Immer öfter erreichen uns Kundenanfragen hinsichtlich des Vorhabens des Bundesfinanzministeriums (BMF) im B2B-Bereich ab dem 01.01.2025 das Ausstellen und den Empfang von E-Rechnungen verbindlich vorzuschreiben.
Die weitreichende Digitalisierung und insbesondere die Zusammenführung wesentlicher Informationen und Funktionen im Digital Workplace erfordert gute Sicherheitskonzepte – auf mehreren Ebenen. Immer wieder werden Entscheider durch entsprechende Berichte aus der Presse auf diese Gefahren hingewiesen – oder sie werden sogar selbst Opfer von Cyber-Kriminalität. Daher ist Security fest im Modell des Digital Workplace verankert.
“Richtige Daten sind Gold wert“ – das lockt leider auch verschiedene Gefahren an. Nicht nur die datenhaltenden Systeme, auch die entsprechenden Prozesse müssen abgesichert werden.
Immer wieder werden Hackerangriffe, aber auch Malware & Ransomware publik, welche den Unternehmen enormen finanziellen Schaden zufügen und das Außenbild belasten. Man ist nicht mehr arbeitsfähig, verliert Vertrauen bei Kunden und Partnern und auch die Belastung der Mitarbeiter ist hoch. Zudem sind Datenmitnahmen ein Risiko, es droht der Verlust wertvoller Informationen.
Durch die immer stärkere Digitalisierung und Vernetzung erhöhen sich die Risiken, da ausgefallene bzw. blockierte Systeme ganze Prozesskette behindern und Datenlecks ebenso ganze Geschäftsfelder gefährden. Gleichzeitig hat die Anzahl der Geräte und Knotenpunkte durch die Arbeit von Zuhause, teilweise mit eigenen Endgeräten (BYOD: Bring your own device) die Anzahl der Angriffspunkte erhöht.
Immer mehr Informationen gehen über immer mehr Kanäle ein, was es für die Anwender noch schwieriger macht, nicht auf infizierte Anhänge, falsche Webseiten, Phishing (Passwortdiebstahl durch Vorgaukeln vertrauenswürdiger Kommunikationspartner) und Identitätsdiebstahl hereinzufallen.
Zudem steigt leider auch die Qualität der Schadsoftware – teilweise enthalten beispielsweise betrügerische E-Mails korrekte Empfängerdaten und imitieren den Auftritt namhafter Firmen häufig sehr gut.
Verstärkt werden diese Tendenzen durch Veränderungen in der IT-Landschaft, durch Cloud- und Software-as-a-Service-Angebote, vernetzte Best-of-Breed-Architekturen, mehr mobile Endgeräte und auch IoT gibt es viel mehr Knotenpunkte im gesamten Netzwerk, welche angegriffen werden können.
Eine Aktualisierung der bisherigen IT-Strategie ist dringend erforderlich. Allerdings konnten insbesondere bedingt durch Covid-19 längst nicht alle Projekte mit umfangreicher Vorlaufzeit geplant werden – es mussten schnell Lösungen geschaffen werden. Und diese gilt es nun abzusichern. Hier setzt der Secure Workplace an.
Für den umfassenden Schutz der Daten und Prozesse sowie die schnelle Erkennung und Eindämmung von Gefahren braucht es gute Werkzeuge, welche sowohl Ihre Sicherheitsverantwortlichen als auch Ihre Mitarbeiter unterstützt.
Wesentliche Ebenen der Sicherheit
Gerade der Digital Workplace ist durch eine Verknüpfung verschiedener Systeme und Datenablagen gekennzeichnet. Dies erhöht die Risiken und erzeugt eine höhere Abhängigkeit – es gibt mehr Einfallstore und der Ausfall eines Bausteins kann die gesamte Prozesskette stören.
Anforderungen an die Sicherheit im Digital Workplace
Die Absicherung des Digital Workplace bezieht sich auf verschiedene Ebenen.
Speicherung der Informationen: Absicherung der Ablage- und Verwaltungsschichten, betreffend Inhalte, Systeme und Geräte. Oft sind Inhalte verteilt auf verschiedene Systeme (Datenbanken, Analytics-Anwendungen, Fachsysteme mit eigener Datenhaltung, ECM-Systeme für Dokumente, Media-Asset-Management etc.). Die Sicherheitskonzepte betreffen diese Verwaltungssysteme als auch die Informationen selbst (Verschlüsselung, digitale Wasserzeichen etc.). Zudem müssen die Geräte selbst abgesichert werden (insbesondere mobile Endgeräte), da auch sie Angriffspunkte sind.
