4. Juni 2024 von Marc Iridon
Secure Modern Workplace als Wettbewerbsvorteil
Die richtige Security-Strategie ist der Schlüssel zu maximaler Effizienz und Sicherheit
Der digitale Wandel sorgt für eine immer schnellere Weiterentwicklung unserer Arbeitsweise. In einer Welt, in der einst Computer ganze Räume füllten, sind es heute KI-gestützte Apps in der Hosentasche, die uns dabei unterstützen, unsere täglichen Aufgaben effizienter zu gestalten und unsere Produktivität auf ein neues Level zu heben. Der Modern Workplace ist nicht nur ein Konzept, sondern eine Notwendigkeit, die es uns ermöglicht, mit dem rasanten Tempo der digitalen Transformation Schritt zu halten. Er fordert eine IT-Umgebung, die sowohl flexibel als auch anpassungsfähig ist, um den ständig wechselnden Anforderungen gerecht zu werden.
Diese Entwicklung bringt zahlreiche Vorteile mit sich, stellt Unternehmen jedoch auch vor neue Herausforderungen. In einer Zeit, in der die IT-Landschaft zunehmend offener und kollaborativer wird – denken wir an Lösungen wie Microsoft 365 – verlagert sich der Fokus weg von der OnPremise IT-Infrastruktur als primäres Angriffsziel. Stattdessen stehen nun Datenzugriffe, Applikationen und Cloud-Infrastrukturen im Mittelpunkt der Sicherheitsbetrachtungen.
Eine effektive Security-Strategie in einem solchen modernen Arbeitsumfeld, muss flexibel sein und die Fähigkeit besitzen, sich schnell an neue Gegebenheiten anzupassen und innovative Technologien zu integrieren. Viele Unternehmen stehen vor der Herausforderung, KI-basierte Tools nahtlos in den Arbeitsalltag ihrer Mitarbeiter einzubinden. Nehmen wir als Beispiel Microsoft Copilot, unseren digitalen Assistenten in Office-Produkten, der mit nur einem Klick aktiviert wird. Diese scheinbar einfache Interaktion, birgt jedoch komplexe Herausforderungen, insbesondere im Bereich der Datensicherheit. Lass uns gemeinsam einen Blick darauf werfen, wie wir diese Herausforderungen meistern und einen sicheren, modernen Arbeitsplatz schaffen können, der bereit für die Zukunft ist.
Was ist ein SECURE Modern Workplace
Wenn wir in der heutigen Zeit von Secure Modern Workplace sprechen, dann sprechen wir von Flexibilität, höherer Produktivität, aber auch neuen agilen Sicherheitsmöglichkeiten, um Benutzer & Daten zu schützen.
- Flexibilität: Moderne Arbeitsplätze bieten eine größere Flexibilität in Bezug auf Arbeitszeiten und -orte. Dies ermöglicht es den Mitarbeitern, ihre Arbeit an ihrem Lebensstil anzupassen und fördert eine bessere Work-Life-Balance.
- Technologie: Der Einsatz neuester Technologien ist ein Kernmerkmal des Secure Modern Workplaces. Cloud-Dienste, kollaborative Tools und mobile Lösungen, ermöglichen es den Mitarbeitern, effizienter und effektiver zu arbeiten.
- Produktivität: Durch die Optimierung von Arbeitsprozessen und den Einsatz von Automatisierung, können Unternehmen ihre Produktivität steigern. Moderne Arbeitsplätze nutzen Datenanalyse und KI, um Entscheidungsprozesse zu verbessern.
- Kommunikation: Moderne Arbeitsplätze fördern eine offene und transparente Kommunikation über traditionelle Hierarchien hinweg. Dies führt zu einer stärkeren Einbindung der Mitarbeiter und einer besseren Zusammenarbeit.
- Anpassungsfähigkeit: Unternehmen müssen sich schnell an Veränderungen anpassen können. Ein Secure Modern Workplace unterstützt diese Anpassungsfähigkeit durch skalierbare und flexible Systeme.
Identitäten, Daten, Security
Das Prinzip von Zero Trust „Vertraue niemandem“, ist nichts Neues, bekommt aber im Kontext des Secure Modern Workplace eine ganz andere Gewichtung. Früher konnten wir in einer abgeschotteten Umgebung genau überwachen, auf welche Ressourcen unsere Mitarbeiter zugreifen. Jetzt haben wir jedoch eine Situation, in der Mitarbeiter aus aller Welt Zugang zu einer Vielzahl von Daten haben, von denen sie nicht einmal wussten, dass diese existieren.
Das mag zwar etwas überzogen klingen, aber in einer Cloudumgebung wie M365 gilt das Prinzip „Always verify“. Es muss immer kontrolliert werden, wer du bist, woher du kommst und worauf du zugreifst bzw. zugreifen darfst. Außerdem sollte der Zugriff nur dann erlaubt werden, wenn der Benutzer ihn benötigt - hier sprechen wir von „Least Privilege“. Dennoch dürfen wir nicht vergessen, dass ein komplizierter und komplexer Prozess meistens dazu führt, dass der Anwender diesen versucht zu umgehen oder zu vereinfachen. Dies führt wiederum dazu, dass sich nach alternativen Möglichkeiten umgeschaut wird. Das Risiko einer Schatten-IT steigt dadurch enorm. Der Microsoft Digital Defense Report 2023 zeigt deutlich, dass sich Angreifer vermehrt auf Endbenutzer und ihre digitalen Identitäten konzentrieren. Mit etwa 4.000 abgewehrten Identitätsangriffen pro Sekunde in Microsoft 365, versuchen Angreifer von einem bequemen oder umgehenden Habitus der Endanwender zu profitieren.
