Hybrid Work? Gerne, aber bitte ohne Sicherheitsrisiken
Flexible Ansätze, bei denen Beschäftigte sowohl im Homeoffice als auch im Büro in der Firma und unterwegs arbeiten, sind die „neue Normalität“. Doch damit sind erhöhte Risiken verbunden, etwa durch Cyber-Angriffe. Wie sich solche Gefahren ausschalten lassen, erläutert Christopher Goth, Country Manager DACH bei AvePoint, einem Anbieter von Lösungen für die sichere digitale Zusammenarbeit in Microsoft 365.
Mancher Vorgesetzte würden die Beschäftigten nach Corona gerne wieder aus dem Homeoffice ins Unternehmensbüro zurückbeordern. Doch die Uhr lässt sich nicht mehr zurückdrehen, wie die Studie „Work Transformation in Deutschland 2021“ von IDC Deutschland zeigt. Ihr zufolge wollen 11 Prozent der deutschen Firmen ein komplett virtuelles Arbeitsplatzmodell einführen. An die 36 Prozent setzen auf Hybrid Work, und ein Drittel überlegt, wie sich die Präsenzkultur modifizieren lässt.
„Remote“-Zugriff muss Sicherheit berücksichtigen
Doch der „Fernzugriff“ auf – cloudgestützte – Collaboration-Plattformen darf nicht dazu führen, dass Geschäftsdaten einem höheren Risiko ausgesetzt sind. Das stellt jedoch viele Unternehmen vor Herausforderungen, wie die Untersuchung „Globale Umfrage zu den Präferenzen von MSPs 2021“ von AvePoint zeigt.
So war für 51 Prozent der deutschen Kunden von Managed-Services-Providern (MSP), die Hybrid Work einführten, die Implementierung von Collaboration-Tools am schwierigsten. Zudem traten bei mehr als einem Viertel (26 Prozent) der Kunden Sicherheitsdefizite bei der digitalen Zusammenarbeit auf.
Die größten Sicherheitsrisiken
Doch eine „wasserdichte“ Absicherung von Hybrid-Work-Umgebungen ist eine heikle Aufgabe. Zum einen passen Cyberkriminelle ihre Angriffstaktiken an Hybrid Work an. Zum anderen tragen auch Mitarbeiter dazu bei, dass Daten und IT-Systeme Gefahren ausgesetzt sind. Zu den größten Risiken zählen:
Ransomware-Angriffe: Laut der Studie von AvePoint wurden 2021 rund 47 Prozent der deutschen Unternehmen Ziel von Attacken mit einer Verschlüsselungssoftware wie Ryuk. Sie kann beispielsweise über private Notebooks und PCs in ein Firmennetz eindringen, die Mitarbeiter für den „Remote-Zugriff“ auf Anwendungen nutzen.
Shadow IT: Speziell zu Beginn der Corona-Pandemie implementierten Fachabteilungen „an der IT-Abteilung vorbei“ Tools wie Dropbox, bauten also eine Schatten-IT auf. Darüber erhalten Mitarbeiter im Homeoffice Zugriff zu Geschäftsdokumenten. Oft sind diese Daten aber nicht verschlüsselt – ein klarer Verstoß gegen Compliance-Regeln.
Zu viele Collaboration-Lösungen und Kommunikationskanäle: In Hybrid-Work-Umgebungen können Nutzer Geschäftsdaten über mehrere Kanäle (E-Mail, Microsoft Teams, Messaging) sowie unterschiedliche Collaboration-Lösungen mit Kollegen oder Geschäftspartnern teilen. Das erhöht das Risiko, dass Informationen nicht adäquat vor dem Zugriff Unbefugter geschützt sind.
Diebstahl von digitalen „Identitäten (Identity Theft): Angreifer entwenden die Zugangsdaten von Mitarbeitern, etwa durch Spear-Phishing-Angriffe. Verschärft wird das Problem durch ein unzureichendes IT- und User-Management. Das erschwert es der IT-Abteilung, den Überblick über Nutzer und deren Zugriffsberechtigungen zu behalten. Laut der Studie von AvePoint ist der Schutz digitaler Identitäten bei 60 Prozent der Kunden von MSPs lückenhaft.
Fehlbedienung und fahrlässiger Umgang mit sensiblen Daten: Mitarbeiter haben häufig nur unzureichende Kenntnisse darüber, welche Sicherheitsmaßnahmen in einer hybriden Arbeitswelt einzuhalten sind und wie sie mit sensiblen Geschäftsdaten umgehen sollen.
Fünf Best Practices für den Einsatz von Cloud-Collaboration-Lösungen
Also das Homeoffice doch wieder abschaffen? Das ist keine gute Idee. Allein deshalb, weil vor allem jüngere Mitarbeiter bei der Wahl ihres Arbeitgebers darauf achten, ob dieser flexible Arbeitsplatzmodelle anbietet. Zudem können Unternehmen sehr wohl Hybrid-Work-Modelle umsetzen – ohne Risiken. Dabei helfen folgende Best Practices:
- Migration zu einer einheitlichen Cloud-Collaboration-Lösung
Der erste Schritt zu einer sicheren Collaboration-Umgebung ist die Konsolidierung der vorhandenen Collaboration-Lösungen. Das verringert die Angriffsfläche und entlastet die IT-Abteilung. Ein probater Ansatz ist die Migration zu einer Cloud-Plattform. Hier bietet sich vor allem Microsoft 365 an, allein deshalb, weil ein Großteil der deutschen Unternehmen diese Lösung bereits einsetzt. Eine zentrale Plattform lässt sich einfacher verwalten und ist kostengünstiger als ein „Zoo“ unterschiedlicher Lösungen. Wichtig ist, dass die Migration und der Transfer der Daten zu einer Cloud-Collaboration-Lösung schnell und in Einklang mit den Vorgaben bezüglich Security, Governance und Compliance erfolgt. Unterstützung bieten dabei Migrationstools & -services, wie etwa AvePoint Fly Migrator.
