Für IT-Security-Verantwortliche muss sich ein abrupter Wechsel vom Büro- in den vollständigen Remote-Betrieb wie ein Umzug aus einer soliden ummauerten Villa in den Wilden-Westen anfühlen. Traditionelle Grenzen des Onpremises-Betriebs und damit auch die Kontrolle, die dieser bietet, gibt es nicht mehr. Im Homeoffice kontrollieren die Benutzer Geräte und Software mehr oder weniger selbst. Und damit fangen für IT-Admins die Schwierigkeiten an. Der zu sichernde Bereich potenziert sich schlagartig. Nur ein Klick auf einen bösartigen E-Mail-Anhang, das Surfen auf einer Website mit Malware, ein offenes WLAN-Netzwerk oder ein ungesichertes Endgerät, das ein Mitarbeiter nutzt, kann Angreifern Zutritt zur IT-Unternehmensinfrastruktur verschaffen, wo sie noch größeren Schaden anrichten können.
Ausschließlich auf die Besonnenheit und Zuverlässigkeit der Belegschaft zu vertrauen, wäre ein schlechter Rat. Selbst mit ausführlicher Sensibilisierung besteht vor allem in Stresssituationen die Wahrscheinlichkeit, dass Mitarbeiter entgegen besseren Wissens einen riskanten Fehler machen. Der Druck, produktiv zu sein, ist für Arbeitnehmer im Homeoffice ohnehin schon leicht erhöht. Tatsächlich kommt die Unternehmensberatung McKinsey zu dem Schluss, dass Remote Work im Jahr 2020 die seit langem bestehenden Herausforderungen der Cybersicherheit – physische und psychologische Stressfaktoren, die Mitarbeiter dazu zwingen, Kontrollen zu umgehen, um ihre Aufgaben zu erledigen – verstärkt. Kurz gesagt, der Produktivitätsdruck kann die Sicherheit im Homeoffice erheblich beeinträchtigen.
Um auch unter diesen Bedingungen ein ausreichendes Sicherheitsniveau herzustellen, greifen IT-Admins zu den Tools, die sich im regulären Bürobetrieb für die Anbindung weniger externer Teilnehmer im Bürobetrieb bewährt haben: In erster Linie kommen Firewalls, Antivirenprogramme und VPN-Verbindungen als Sicherheitsvorkehrungen für den Zugriff auf Unternehmensressourcen zum Einsatz. Für die IT-Manager bedeutet dieser Ansatz einen spürbaren Mehraufwand: Sie müssen neue oder gegebenenfalls die persönlichen Endgeräte der Mitarbeiter absichern und die dort installierte Software stets aktuell halten. Das Durchsetzen von Datensicherheitsrichtlinien muss über diverse Security-Anwendungen hinweg sichergestellt werden. Verursacht die Firewall bei einer hohen Nutzerauslastung Bandbreitenprobleme bei den Anwendern, sehen sich die IT-Admins mit einem erhöhten Aufkommen an Supportanfragen konfrontiert. Alles in allem: Weniger Kontrolle, erhöhte Sicherheitsrisiken und suboptimale Managementprozesse.
Was auf der IT-Security-Ebene dabei an Kontrolle verloren geht, gewinnt die Geschäftsebene hinzu. Im digitalisierten Unternehmen lassen sich neue Wege der Unternehmensführung einfacher umsetzen, da die IT-Gestaltung schnelle, effiziente Umstrukturierungen zulässt. Daher soll in vielen Firmen Remote Work künftig zumindest für Teile der Belegschaft dauerhaft beibehalten oder allgemein als Option bestehen bleiben. Einer Umfrage von Gartner nach wollen 74 Prozent der Unternehmen nicht, dass ihre Mitarbeiter in ein Büro zurückkehren. Führungskräfte auf der ganzen Welt drängen darauf, so schnell wie möglich neue Remote-Geschäftsprozesse zu etablieren, und sie sind bereit, das dafür notwendige Budget bereitzustellen.
IT-Security muss für Remote-Szenarien neu entwickelt werden
Die Ankündigung von dauerhaftem Remote-Work scheint für viele IT-Admins zunächst keine erfreuliche Aussicht zu sein. Für sie bedeutet dies, eine größere Menge an Risiken mit umständlicheren Methoden zu managen. Das ist jedoch nur auf den ersten Blick der Fall. Bei genauer Betrachtung zeigt sich, dass das IT-Management von Remote Work im Jahr 2020 meist nur auf Grund der kurzfristigen Umsetzung derart aufwändig war. Die Nutzung von VPN-Verbindungen und Firewalls ist zwar ein geeigneter Weg, um im Bürobetrieb einigen wenigen Mitarbeitern Remote-Zugriff zu erlauben. Wird dieser Ansatz jedoch auf die gesamte Belegschaft ausgerollt, erweist er sich als umständlich und wenig leistungsfähig.
Neue Möglichkeiten entstehen jedoch, wenn man sich von dem Prinzip „Notfall-Remote für alle“ löst und bereit ist, die Gestaltung seiner IT-Security von Grund auf neu zu denken. Konsolidierung kann dabei ein grundlegender, erster Schritt sein: Wenn Unternehmen ihre Onpremises-Implementierungen vollständig in die Cloud verlagern, lässt sich deren Verwaltung vereinfachen. Die Anwendung von Richtlinien lässt sich durch Policy-Engines, die Security-Tools wie CASBs oder SWGs anleiten, zentral durchführen. Wenn Prozesse so einfach wie möglich gehalten werden, sinkt auch die Wahrscheinlichkeit, dass Schwachstellen unbemerkt bleiben, da eine fragmentierte Sicherheitsumgebung, die sich nur schwer kontrollieren lässt, auf diese Weise vermieden wird.
Effektive Konsolidierung und Vereinfachung erlauben ein kosteneffizienteres Arbeiten. Bereitstellungen und deren Konfigurationen lassen sich innerhalb von Tagen statt Wochen durchführen und ermöglichen es Unternehmen, im Remote-Betrieb schnell die Balance zwischen Sicherheit, Verfügbarkeit und Produktivität herzustellen.
Zu guter Letzt sollte sichergestellt werden, inwieweit ein neuer Ansatz resilient gegenüber künftigen Bedrohungen und Entwicklungen ist. Die Infrastruktur sollte in der Lage sein, sich schnell und dynamisch an Änderungen der Arbeitslast anzupassen, und gleichzeitig Engpässe im Backhaul-Verkehr zu vermeiden, die sich im Laufe der Zeit auf die Produktivität auswirken können.
Die Verlagerung auf Remote-Work ist ein weiterer Meilenstein der voranschreitenden Digitalisierung. Wenn Geschäftsprozesse vorwiegend digital abgewickelt werden, erhält die IT-Security eine entscheidende Bedeutung. Dieser können Unternehmen nur gerecht werden, wenn sie bereit sind, die Gestaltung ihrer IT-Security grundlegend neu zu denken. Mit den beschriebenen Grundsätzen schaffen IT-Admins geeignete Voraussetzungen, um den IT-Bedrohungen einen Schritt voraus zu sein und gleichzeitig so effizient zu arbeiten wie in Onpremises-Umgebungen.
Anurag Kahol, CTO, Bitglass