Identität im IT-Kontext bedeutet, dass jeder Nutzer eindeutige Merkmale hat, die ihn definieren und seine Zugriffsrechte bestimmen. Ein dynamisches Identitäts- und Zugriffsmanagement (IAM) gewährleistet, dass Nutzer nur die Berechtigungen erhalten, die sie für ihre Arbeit benötigen. Dieses System passt Berechtigungen flexibel an und erfordert eine Genehmigung für den Zugriff auf nicht alltägliche Ressourcen. So wird im Falle eines Identitätsdiebstahls der Schaden begrenzt, da der Angreifer nur innerhalb der zugewiesenen Berechtigungen handeln kann. IAM verbessert die Sicherheit, indem es den Zugang zu Ressourcen streng regelt und gleichzeitig die Effizienz durch klare Prozesse für die Anforderung und Genehmigung von Zugriffen steigert.
Die Verwaltung von Identitäten und Berechtigungen in einem IAM-System umfasst:
- Identity Management: Erstellung, Aktualisierung und Löschung von Benutzerkonten.
- Zugriffsmanagement: Festlegung, Überwachung und Kontrolle von Zugriffsrechten.
Durch die Implementierung eines solchen Systems können Unternehmen sicherstellen, dass Identitäten geschützt sind und der Zugriff auf Unternehmensressourcen ordnungsgemäß verwaltet wird, was die Sicherheit und Effizienz erhöht.
Die Sicherung, das Teilen und die kollaborative Bearbeitung von Dokumenten, gewinnen zunehmend an Bedeutung, ebenso wie das Management von großen, unstrukturierten und schwer zu überblickenden Datenmengen. Zunächst ist es entscheidend, die verschiedenen Datenarten und -kategorien zu identifizieren. Weiterhin ist es wichtig, den Umgang mit Dokumenten klar zu regeln. Diese Vorgaben sollten in IT-Richtlinien festgehalten werden, um Fehlern oder Sicherheitsrisiken durch kompromittierte Endbenutzer vorzubeugen. Zu den Schlüsselaspekten gehören:
- Zugriffskontrolle
- Bearbeitungsrechte
- Freigabeoptionen
- Verschlüsselung
- DLP (Data Loss Prevention)
Hersteller bemühen sich zunehmend, die automatische Kategorisierung von Daten in den Arbeitsalltag zu integrieren. Microsoft bewerkstelligt dies beispielsweise mit dem Produkt „Purview”, welches nahtlos in die gesamte IT-Umgebung eingebettet wird. Mithilfe von Dokumentenvorlagen oder durch KI trainierte Erkennungsmuster werden Dokumente automatisch kategorisiert – sei es bei deren Eingang, Anpassung auf dem Computer, in Cloud-Applikationen oder auf Netzlaufwerken. Die so kategorisierten Daten können dann, unabhängig von ihrem Speicherort, mit entsprechenden Sicherheitsanforderungen versehen werden.
Altlasten
Die Aktualisierung einer bestehenden IT-Infrastruktur zu einem modernen Arbeitsplatz offenbart oft bestehende Schwachstellen. Historische Migrationen haben gezeigt, dass der Übergang in eine neue IT-Landschaft häufig ohne ausreichende Berücksichtigung der Sicherheitsaspekte erfolgte. Probleme der alten Systeme wurden entweder übernommen oder nicht korrekt in die neue Umgebung integriert. Bestehende Sicherheitsrichtlinien und -verfahren wurden über die Jahre hinweg vernachlässigt oder nur geringfügig aktualisiert. Die wirkliche Herausforderung besteht aber darin, neben der Absicherung von Cloud-Anwendungen und Cloud-Identitäten auch die entsprechenden Komponenten der vorhandenen Infrastruktur zu schützen. Andernfalls errichtet man metaphorisch eine Festungsmauer, lässt aber eine Seitentür offen.
Visualisierungen
Fazit
Ein moderner Arbeitsplatz ist unerlässlich, um agil zu bleiben und rasch neue Technologien integrieren zu können. Allerdings ist es wichtig, sich der Gefahren bewusst zu sein, die diese Arbeitsweise mit sich bringt. Selbst die fortschrittlichsten Sicherheitsvorkehrungen – wie Maßnahmen gegen Datenverlust, Schutz vor der Installation von Malware, Abwehr von Phishing-Angriffen, Multi-Faktor-Authentifizierung und KI-basierte Erkennung von Verhaltensauffälligkeiten – sind nutzlos, wenn die Endbenutzer nicht angemessen geschult wurden.
Eine effektive Security-Strategie, in einem modernen Arbeitsumfeld, muss einen Kompromiss zwischen ausreichendem Schutz der Benutzer und dem Erhalt der Funktionalität finden, dabei aber auch flexibel sein und die Fähigkeit besitzen, sich schnell an neue Gegebenheiten anzupassen.
Weitere spannende Themen aus der adesso-Welt findet ihr in unseren bisher erschienenen Blog-Beiträgen.
Auch interessant: