Laut der IDG-Studie "Arbeitsplatz der Zukunft 2018" verfolgt mehr als die Hälfte der befragten Unternehmen in Deutschland eine Strategie für die Einführng neuer, flexibler Arbeitsplatz- und Mobilitätskonzepte. Das ist nicht verwunderlich, spielen doch moderne Arbeitsumgebungen eine immer wichtigere Rolle im Kampf um die begehrtesten Talente im Markt. Man denke nur an Microsofts hochmodernes Vorzeigebüro in München Schwabing: Nach eigenen Angaben hat das IT-Unternehmen seit der Eröffnung Ende 2016 schon etwa 80.000 Interessenten durch den Standort geführt, die wissen wollten, wie man denn nun zukünftig arbeite.
Foto: SFIO CRACHO - shutterstock.com
Der gefühlte Handlungsdruck ist der Umfrage zufolge sogar derart hoch, dass die Umsetzung des "Arbeitsplatzes der Zukunft" mehrheitlich weit vor Trendthemen wie dem Internet of Things (IoT) oder Analytics liegt. Allein die IT-Sicherheit wird als wichtiger eingeschätzt. Und genau hier liegt der Knackpunkt.
Die Forderung nach mehr Mobilität und Unabhängigkeit, gepaart mit neuen Formen der Zusammenarbeit, begünstigt eine Zersplitterung der zu schützenden Umgebung. Konstanter und nahtloser Datenaustausch über eine zunehmend volatile und hochkomplexe Gerätelandschaft ist ein Albtraum in Sachen Administration und vor allem Sicherheit.
Grenzenloses Risiko
"Sicherheitsverletzungen sind keine Frage des 'ob', sondern des 'wann'," bewertet Stratos Komotoglou, Subsidiary Product Marketing Manager Security bei Microsoft Deutschland, die aktuelle Bedrohungslage. Einerseits biete eine Mobile Workforce enorme Chancen durch mehr Mobilität, individuelle Produktivität und mehr Flexibilität, um beispielsweise Beruf und Familie besser vereinbaren zu können. Andererseits stelle sich die Herausforderung, die vielfältige Geräte- und Service-Landschaft einheitlich zu verwalten und zuverlässig abzusichern, ohne dass es einen festgelegten Perimeter (Übergang zwischen dem Unternehmensnetz und einem öffentlichen Netz wie dem Internet) gebe.
Ähnlich sieht das Lars Hartmann, Sales Director DACH bei HPE Aruba, Anbieter von IT- und Netzwerklösungen: "Durch Mobility, BYOD, Cloud und IoT verschwimmen die Grenzen der IT-Infrastruktur von Unternehmen zunehmend." Daher müsse zusätzlich zur Absicherung des Perimeters das wachsame Auge auch nach innen gerichtet werden, da gelungene Angriffe heute immer noch viel zu lange von Menschen und Systemen unentdeckt bleiben würden.
Einen weiteren wichtigen Aspekt nennt Timo Weberskirch, Sales Engineer für den Bereich Unified Endpoint Management bei Quest Software: "Es muss nicht immer der böswillige Angriff auf ein IT-System sein, der ein Unternehmen und dessen Daten gefährdet." Auch banale Dinge, wie zum Beispiel das Vergessen oder Verlieren eines Gerätes, könnten fatale Folgen haben. Dazu ergänzt sein Kollege Bert Skorupski, Sr. Manager, Sales Engineering für den Bereich Microsoft Platform Management: "Am modernen Arbeitsplatz hat sich die Angriffsfläche durch die Cloud und die Mobilität der IT nachteilig vergrößert." Noch mehr Wege würden heute und künftig zu den wertvollen Daten führen. Durch die fehlenden Grenzen auf Netzwerkebene verschiebe sich so die Bedrohungslage mehr und mehr ins Innere der IT und des Unternehmens, sodass aus einem gekaperten Mobilgerät schnell ein ernster Insider Threat entstehen könne.
Die schiere Anzahl und Mobilität der Geräte stellt also eines der größten Probleme bei der Absicherung des Future Workplace dar. Bisher relativ feste Unternehmensgrenzen weichen auf oder verschieben sich, sodass klassische Methoden zur Absicherung und Überwachung der Infrastruktur nur noch schlecht oder überhaupt nicht mehr funktionieren.
