bei der Bewältigung
Mit einer robusten und skalierbaren Identitätsplattform können Unternehmen zusätzliche Sicherheitsmaßnahmen nutzen, die sowohl eine attributbasierte Zugangskontrolle (Attribute-based Access Control, ABAC) als auch eine rollenbasierte Zugangskontrolle (Role-based Access Control, RBAC) umfassen können.
Nicht nur die jeweilige Identität und Rolle des Mitarbeiters innerhalb des Unternehmens bestimmen den Zugang, den die Person erhält, sondern auch die Art des verwendeten Geräts sowie der Zeitpunkt des Zugangs. Beispielsweise könnte der Benutzer nach 17 Uhr daran gehindert werden, von seinem Smartphone aus auf Finanzsysteme zuzugreifen. So können also bestimmte Remote-Anwendungen teilweise und umstandsgebunden gesperrt werden, um das Sicherheitsniveau im gesamten IT-Betrieb zu erhöhen.
Compliance und Datenschutz nicht außer Acht lassen
Ein weiterer Punkt ist in diesem Zusammenhang die EU-DSGVO (Datenschutz-Grundverordnung). Denn: Auch wenn Unternehmen besonders darauf achten, wie Mitarbeiter auf ihre Dateien zugreifen – die sich vielleicht auf einem internen Server, auf einem Cloud-Storage-Standort wie Box oder sogar auf Team-Sharing-Diensten befinden – gilt es dennoch, auch die DSGVO und andere Vorschriften zu beachten.
Betriebe müssen in der Lage sein zu wissen, welche Daten sensibel sind, welche redundant sind, welche gemeinsam genutzt werden können und welche gelöscht werden müssen. Der Grund: Den offenen Zugang zu allen Dateien und Ordnern zu gewähren, ist das Äquivalent einer weit geöffneten Eingangstür im Büro, während man selbst von Zuhause aus arbeitet.
Ein neuer Ansatz für die Zukunft?
Unternehmen aller Größen müssen in dieser Krisenzeit das Thema Identität neu betrachten. Eine robuste Plattform basierend auf künstlicher Intelligenz (KI), die von einem Algorithmus für maschinelles Lernen unterstützt wird, kann hier helfen. Diese kann dafür sorgen, dass Betriebe sichergehen können, dass ihre Mitarbeiter geschützt sind, dass ihnen der angemessene Zugang gewährt wird, dass sie in Echtzeit auf Ereignisse außerhalb des gewohnten Betriebs reagieren sowie jede Zugriffsanfrage und jede Aktivität überprüfen können.
„Betriebe müssen in der Lage sein zu wissen, welche Daten sensibel sind, welche redundant sind, welche gemeinsam genutzt werden können und welche gelöscht werden müssen.“
Volker Sommer, SailPoint
Wenn die Firmenbüros in absehbarer Zeit wieder besetzt werden können, wird dies hoffentlich der neue Sicherheitsstandard sein: Die Verwaltung aller digitalen Identitäten von Unternehmen (Mitarbeiter, Auftragnehmer, Zeitarbeiter, Praktikanten) sowie die Mittel und Wege ihres digitalen Zugriffs auf Firmendaten müssen angemessen überwacht und geschützt werden.
Nur so können sie sicherstellen, dass sie souverän durch den Pfad voller Stolpersteine navigieren können, die ihnen wohl oder übel auch in Zukunft in den Weg gelegt werden.
Über den Autor:
Volker Sommer ist Area Vice President DACH und Eastern Europe bei SailPoint.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.