Bedingt durch die Lockdowns waren viele Unternehmen gezwungen, ihre Mitarbeiter ad hoc ins Home-Office zu schicken. Im Zuge dessen veränderte sich die IT-Landschaft drastisch und viele Unternehmen verlagerten innerhalb kürzester Zeit Systeme, Daten und Geschäftsprozesse in die Cloud.
Beim Cloud-Computing war über die vergangenen Jahre ein rapider Zuwachs zu verzeichnen, der auch zukünftig anhalten wird. Die Umsätze in Deutschland mit Public-Cloud-Computing werden bis 2025 von derzeit fast 650 Mio. Euro auf über 20 Mrd. Euro anwachsen.
Risiken des Fernzugriffs
Die eiligen Cloud-Initiativen zu Beginn der Pandemie gingen mit unvorstellbaren Herausforderungen für die IT-Abteilungen einher. Im Zuge einer raschen Umstellung kamen zeitaufwändige Kontrollprozesse oft zu kurz und IT-Teams mussten bei Datenschutz – und -sicherheit Kompromisse zugunsten der Geschäftskontinuität eingehen. Während ein Mindestschutz für die Verarbeitung personenbezogener Daten (z.B. über eine VPN-Verbindung) meist sichergestellt war, bewegten sich andere Prozesse (z.B. die lokale Speicherung von Geschäftsdaten auf Mitarbeiter-Laptops) in einer Grauzone.
Auch angesichts der steigenden Bedrohungslage müssen solche Sicherheitslücken auf lange Sicht beseitigt werden. Sicherheits- und Risiko-Management müssen einen hohen Stellenwert einnehmen und immer wieder neu gedacht werden. Andernfalls können sich Angreifer durch Sicherheitslücken Zugang zu sensiblen Daten eines Unternehmens verschaffen.
Zunächst sollten unnötige Programme entfernt und Sicherheits-Updates, Service Packs und Patches auf den neuesten Stand gebracht werden. Zudem müssen IT-Verantwortliche die Layer ihres Cloud-Stacks prüfen und verifizieren, wer welchen Zugriff auf Ressourcen und Unternehmensinformationen hat und Altlasten evaluieren, die durch die hastige Integration entstandenen sind.
Sichere Abhängigkeitsketten
Für einen Großteil der Arbeitnehmer ist Remote-Arbeiten zu einer Selbstverständlichkeit geworden. Eine Rückkehr zum traditionellen Arbeitsmodell, wo ausschließlich im Firmenbüro gearbeitet wird, ist unwahrscheinlich. Umso wichtiger werden Anwendungen und Plattformen, die in Kombination den Arbeitsfluss ermöglichen und aufrechterhalten oder sogar für eine höhere Produktivität sorgen.
Die Integration vieler verschiedener Systeme in einem Unternehmen (u.a. Dienste verschiedener Anbieter plus evtl. einige Open-Source-Komponenten), kann jedoch eine Gefahr darstellen, wenn nicht alle Segmente der Cloud-Infrastruktur sicherheitsgeprüft sind. Da all Systeme voneinander abhängen, sind sie nur so sicher wie das schwächste Glied in der Kette von Diensten und Cloud-Anbietern. IT-Verantwortliche sollten alle Dienste neu evaluieren und basierend auf den Anforderungen an ein hybrides Arbeitsplatzmodell die Aufgaben der gesamten Infrastruktur neu definieren.
Der abgesicherte Zugriff auf alle externen und internen Anwendungen sollte auf dem Prinzip des Least Privileged Access aufgebaut werden. Um Sicherheit unabhängig vom Standort des Anwenders umzusetzen, müssen Zugriffsrichtlinien dem Benutzer folgen und immer identisch umgesetzt werden.
Ist Zero Trust die Lösung?
Sicherheitsprobleme haben sich in den vergangenen Jahren stark verändert. Deshalb sind gezielte Maßnahmen bei der Minimierung von Cyber-Bedrohungen beim hybriden Arbeiten notwendig geworden. Nicht nur die Verwendung neuester Technologie ist von entscheidender Bedeutung, sondern auch, dass IT-Manager über die neusten, durch die Cloud bedingten Bedrohungen (u.a. Phishing-Angriffe, Fehlkonfigurationen bei Sicherheits- und Datenschutzeinstellungen, Sicherheitslücken in SaaS-Anwendungen) informiert sind und wissen, wie man ihnen begegnet.
Sicherheitsansätze wie Zero Trust können traditionelle Sicherheitskonzepte von verschiedenen IT-Sicherheitsumgebungen für den Remote- und On-Premises-Zugriff ablösen und so den Administrationsaufwand reduzieren. Der datenzentrische Ansatz, beruht dabei auf einem konstanten Monitoring aller Akteure, die auf Unternehmensdaten zugreifen, was zu einer deutlichen Risikominimierung in der digitalen Arbeitsumgebung beiträgt. Auch wenn dieser Ansatz aus Sicherheitserwägungen effektiv funktioniert, entstehen dadurch Hürden, die für IT-Mitarbeiter und Nutzer unerfreulich und für eine produktive Arbeitsweise wenig förderlich sind. Denn nicht alle Netzwerke sind für ein Zero-Trust-Modell ausgelegt und die Integration in ältere Systeme ist zeitaufwändig oder gar unmöglich. Bei der Implementierung ergibt sich grundsätzlich die Problematik, dass keine einheitliche End-to-end-Lösung und keine durchgängigen Standards existieren, da das Angebot auf dem Markt fragmentiert ist.
Risiko und Produktivität in Einklang bringen
Eine zweckmäßige Cloud-Strategie spielt in einem Unternehmen immer eine zentrale Rolle. Es gilt, Transparenz über alle Geräte, Anwendungen und Daten zu schaffen. Zudem ist die Qualifikation der Beschäftigten von entscheidender Bedeutung, um sicherzustellen, dass die neuen Technologien, Architekturen und Nutzungsmodelle im operativen Bereich auch funktionieren.
Die Herausforderung besteht darin, einerseits die Sicherheitsrisiken einzuschätzen und zu bewerten und gleichzeitig die Datenverarbeitungsanforderungen der Mitarbeiter zu berücksichtigen. Das Dilemma: Die technologischen Ressourcen sicher verwalten und die Schnittstelle zum Benutzer so einfach wie möglich halten. Denn der Einsatz von zahlreichen Systemen innerhalb eines Unternehmens soll das Arbeitsleben so einfach und produktiv wie möglich machen – sowohl innerhalb als auch außerhalb des Büros.
19.09.2022