Nutzung und Austausch der Informationen: Verwendung der Daten in den Geschäftsprozessen über verschiedene Ebenen hinweg: innerhalb eines Teams, unternehmensweit, Austausch mit Partnern, Austausch mit Kunden. Auf allen diesen Ebenen (und den Zwischenformen) muss gewährleistet sein, dass eine klare Kontrolle besteht, welche Informationen mit wem in welcher Form für welchen Zeitraum geteilt werden.
Identitäts- und Rechtemanagement: Authentifikation und Autorisierung: Ist der Ansprechpartner der, für den er sich ausgibt, und welche Inhalte und Funktionen darf diese Person verwenden? Dies ist insbesondere bei übergreifenden Prozessen im Digital Workplace eine Herausforderung, da unterschiedliche Systeme verschiedene Arten von Berechtigungen ermöglichen und eigene Rollen- und Rechtekonzepte haben, welche in Einklang gebracht werden müssen. Gleichzeitig sollen die Prozesse nicht ausgebremst und die Mitarbeitende nicht demotiviert werden (Zugriff auf erforderliche Informationen sicherstellen, single-sign-on als wesentliche Arbeitserleichterung etc.)
Organisatorische Maßnahmen: Bewusstsein für den korrekten Umgang mit Informationen und inhaltliche Eingrenzung durch gutes Prozessdesign. Viele Gefahrenquellen liegen in der fahrlässigen Nutzung von Informationen. Durch das entsprechende Design der Prozesse und Sichten kann eingeschränkt werden, wer welche Informationen sieht oder mit ihnen arbeiten kann. Gute Schulungen vermitteln, welche Arbeitsweisen unsicher sind und wie man generell mit Informationen umgehen solle.
Aus diesen Ebenen abgeleitet ergeben sich verschiedene Arten von Maßnahmen zum Schutz der Informationen, Prozesse und Systeme. Allerdings zeigt sich deutlich, dass einzelne Aktivitäten auch immer nur einen Teil der Gefahren adressieren, also eine Verbindung der verschiedenen Maßnahmen erforderlich ist.
Absicherung der Strukturen bzw. Geräte: Zugangssicherungssysteme, Härtung mobiler Endgeräte etc.: Gerade hier haben die Digitalisierung und Remote Work dazu geführt, dass viele klassische Konzepte des Schutzes von Gebäuden und Firmennetzwerken an ihre Grenzen stoßen. Homeoffice, grundsätzlich mobiles Arbeiten und Bring your own device (BYOD) haben die Zugangspunkte vervielfacht. Daher sind solche Konzepte allein nicht mehr ausreichend.
Absicherung der Systeme: Schutz von Anwendungssoftware, Datenbanken etc. gegen unbefugte Zugriffe und Schadprogramme: Dies ist weiterhin ein wichtiger Baustein und Autorisierungs- und Berechtigungskonzepte sind weiterhin ein wesentlicher Bestandteil aller Softwareprojekte (Wer darf wann was mit welchen Informationen tun?). Allerdings gibt es mittlerweile eine Vielzahl von Schadprogrammen, welche entweder zu schwache Passwörter „knacken“ oder herausfinden (bspw. Keylogger, Phishing) können. Dies erfolgt auf technischer Ebene oder durch gezielte Täuschung der Anwender („Geben Sie hier Ihr Passwort ein, um die Sperrung Ihres Accounts zu verhindern“). Auch vor Fehlbedienung oder bewusster Manipulation oder Spionage schützen diese Maßnahmen nur bedingt.
Absicherung der Informationen: Schutz auf Ebene der Datensätze oder Dateien Durch Rollen- und Berechtigungskonzepte kann eingeschränkt werden, wer welchen Zugang zu Informationen erhält. Um gerade in übergreifenden Prozessen eine stärkere Kontrolle zu erhalten, können temporäre Zugangsrechte eingeräumt oder digitale Schutzmaßnahmen auf den Dateien selbst ergriffen werden (insbesondere Verschlüsselung, Öffnen nur mit bestimmten Apps etc.).