Wie können sich Unternehmen in einem solchen Szenario dennoch schützen?
Netzwerk, Netzwerk, Netzwerk
Wenn es nach HPE geht, müssen moderne Sicherheitslösungen bei der Netzwerkinfrastruktur angreifen, da sie der Transportweg für alle Applikationen und Geräte ist. Um ein möglichst hohes Sicherheitsniveau zu erreichen, solle eine "herstellerübergreifende und offene Sicherheitsarchitektur" aufgebaut werden, die einen Ansatz auf verschiedene Ebenen ermöglicht. Dieser solle aus einer Kombination aus Netzwerkzugangskontrolle (Network-Access-Control, NAC), Rechtemanagement und Segmentierung bis hin zum Einsatz von Trusted-Platform-Module (TPM)-Chips auf Hardware-Ebene bestehen. Machine Learning und Big Data sollen dabei helfen, dass Administratoren und Sicherheitsverantwortliche auch die Menge an Informationen aus diesem Sammelsurium sinnvoll verwenden und im Angriffsfall schnell reagieren können.
Auch Anand Oswal, Senior Vice President of Engineering, Enterprise Networking Business bei Cisco, glaubt, "dass das Netzwerk selbst von grundlegender Bedeutung ist, um der Komplexität moderner Arbeitsplatzanforderungen Herr zu werden." Die Kalifornier setzen daher auf sogenanntes "Intent based Networking". Dabei würden Identitäts- und Sicherheitsrichtlinien auf Basis von Geräten oder Gerätegruppen angewandt, sodass sie quasi dem Nutzer folgen, unabhängig, von wo aus er auf das Netzwerk zugreift. So habe jeder Nutzer stets nur Zugriff auf die für ihn zugelassenen Ressourcen. Das mache die Sicherheit für jedes Gerät persistent.
Die macmon secure GmbH setzt ebenfalls beim Netzwerk an, um Datenlecks durch fremde oder gehackte Mobilgeräte zu vermeiden. Allerdings konzentriert sich der Berliner Hersteller ganz auf den Netzwerkzugang und gibt an, dass mit seiner herstellerunabhängigen, SNMP-basierten NAC-Lösung alle Geräte im Netzwerk visualisiert sowie Zugangs- und Nutzungsmöglichkeiten gesteuert werden könnten. Für einen umfassenderen Schutz verfüge die Lösung durch zahlreiche Technologiepartnerschaften, die das Unternehmen unterhält, über Schnittstellen beispielsweise zu Mobile Device Management (MDM)- oder Antivirus-Lösungen.
Patch-Management, Konsolidierung und Drittanbieter
Für Dr. Lars Lippert, Vorstand bei der Augsburger Baramundi Software AG, liegt dagegen der Risiko-Faktor Nummer eins des Future Workplace nicht im Netzwerk, sondern in mangelndem oder fehlendem Patch-Management. "Immer mehr Schwachstellen werden in immer kürzeren Abständen publik. Um hier in der IT-Sicherheit keine Schutzlücken aufkommen zu lassen, muss die IT sehr effizient arbeiten," kommentiert er.
Um dies zu realisieren, rät er zu einer vierstufigen Sicherheitsstrategie. Jede Maßnahme darin fuße auf Transparenz und Nachvollziehbarkeit auf technischer und organisatorischer Ebene:
Eine Bestandsaufnahme aller im Netzwerk vorhandener Endgeräte, Software und Prozesse.
Darauf aufbauend eine realistische Risikobewertung.
Kontinuierliche Prüfung auf Schwachstellen und Sicherheitslücken mit dem dazugehörigen Patch-Management.
Die Implementierung von Lösungen, die im Ernstfall aktiven Schutz bieten, wie ein Enterprise Mobility Management, mit dem beispielsweise abhanden gekommene Mobilgeräte per Remote Wipe unschädlich gemacht werden können.
Zudem sieht Lippert die Sensibilisierung der Mitarbeiter als zentralen Sicherheitsfaktor des modernen Arbeitsplatzes.
