Gestaltungsprinzipien der IT-Security

Gestaltungsprinzipien der IT-Security
Anzeige

Beitrag teilen

Für IT-Security-Verantwortliche muss sich ein abrupter Wechsel vom Büro- in den vollständigen Remote-Betrieb wie ein Umzug aus einer soliden ummauerten Villa in den Wilden Westen anfühlen.

Traditionelle Grenzen des On-Premises-Betriebs und damit auch die Kontrolle, die dieser bietet, gibt es nicht mehr. Im Homeoffice kontrollieren die Benutzer Geräte und Software mehr oder weniger selbst. Und damit fangen für IT-Admins die Schwierigkeiten an. Der zu sichernde Bereich potenziert sich schlagartig. Nur ein Klick auf einen bösartigen E-Mail-Anhang, das Surfen auf einer Website mit Malware, ein offenes WLAN-Netzwerk oder ein ungesichertes Endgerät, das ein Mitarbeiter nutzt, kann Angreifern Zutritt zur IT-Unternehmensinfrastruktur verschaffen, wo sie noch größeren Schaden anrichten können.

Anzeige

Produktionsdruck erhöht das Risiko

Ausschließlich auf die Besonnenheit und Zuverlässigkeit der Belegschaft zu vertrauen, wäre ein schlechter Rat. Selbst mit ausführlicher Sensibilisierung besteht vor allem in Stresssituationen die Wahrscheinlichkeit, dass Mitarbeiter entgegen besseren Wissens einen riskanten Fehler machen. Der Druck, produktiv zu sein, ist für Arbeitnehmer im Homeoffice ohnehin schon leicht erhöht. Tatsächlich kommt die Unternehmensberatung McKinsey zu dem Schluss, dass Remote Work im Jahr 2020 die seit langem bestehenden Herausforderungen der Cybersicherheit – physische und psychologische Stressfaktoren, die Mitarbeiter dazu zwingen, Kontrollen zu umgehen, um ihre Aufgaben zu erledigen – verstärkt. Kurz gesagt, der Produktivitätsdruck kann die Sicherheit im Homeoffice erheblich beeinträchtigen.

Homeoffice erhöht den Security-Bedarf

Um auch unter diesen Bedingungen ein ausreichendes Sicherheitsniveau herzustellen, greifen IT-Admins zu den Tools, die sich im regulären Bürobetrieb für die Anbindung weniger externer Teilnehmer im Bürobetrieb bewährt haben: In erster Linie kommen Firewalls, Antivirenprogramme und VPN-Verbindungen als Sicherheitsvorkehrungen für den Zugriff auf Unternehmensressourcen zum Einsatz. Für die IT-Manager bedeutet dieser Ansatz einen spürbaren Mehraufwand: Sie müssen neue oder gegebenenfalls die persönlichen Endgeräte der Mitarbeiter absichern und die dort installierte Software stets aktuell halten. Das Durchsetzen von Datensicherheitsrichtlinien muss über diverse Security-Anwendungen hinweg sichergestellt werden. Verursacht die Firewall bei einer hohen Nutzerauslastung Bandbreitenprobleme bei den Anwendern, sehen sich die IT-Admins mit einem erhöhten Aufkommen an Supportanfragen konfrontiert. Alles in allem: Weniger Kontrolle, erhöhte Sicherheitsrisiken und suboptimale Managementprozesse.

Anzeige

Jetzt Newsletter abonnieren

Einmal im Monat die besten News von B2B CYBER SECURITY lesen



Mit Klick auf „Anmelden“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden. Weitere Informationen finde ich in unserer Datenschutzerklärung. Nach dem Anmelden erhalten Sie zuerst eine Bestätigungsmail, damit keine anderen Personen Ihnen etwas ungewolltes bestellen können.
Aufklappen für Details zu Ihrer Einwilligung
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung. Sie können jederzeit den Newsletter wieder abbestellen. Einen entsprechenden Link finden Sie im Newsletter. Nach einer Abmeldung werden Ihre Daten in kürzester Zeit gelöscht. Eine Wiederherstellung ist nicht möglich. Falls Sie den Newsletter erneut haben möchten, ordern sie diesen einfach neu. Verfahren Sie auch so, wenn Sie eine andere E-Mail-Adresse für Ihren Newsletter nutzen möchten. Wenn Sie den auf der Website angebotenen Newsletter beziehen möchten, benötigen wir von Ihnen eine E-Mail-Adresse sowie Informationen, welche uns die Überprüfung gestatten, dass Sie der Inhaber der angegebenen E-Mail-Adresse und mit dem Empfang des Newsletters einverstanden sind. Weitere Daten werden nicht bzw. nur auf freiwilliger Basis erhoben. Für die Abwicklung der Newsletter nutzen wir Newsletterdiensteanbieter, die nachfolgend beschrieben werden.