- Cloud-Collaboration-Lösungen auf effiziente und sichere Weise bereitstellen und verwalten
Erforderlich ist eine zentrale Steuerung des Zugriffs auf Ressourcen wie SharePoint- und Teams-Sites. Ein wichtiger Aspekt ist dabei die Migration und Synchronisierung von Content zwischen mehreren Instanzen einer Cloud-Collaboration-Lösung wie Microsoft 365. Außerdem muss transparent sein, wie viele Arbeitsbereiche existieren. Oft richten Fachabteilungen unnötig viele Arbeitsbereiche ein, etwa Teams und Kanäle in Microsoft Teams. Das geht zu Lasten der Sicherheit. Vermeiden lässt sich das mit Management- und Governance-Tools, die mehr Funktionen bieten als die Standardwerkzeuge der Cloud-Plattform. Dazu zählt eine automatische Überprüfung, ob Governance-Regeln eingehalten werden. Beispiele solcher Tools sind AvePoint Cloud Governance und Cloud Management.
- Zugriff auf Geschäftsdaten steuern und kontrollieren
Die Konfigurations-, Zugriffs- und Sicherheitseinstellungen der Collaboration-Lösung müssen sich zentral erfassen, prüfen und korrigieren lassen. Die IT-Abteilung und Compliance-Fachleute sollten beispielsweise Antworten auf Fragen erhalten wie „Wer hat Zugang zu sensiblen Daten?“ und „Stellen externe Nutzer eine Gefahr dar?“. Wichtig ist, dass sich solche Regeln (Policies) automatisch umsetzen lassen. Außerdem sollte ein Berechtigungsmanagement vorhanden sein. Hilfreich sind zudem Funktionen, die geschäftskritische Informationen erfassen und in übersichtlicher Form auf „Heat Maps“ darstellen.
- Backups erstellen – am besten in der Cloud
Vor allem durch Ransomware-Angriffe hat das Thema Datensicherung an Bedeutung gewonnen. Plattformen wie Microsoft 365 bieten im Vergleich zu Collaboration-Lösungen im Unternehmensrechenzentrum oft einen besseren Schutz vor Datenverlusten. Dennoch ist es unverzichtbar, Sicherungen von Informationen zu erstellen, die auf SharePoint lagern oder die User über Tools wie Teams austauschen. Zu empfehlen ist, auf Backup-Lösungen externer Anbieter zurückzugreifen. Ein Grund ist, dass beispielsweise Microsoft 365 Daten nur 93 Tagen lang speichert. Längere Aufbewahrungszeiten bieten spezielle Tools, wie etwa AvePoint Cloud Backup.
- Einen besonderen Schutz für hoch sensible Daten einrichten
Natürlich sollten möglichst keine Geschäftsdaten in falsche Hände geraten. Doch manche Daten sind „gleicher“ als andere, etwa Informationen über Mergers & Acquisitions und Finanzdaten. Diese sollten optimal geschützt sein. Das lässt sich mit cloudbasierten, virtuellen Datenräumen erreichen. Ein solcher Raum ermöglicht eine sichere Zusammenarbeit mit Dritten, etwa durch die Vergabe projektspezifischer Berechtigungen. Der Datenraum sollte zudem in Echtzeit Informationen über den Status von Projekten und die Berechtigungen jedes Nutzers für den Zugriff auf Dokumente zur Verfügung stellen. Ein solcher Datenraum lässt sich beispielsweise mit AvePoint Confide einrichten, die direkt in Microsoft 365 integriert werden kann.
Fazit
Hybrid Work im Zusammenspiel mit cloud-gestützten Collaboration-Lösungen funktioniert. Aber nur dann, wenn alle potenziellen Sicherheitslücken geschlossen werden. Doch die Lösungen, mit denen sich das erreichen lässt, sind vorhanden. Ein komplettes „Back to Work in the Company Office“-Szenario ist somit wirklich nicht nötig.
Creative Commons Lizenz CC BY-ND 4.0
Sie dürfen:
Teilen — das Material in jedwedem Format oder Medium vervielfältigen und weiterverbreiten und zwar für beliebige Zwecke, sogar kommerziell.
Der Lizenzgeber kann diese Freiheiten nicht widerrufen solange Sie sich an die Lizenzbedingungen halten.
Unter folgenden Bedingungen:
Namensnennung — Sie müssen angemessene Urheber- und Rechteangaben machen, einen Link zur Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden. Diese Angaben dürfen in jeder angemessenen Art und Weise gemacht werden, allerdings nicht so, dass der Eindruck entsteht, der Lizenzgeber unterstütze gerade Sie oder Ihre Nutzung besonders.
Keine Bearbeitungen — Wenn Sie das Material remixen, verändern oder darauf anderweitig direkt aufbauen, dürfen Sie die bearbeitete Fassung des Materials nicht verbreiten.