Für Quest-Manager Skorupski geht der Trend auf technischer Ebene hin zur Konsolidierung der Infrastruktur, um den nötigen Sicherheitsstandard bei gleichzeitiger Reduzierung der Komplexität zu erreichen. Themen wie Bestandsaufnahme von Berechtigungen, Auditierung der Nutzung dieser Berechtigungen bis hin zur Erkennung von unüblichen Verhaltensmustern müssten dabei zwingend abgedeckt sein.
Um zugleich agil auf aktuelle und zukünftige Herausforderungen reagieren zu können, rät Skorupski zu Drittanbieterlösungen. Diese würden sich klar auf die Aufgabenstellung fokussieren und seien im Vergleich zu Eigenentwicklungen und Workarounds deutlich zukunftsorientierter. Sie würden frühzeitig auf marktübliche Bedürfnisse reagieren, seien direkt verfügbar und üblicherweise durch aufwändige Tests bereits auf Schwachstellen geprüft.
Ein Großteil dieser Lösungsansätze ergänzt bestehende Infrastruktur um neue Technologien oder baut bekannte Sicherheitsstrategien aus. Dieses Festhalten an traditionellen Methoden hat jedoch einen Haken: die Angreifer wissen es. Wie Michael George, Leiter Cyber Allianz beim Landesamt für Verfassungsschutz, vor Kurzem sagte: "Wenn wir immer höhere Mauern bauen, bauen die Hacker noch höhere Leitern. Das ist ein Wettrennen, das wir nicht gewinnen können."
Ausgetretene Pfade könnten also nicht ans Ziel führen. Daher existieren auch einige unorthodoxere Sicherheits-Ansätze.
Eine Frage der Identität
Microsoft-Manager Komotoglou ist der Meinung, dass traditionelle (physische) Sicherheitsperimeter in Zeiten von Cloud und mobilem Arbeiten nicht mehr ausreichen. "Identity ist das neue Perimeter und Access Management wird damit die neue Herausforderung für Unternehmen," konstatiert er.
Die Säulen der modernen Arbeitsplatzsicherheit seien demnach der Schutz der Geräte, Business Apps und Daten anstelle des Netzwerks. Dazu komme die Absicherung von Cloud-Diensten und der Schutz der Benutzeridentitäten. Um die tägliche Administrationsarbeit möglichst gering zu halten, werde all dies über eine zentrale Plattform oder Suite verwaltet, die in ein Ökosystem mit Third Party-Anbietern integriert sei. Single-Sign-On (SSO) und Multi-Faktor-Authentifizierung (MFA) würden dafür sorgen, dass sowohl das Benutzererlebnis als auch die Sicherheit verbessert würde.
All das sei möglich, wenn man statt On-Premise-Lösungen die Cloud nutze. Sie entwickle sich schnell weiter, und könne so besser vor Sicherheitsbedrohungen schützen, sie erkennen und darauf reagieren.
Allerdings ist hier Vorsicht geboten. Sobald ein Unternehmen mit Firmensitz in den USA über Cloud-basierte Lösungen spricht, sollten bei IT-Verantwortlichen die Alarmglocken läuten. Durch den kürzlich verabschiedeten CLOUD-Act dürfen US-Behörden zukünftig auch ohne Rückgriff auf internationale Rechtshilfeabkommen Zugriff auf (personenbezogene) Daten von (US-)Unternehmen erhalten, die nicht in den USA gespeichert werden. Dies könnte eine direkte Verletzung der DSGVO darstellen.
Microsoft arbeitete daher mit T-Systems als deutschem"Datentreuhänder" zusammen. So hatte das US-Unternehmen ausschließlich im Rahmen der Treuhandvereinbarung für Zwecke der Wartung und des Supports Zugriff auf die Daten erhalten, für andere Zwecke jedoch nicht. Diese Zusammenarbeit wurde kürzlich von Microsoft beendet.
Mehr zum Themenkomplex erfahren Sie in unserer Sektion Datensicherheit in der Cloud.