CleverReach

Diese Website nutzt CleverReach für den Versand von Newslettern. Anbieter ist die CleverReach GmbH & Co. KG, Schafjückenweg 2, 26180 Rastede, Deutschland (nachfolgend „CleverReach“). CleverReach ist ein Dienst, mit dem der Newsletterversand organisiert und analysiert werden kann. Die von Ihnen zwecks Newsletterbezug eingegebenen Daten (z. B. E-Mail-Adresse) werden auf den Servern von CleverReach in Deutschland bzw. Irland gespeichert. Unsere mit CleverReach versandten Newsletter ermöglichen uns die Analyse des Verhaltens der Newsletterempfänger. Hierbei kann u. a. analysiert werden, wie viele Empfänger die Newsletternachricht geöffnet haben und wie oft welcher Link im Newsletter angeklickt wurde. Mit Hilfe des sogenannten Conversion-Trackings kann außerdem analysiert werden, ob nach Anklicken des Links im Newsletter eine vorab definierte Aktion (z. B. Kauf eines Produkts auf dieser Website) erfolgt ist. Weitere Informationen zur Datenanalyse durch CleverReach-Newsletter erhalten Sie unter: https://www.cleverreach.com/de/funktionen/reporting-und-tracking/. Die Datenverarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können diese Einwilligung jederzeit widerrufen, indem Sie den Newsletter abbestellen. Die Rechtmäßigkeit der bereits erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt. Wenn Sie keine Analyse durch CleverReach wollen, müssen Sie den Newsletter abbestellen. Hierfür stellen wir in jeder Newsletternachricht einen entsprechenden Link zur Verfügung. Die von Ihnen zum Zwecke des Newsletter-Bezugs bei uns hinterlegten Daten werden von uns bis zu Ihrer Austragung aus dem Newsletter bei uns bzw. dem Newsletterdiensteanbieter gespeichert und nach der Abbestellung des Newsletters aus der Newsletterverteilerliste gelöscht. Daten, die zu anderen Zwecken bei uns gespeichert wurden, bleiben hiervon unberührt. Nach Ihrer Austragung aus der Newsletterverteilerliste wird Ihre E-Mail-Adresse bei uns bzw. dem Newsletterdiensteanbieter ggf. in einer Blacklist gespeichert, sofern dies zur Verhinderung künftiger Mailings erforderlich ist. Die Daten aus der Blacklist werden nur für diesen Zweck verwendet und nicht mit anderen Daten zusammengeführt. Dies dient sowohl Ihrem Interesse als auch unserem Interesse an der Einhaltung der gesetzlichen Vorgaben beim Versand von Newslettern (berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f DSGVO). Die Speicherung in der Blacklist ist zeitlich nicht befristet. Sie können der Speicherung widersprechen, sofern Ihre Interessen unser berechtigtes Interesse überwiegen. Näheres entnehmen Sie den Datenschutzbestimmungen von CleverReach unter: https://www.cleverreach.com/de/datenschutz/.

Auftragsverarbeitung

Wir haben einen Vertrag über Auftragsverarbeitung (AVV) zur Nutzung des oben genannten Dienstes geschlossen. Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass dieser die personenbezogenen Daten unserer Websitebesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet.

Durch Zufall erzwungene Digitalisierung

Was auf der IT-Security-Ebene dabei an Kontrolle verloren geht, gewinnt die Geschäftsebene hinzu. Im digitalisierten Unternehmen lassen sich neue Wege der Unternehmensführung einfacher umsetzen, da die IT-Gestaltung schnelle, effiziente Umstrukturierungen zulässt. Daher soll in vielen Firmen Remote Work künftig zumindest für Teile der Belegschaft dauerhaft beibehalten oder allgemein als Option bestehen bleiben. Einer Umfrage von Gartner nach wollen 74 Prozent der Unternehmen nicht, dass ihre Mitarbeiter in ein Büro zurückkehren. Führungskräfte auf der ganzen Welt drängen darauf, so schnell wie möglich neue Remote-Geschäftsprozesse zu etablieren, und sie sind bereit, das dafür notwendige Budget bereitzustellen.

Remote-Szenarien müssen angepasst werden

Die Ankündigung von dauerhaftem Remote Work scheint für viele IT-Admins zunächst keine erfreuliche Aussicht zu sein. Für sie bedeutet dies, eine größere Menge an Risiken mit umständlicheren Methoden zu managen. Das ist jedoch nur auf den ersten Blick der Fall. Bei genauer Betrachtung zeigt sich, dass das IT-Management von Remote Work im Jahr 2020 meist nur auf Grund der kurzfristigen Umsetzung derart aufwändig war. Die Nutzung von VPN-Verbindungen und Firewalls ist zwar ein geeigneter Weg, um im Bürobetrieb einigen wenigen Mitarbeitern Remote-Zugriff zu erlauben. Wird dieser Ansatz jedoch auf die gesamte Belegschaft ausgerollt, erweist er sich als umständlich und wenig leistungsfähig.

