IT-Security für den Future Workplace

Agil und mobil? Aber sicher!

04.09.2018
Von 
Jens Dose ist Redakteur der COMPUTERWOCHE und betreut in erster Linie Themen rund um IT-Sicherheit, Datenschutz und Compliance.

Patch-Management, Konsolidierung und Drittanbieter

Für Dr. Lars Lippert, Vorstand bei der Augsburger Baramundi Software AG, liegt dagegen der Risiko-Faktor Nummer eins des Future Workplace nicht im Netzwerk, sondern in mangelndem oder fehlendem Patch-Management. "Immer mehr Schwachstellen werden in immer kürzeren Abständen publik. Um hier in der IT-Sicherheit keine Schutzlücken aufkommen zu lassen, muss die IT sehr effizient arbeiten," kommentiert er.

Um dies zu realisieren, rät er zu einer vierstufigen Sicherheitsstrategie. Jede Maßnahme darin fuße auf Transparenz und Nachvollziehbarkeit auf technischer und organisatorischer Ebene:

  1. Eine Bestandsaufnahme aller im Netzwerk vorhandener Endgeräte, Software und Prozesse.

  2. Darauf aufbauend eine realistische Risikobewertung.

  3. Kontinuierliche Prüfung auf Schwachstellen und Sicherheitslücken mit dem dazugehörigen Patch-Management.

  4. Die Implementierung von Lösungen, die im Ernstfall aktiven Schutz bieten, wie ein Enterprise Mobility Management, mit dem beispielsweise abhanden gekommene Mobilgeräte per Remote Wipe unschädlich gemacht werden können.

Zudem sieht Lippert die Sensibilisierung der Mitarbeiter als zentralen Sicherheitsfaktor des modernen Arbeitsplatzes.

Für Quest-Manager Skorupski geht der Trend auf technischer Ebene hin zur Konsolidierung der Infrastruktur, um den nötigen Sicherheitsstandard bei gleichzeitiger Reduzierung der Komplexität zu erreichen. Themen wie Bestandsaufnahme von Berechtigungen, Auditierung der Nutzung dieser Berechtigungen bis hin zur Erkennung von unüblichen Verhaltensmustern müssten dabei zwingend abgedeckt sein.

Um zugleich agil auf aktuelle und zukünftige Herausforderungen reagieren zu können, rät Skorupski zu Drittanbieterlösungen. Diese würden sich klar auf die Aufgabenstellung fokussieren und seien im Vergleich zu Eigenentwicklungen und Workarounds deutlich zukunftsorientierter. Sie würden frühzeitig auf marktübliche Bedürfnisse reagieren, seien direkt verfügbar und üblicherweise durch aufwändige Tests bereits auf Schwachstellen geprüft.

Ein Großteil dieser Lösungsansätze ergänzt bestehende Infrastruktur um neue Technologien oder baut bekannte Sicherheitsstrategien aus. Dieses Festhalten an traditionellen Methoden hat jedoch einen Haken: die Angreifer wissen es. Wie Michael George, Leiter Cyber Allianz beim Landesamt für Verfassungsschutz, vor Kurzem sagte: "Wenn wir immer höhere Mauern bauen, bauen die Hacker noch höhere Leitern. Das ist ein Wettrennen, das wir nicht gewinnen können."

Ausgetretene Pfade könnten also nicht ans Ziel führen. Daher existieren auch einige unorthodoxere Sicherheits-Ansätze.

Eine Frage der Identität

Microsoft-Manager Komotoglou ist der Meinung, dass traditionelle (physische) Sicherheitsperimeter in Zeiten von Cloud und mobilem Arbeiten nicht mehr ausreichen. "Identity ist das neue Perimeter und Access Management wird damit die neue Herausforderung für Unternehmen," konstatiert er.

Die Säulen der modernen Arbeitsplatzsicherheit seien demnach der Schutz der Geräte, Business Apps und Daten anstelle des Netzwerks. Dazu komme die Absicherung von Cloud-Diensten und der Schutz der Benutzeridentitäten. Um die tägliche Administrationsarbeit möglichst gering zu halten, werde all dies über eine zentrale Plattform oder Suite verwaltet, die in ein Ökosystem mit Third Party-Anbietern integriert sei. Single-Sign-On (SSO) und Multi-Faktor-Authentifizierung (MFA) würden dafür sorgen, dass sowohl das Benutzererlebnis als auch die Sicherheit verbessert würde.

All das sei möglich, wenn man statt On-Premise-Lösungen die Cloud nutze. Sie entwickle sich schnell weiter, und könne so besser vor Sicherheitsbedrohungen schützen, sie erkennen und darauf reagieren.

Allerdings ist hier Vorsicht geboten. Sobald ein Unternehmen mit Firmensitz in den USA über Cloud-basierte Lösungen spricht, sollten bei IT-Verantwortlichen die Alarmglocken läuten. Durch den kürzlich verabschiedeten CLOUD-Act dürfen US-Behörden zukünftig auch ohne Rückgriff auf internationale Rechtshilfeabkommen Zugriff auf (personenbezogene) Daten von (US-)Unternehmen erhalten, die nicht in den USA gespeichert werden. Dies könnte eine direkte Verletzung der DSGVO darstellen.

Microsoft arbeitete daher mit T-Systems als deutschem"Datentreuhänder" zusammen. So hatte das US-Unternehmen ausschließlich im Rahmen der Treuhandvereinbarung für Zwecke der Wartung und des Supports Zugriff auf die Daten erhalten, für andere Zwecke jedoch nicht. Diese Zusammenarbeit wurde kürzlich von Microsoft beendet.

Mehr zum Themenkomplex erfahren Sie in unserer Sektion Datensicherheit in der Cloud.