Benimmregeln für mehr Security
Sam Curry, Chief Security Officer, bei Cybereason, Anbieter von Endpoint-Detection- und Response-Software aus Boston, zieht für klassische Sicherheitsmaßnahmen eine vernichtende Bilanz: "Signaturen für AV funktionieren nicht mehr. Regeln für Firewalls sind nicht genug. Patchen hilft nichts. Log-Monitoring ist zu langsam." Hacker seien Menschen und daher schlussendlich immer cleverer als die fortschrittlichste KI.
Daher rät er zu einem verhaltensbasierten Ansatz und starker Authentifizierung, um verteilte Geräte und Systeme effektiv schützen zu können. Verhaltensmuster seien also der neue Perimeter. Den wichtigsten Sicherheitsaspekt stelle eine Cyber-Funktion dar, die in der Lage ist, proaktiv menschliche Verhaltensmuster in der Tiefe und vorausschauend zu überwachen.
Bei solchen Ansätzen stellt sich jedoch immer die Frage nach der Umsetzbarkeit im Einklang mit dem Datenschutz. Tendenziell ist es mit hohem organisatorischen und technischen Aufwand verbunden, derartige Mechanismen zum Sammeln und Auswerten von personenbezogenen Informationen effektiv umzusetzen. Man denke hier beispielsweise an nötige Betriebsvereinbarungen, die Einhaltung von Löschfristen und die Zweckbindung.
Worum geht es eigentlich?
Auch für Bruno Quint, Director Cloud Encryption bei Rohde & Schwarz Cybersecurity, sind infrastrukturelle Sicherheitslösungen zum Scheitern verurteilt. IT-Security am Arbeitsplatz wurde bis dato immer über Infrastrukturlösungen, Plattformen oder Applikationen umgesetzt. Dazu zählen zum Beispiel Lösungen wie Perimeter-Security (Firewalls), gehärtete Betriebssysteme oder Web Application Firewalls. "Was man aber eigentlich schützen will, sind die Daten," konstatiert Quint und schlussfolgert: "Wenn ich Daten schütze, ist es egal, in welcher Infrastruktur ich sie nutze, transportiere oder ablege."
Daher sollte beim Future Workplace ein datenzentrischer Ansatz gewählt werden. Herkömmliche Sicherheitskonzepte würden lediglich zwischen öffentlichen und Firmennetzwerken unterscheiden. Für die Absicherung von Daten außerhalb des eigenen Netzwerkes greife diese "Perimetersicherheit" jedoch zu kurz. Denn nur wenn Dateien den Schutz in sich selbst trügen, seien sie auch in der Cloud vor Angriffen sicher.
Daten müssten also zum Beispiel direkt über Verschlüsselung geschützt werden, anstatt die Sicherheit an ein äußeres Tor zu übertragen. Der Nachteil dabei sei bislang gewesen, dass die verschlüsselten Daten nicht mehr direkt verarbeitbar waren. Virtualisierte Lösungen können hier Abhilfe schaffen.
Dadurch könne das Arbeiten in Public Clouds wie Google Drive, Box oder Magenta Cloud und Collaboration-Lösungen wie Office 365 und SharePoint sicherer gemacht werden. Geschäftskritische Informationen würden in Form von virtualisierten Daten zur Verfügung gestellt, mit denen Nutzer wie gewohnt arbeiten könnten. Die Originaldaten würden hingegen verschlüsselt und fragmentiert in konfigurierbaren Speicherorten abgelegt und seien somit vor Cyberangriffen geschützt. Berechtigte User könnten jedoch weiterhin auf die unverschlüsselten "echten" Daten zugreifen.
Eine Frage der Umsetzbarkeit
Die Ansätze, den zukünftigen Arbeitsplatz sicherer zu machen, sind so vielfältig, wie die Gadgets der Generation Y. Es bleibt die Frage, welcher davon sich am Ende durchsetzen wird. Die Weiterentwicklung von klassischen Infrastruktur-basierten Lösungen bietet die Möglichkeit, auf bestehende Konzepte aufzubauen und so die Sicherheitsstrategie nach und nach an die neuen Gegebenheiten anzupassen. Aber vielleicht braucht eine radikal neue Arbeitswelt auch radikal neue Herangehensweisen? Frische Ideen finden sich genügend im Markt, jedoch steht die langfristige Um- und Einsetzbarkeit bei einigen noch in den Sternen.