Absicherung der Prozesse: Schaffung der Rahmenbedingungen und des Bewusstseins zur Fehlervermeidung und Gefahrenabwehr Durch eine gezielte Steuerung der Anwender zu den relevanten Inhalten und die bedarfsgerechte Bereitstellung von Informationen werden die Gefahren eingeschränkt, (versehentlich) Daten zu verändern, zu löschen oder unberechtigt weiterzugeben. Klare Rollenkonzepte helfen bei der Umsetzung ebenso wie strukturierte Workflows, welche den erforderlichen Kontext für die Auswahl der jeweils relevanten Inhalte und Funktionen liefern. Neben dieser „Werkzeugebene“ muss auch die „Nutzerebene“ betrachtet werden: gute Schulungen und die Schaffung eines Bewusstseins sowohl für die potenziellen Gefahren als auch für den verantwortlichen Umgang mit Informationen sind wesentliche Eckpfeiler eines Schutzkonzepts.
Wesentliche Arten von Gefahren
Die Informationen und Systeme werden auf sehr unterschiedlichen Ebenen angegriffen. Einfallstore gibt es viele, von manipulierten Dateien und Systemen über Angriffe auf Netzwerke bis hin zu gezielter Spionage. Es lassen sich folgende wesentliche Klassen unterscheiden:
Viren und Würmer, welche das Verhalten der Systeme verändern (Einschränkung Funktionalität, Weitergabe Daten, Nutzung der Infrastruktur des infizierten Systems zur Weiterverbreitung oder zum Versenden von Spam etc.)
Trojaner: Schadsoftware zum Ausspähen von Systemen durch unterschiedliche Ansätze, Sammlung und Weitergabe von Daten (auch Passwortdaten) sowie zur Beeinträchtigung von Systemen und Speichern bis hin zur völligen Blockade einer Nutzung (Krypto-Trojaner, Ransomware: Sperrung der Systeme und Verschlüsselung der Daten, um Lösegeld zu erpressen)
Netzwerkangriffe wie bspw. (Distributed) Denial of Service, um eine Webseite oder ein Service-Angebot zu blockieren und so zu Umsatzverlusten und Kundenunzufriedenheit zu führen. Auch IoT-Anwendungen werden verstärkt angegriffen, um so Zugriffe zu sensiblen Inhalten zu erhalten.
Gefahren aus der Nutzung: Die Anwender selbst sind ein weiteres Risiko. Neben gezielter Spionage (Weitergabe von Firmeninformationen) sind vor allem mangelndes Bewusstsein und fehlendes Verständnis für die Systeme Gründe für entsprechende Lücken. Beispielsweise werden immer wieder schützenswerte Informationen einfach über E-Mails versendet oder weitreichende Zugriffe auf Austauschordner gewährt.
Innerhalb der Klassen ist eine weitere fachliche Unterteilung möglich. Aus Sicht der Entscheider wird deutlich, dass eine Maßnahme (wie bspw. die Nutzung einer Firewall) nicht ausreichend ist, um Security zu unterstützen.
Insbesondere durch die stärkere Digitalisierung und Verteilung (Nutzung mobiler Endgeräte, Remote Work etc.) gibt es immer mehr Angriffspunkte. Während manche Angriffe schnell bemerkt werden können (bspw. Blockade der Systeme) werden andere oft lange nicht erkannt (Spyware: Abfluss von Daten).
Wesentliche Arten der Schäden
Security ist kein reines IT-Thema, es hat wesentlichen Einfluss auf die Unternehmenstätigkeit. Nicht zuletzt die Berichte über Krypto-Trojaner und die damit verbundenen handlungsunfähigen Unternehmer haben die Entscheider aufhorchen lassen. Über die verschiedenen Klassen von Angriffen ergeben sich für die Unternehmen verschiedene Gefahrenklassen:
Verlust von Informationen (Löschen oder Sperren für den Zugriff): operative Prozesse können nicht durchgeführt werden
Manipulation von Informationen: Falsche Ergebnisse von Berechnungen, Analysen oder Geschäftsprozessen, Weiterleitung auf Fake-Seiten (oft mit weiterer Schadsoftware) etc.