IT-Security neu denken

Neue Möglichkeiten entstehen jedoch, wenn man sich von dem Prinzip „Notfall-Remote für alle“ löst und bereit ist, die Gestaltung seiner IT-Security von Grund auf neu zu denken. Konsolidierung kann dabei ein grundlegender, erster Schritt sein: Wenn Unternehmen ihre On-Premises-Implementierungen vollständig in die Cloud verlagern, lässt sich deren Verwaltung vereinfachen. Die Anwendung von Richtlinien lässt sich durch Policy Engines, die Security-Tools wie CASBs oder SWGs anleiten, zentral durchführen. Wenn Prozesse so einfach wie möglich gehalten werden, sinkt auch die Wahrscheinlichkeit, dass Schwachstellen unbemerkt bleiben, da eine fragmentierte Sicherheitsumgebung, die sich nur schwer kontrollieren lässt, auf diese Weise vermieden wird.

Effektive Konsolidierung und Vereinfachung erlauben ein kosteneffizienteres Arbeiten. Bereitstellungen und deren Konfigurationen lassen sich innerhalb von Tagen statt Wochen durchführen und ermöglichen es Unternehmen, im Remote-Betrieb schnell die Balance zwischen Sicherheit, Verfügbarkeit und Produktivität herzustellen.

Infrastruktur muss dynamischer werden

Zu guter Letzt sollte sichergestellt werden, inwieweit ein neuer Ansatz resilient gegenüber künftigen Bedrohungen und Entwicklungen ist. Die Infrastruktur sollte in der Lage sein, sich schnell und dynamisch an Änderungen der Arbeitslast anzupassen, und gleichzeitig Engpässe im Backhaul-Verkehr zu vermeiden, die sich im Laufe der Zeit auf die Produktivität auswirken können.

Die Verlagerung auf Remote Work ist ein weiterer Meilenstein der voranschreitenden Digitalisierung. Wenn Geschäftsprozesse vorwiegend digital abgewickelt werden, erhält die IT-Security eine entscheidende Bedeutung. Dieser können Unternehmen nur gerecht werden, wenn sie bereit sind, die Gestaltung ihrer IT-Security grundlegend neu zu denken. Mit den beschriebenen Grundsätzen schaffen IT-Admins geeignete Voraussetzungen, um den IT-Bedrohungen einen Schritt voraus zu sein und gleichzeitig so effizient zu arbeiten wie in On-Premises-Umgebungen.

Mehr dazu bei Bitglass.com

 

Anurag Kahol

 

Passende Artikel zum Thema

Security: Chefs fallen am meisten auf Phishing herein

Während die Entscheider und Chefs ein gehobenes Cyber-Security-Bewusstsein von den Mitarbeitern erwarten, fallen dieses am häufigsten auf Phishing herein, verwenden ➡ Weiterlesen

Cloud-Sicherheit nach BSI-Kriterien: C5-Testat für Trend Micro 

Trend Micro, einer der weltweit führenden Anbieter von Cybersicherheitslösungen, hat im Januar 2023 das Testat nach den Kriterien des C5:2020-Standards ➡ Weiterlesen

Herausforderungen in der Cybersecurity

Auch wenn der Jahresbeginn weitgehend ohne spektakuläre Cyberangriffe verlaufen ist, so erwartet Sergej Epp von Palo Alto Networks, alles andere ➡ Weiterlesen

Gefahren-Check: Selbst-Hacking-Tool für Unternehmen

Ein neues, kostenfreies Selbst-Hacking-Tool ermöglicht es Unternehmen, ohne Gefahren das eigene Netzwerk zu hacken und ihre DNS-Sicherheit zu prüfen. EfficientIP ➡ Weiterlesen

Chatbots: Nur Maschinen helfen gehen Maschinen

Chatbots wie ChatGPT sind auf dem Vormarsch: Die künstliche Intelligenz ist der natürlichen Ignoranz gewachsen. Man benötiget zunehmend intelligente Maschinen, ➡ Weiterlesen

Mehr Resilienz durch SaaS-Daten-Backups

Im vergangenen Jahr war die Cybersecurity-Welt mit zahlreichen unterschiedlichen Herausforderungen konfrontiert. Viele Unternehmen mussten sich nicht nur mit den Konsequenzen ➡ Weiterlesen

Freies Entschlüsselungs-Tool für MegaCortex-Ransomware

Den Opfern der MegaCortex-Ransomware-Familie steht ab sofort ein von Bitdefender mitentwickelter Entschlüsselungs-Tool zur Verfügung. Die Betroffenen können mit diesem kostenlosen ➡ Weiterlesen

Wie vermeidet man MFA-Fatigue-Angriffe?

Zu den aktuell größten Cybergefahren zählen Phishing-Angriffe. Fast täglich sind dabei neue Varianten zu beobachten. Derzeit gibt es vor allem ➡ Weiterlesen