IT-Security für den Future Workplace

Agil und mobil? Aber sicher!

04.09.2018
Von 
Jens Dose ist Redakteur des CIO Magazins. Neben den Kernthemen rund um CIOs und ihre Projekte beschäftigt er sich auch mit der Rolle des CISO und dessen Aufgabengebiet.

Benimmregeln für mehr Security

Sam Curry, Chief Security Officer, bei Cybereason, Anbieter von Endpoint-Detection- und Response-Software aus Boston, zieht für klassische Sicherheitsmaßnahmen eine vernichtende Bilanz: "Signaturen für AV funktionieren nicht mehr. Regeln für Firewalls sind nicht genug. Patchen hilft nichts. Log-Monitoring ist zu langsam." Hacker seien Menschen und daher schlussendlich immer cleverer als die fortschrittlichste KI.

Daher rät er zu einem verhaltensbasierten Ansatz und starker Authentifizierung, um verteilte Geräte und Systeme effektiv schützen zu können. Verhaltensmuster seien also der neue Perimeter. Den wichtigsten Sicherheitsaspekt stelle eine Cyber-Funktion dar, die in der Lage ist, proaktiv menschliche Verhaltensmuster in der Tiefe und vorausschauend zu überwachen.

Bei solchen Ansätzen stellt sich jedoch immer die Frage nach der Umsetzbarkeit im Einklang mit dem Datenschutz. Tendenziell ist es mit hohem organisatorischen und technischen Aufwand verbunden, derartige Mechanismen zum Sammeln und Auswerten von personenbezogenen Informationen effektiv umzusetzen. Man denke hier beispielsweise an nötige Betriebsvereinbarungen, die Einhaltung von Löschfristen und die Zweckbindung.

Worum geht es eigentlich?

Auch für Bruno Quint, Director Cloud Encryption bei Rohde & Schwarz Cybersecurity, sind infrastrukturelle Sicherheitslösungen zum Scheitern verurteilt. IT-Security am Arbeitsplatz wurde bis dato immer über Infrastrukturlösungen, Plattformen oder Applikationen umgesetzt. Dazu zählen zum Beispiel Lösungen wie Perimeter-Security (Firewalls), gehärtete Betriebssysteme oder Web Application Firewalls. "Was man aber eigentlich schützen will, sind die Daten," konstatiert Quint und schlussfolgert: "Wenn ich Daten schütze, ist es egal, in welcher Infrastruktur ich sie nutze, transportiere oder ablege."

Daher sollte beim Future Workplace ein datenzentrischer Ansatz gewählt werden. Herkömmliche Sicherheitskonzepte würden lediglich zwischen öffentlichen und Firmennetzwerken unterscheiden. Für die Absicherung von Daten außerhalb des eigenen Netzwerkes greife diese "Perimetersicherheit" jedoch zu kurz. Denn nur wenn Dateien den Schutz in sich selbst trügen, seien sie auch in der Cloud vor Angriffen sicher.

Daten müssten also zum Beispiel direkt über Verschlüsselung geschützt werden, anstatt die Sicherheit an ein äußeres Tor zu übertragen. Der Nachteil dabei sei bislang gewesen, dass die verschlüsselten Daten nicht mehr direkt verarbeitbar waren. Virtualisierte Lösungen können hier Abhilfe schaffen.

Dadurch könne das Arbeiten in Public Clouds wie Google Drive, Box oder Magenta Cloud und Collaboration-Lösungen wie Office 365 und SharePoint sicherer gemacht werden. Geschäftskritische Informationen würden in Form von virtualisierten Daten zur Verfügung gestellt, mit denen Nutzer wie gewohnt arbeiten könnten. Die Originaldaten würden hingegen verschlüsselt und fragmentiert in konfigurierbaren Speicherorten abgelegt und seien somit vor Cyberangriffen geschützt. Berechtigte User könnten jedoch weiterhin auf die unverschlüsselten "echten" Daten zugreifen.

Eine Frage der Umsetzbarkeit

Die Ansätze, den zukünftigen Arbeitsplatz sicherer zu machen, sind so vielfältig, wie die Gadgets der Generation Y. Es bleibt die Frage, welcher davon sich am Ende durchsetzen wird. Die Weiterentwicklung von klassischen Infrastruktur-basierten Lösungen bietet die Möglichkeit, auf bestehende Konzepte aufzubauen und so die Sicherheitsstrategie nach und nach an die neuen Gegebenheiten anzupassen. Aber vielleicht braucht eine radikal neue Arbeitswelt auch radikal neue Herangehensweisen? Frische Ideen finden sich genügend im Markt, jedoch steht die langfristige Um- und Einsetzbarkeit bei einigen noch in den Sternen.