Verletzung Datenschutz, Datenabfluss an unberechtigte Personen: Imageschaden, Gefahr für die Kunden (Identitätsdiebstahl, Nutzung Kontodaten etc.) und Einschränkung der Geschäftstätigkeit (Herunterfahren und Prüfen der Systeme kostet Zeit, in denen die Anwendungen nicht zur Verfügung stehen)
Allen gemeinsam ist, dass durch diese Gefahren direkter Schaden entsteht (bspw. Umsatzverluste durch Ausfall der Systeme) als auch indirekter Schaden (verlorenes Vertrauen beeinträchtigen die zukünftige Geschäftstätigkeit).
Neben den Interessenten und Kunden müssen in diesem Zusammenhang auch Partner berücksichtigt werden, deren Daten und Systeme ebenso wie ihre Geschäftstätigkeit direkt und indirekt unter Angriffen leiden können. Zudem werden Mitarbeitende frustriert, verunsichert und in ihrer Produktivität gestört.
Ebenen der Security im Digital Workplace
Wesentliche Maßnahmen
Aufgrund der Vielzahl von Angriffsmöglichkeiten ist Sicherheit ein vielschichtiges Thema, bei dem unterschiedliche Arten von Werkzeugen genutzt werden, um die Systeme, Daten und Prozesse abzusichern:
Verzeichnisdienste: Übergreifende Identifikation und Legitimation
Schutz gegen Schadsoftware: Virenscanner, Sicherheitseinstellungen in Software (Z. B. Abstellen von Makros) etc.
Schutz gegen Informationsdiebstahl: gesicherte Identifikation und Übertragungswege, Spam-Schutz (vgl. auch Phishing), Sperren Ports, Mitarbeiterschulungen …
Schutz gegen Attacken von außen: Firewalls, Write-once-Backup, Netzwerke (Gezielte Eingrenzung der Kommunikationswege und der beteiligten Systeme / Geräte)…
Schutz gegen Gefahren von innen: Analyse von Bewegungsmustern, Identifikation von Risiken (SIEM – Security Information and Event Management), …
Schutz der Inhalte: Verschlüsselung (Daten, Übertragungswege), sowohl grundsätzlich bei der Datenhaltung als auch bedarfsgerecht bei der Nutzung: Analyse der Informationen und Verschlüsselung beim Austausch: Anhang an Mail, Übertragung auf USB-Stick, Backups etc.
Endpoint Security: Härtung von Geräten, eindeutige Identifikation
Diese Werkzeuge sind in übergreifende Sicherheitskonzepte eingebunden. Für das umfassende Erkennen und Handeln sind folgende Funktionsbausteine wichtig:
Monitoring und Audits: Überwachung der Systeme, sowohl auf der Ebene einzelner Systeme als auch übergreifend
Analyse und Filter: Bewertung der Datenströme, Erkennen von Mustern und insbesondere Abweichungen von Mustern / Anomalien
Alerts: Aufzeigen von erkannten (potenziellen) Problemen und Gefahren
Automatismen: direkte Reaktionen
Für das Ausrollen der Sicherheit auf alle Endpunkte und Daten: automatische Prüfung, Anstoßen Prozesse für aufwandsarmes Einbinden von neuen Geräten, regelbasierte Verschlüsselung etc.
Als Reaktion auf erkannte (mögliche) Gefahren: Sperren von Datenflüssen oder Geräten, Konten, Benachrichtigung des Sicherheitsteams
Detailbetrachtung und Gefahrenabwehr: Werkzeuge für die IT-Sicherheitsspezialisten, um die Ausgangspunkte und Art des Angriffs genau zu identifizieren, gezielte Gegenmaßnahmen einzuleiten, ggf. verantwortliche Mitarbeiter zu informieren – und teilweise Gegenmaßnahmen zu starten
Dabei werden verschiedene Ansätze zur Umsetzung der Sicherheit kombiniert: Maßnahmen im Backend (Backend: Netzwerke, Datenbanken, Applikationen, …), Maßnahmen im Frontend / End Point (Absicherung der Interaktionen der Anwender, Nutzung der Geräte und Funktionen, …) und Maßnahmen auf Prozessebene, da diese wertvollen Kontext zur Bewertung der Zugriffsarten bietet.
Security im Digital Workplace
Schon bei der Formulierung der Vision müssen die Aspekte der Absicherung der Informationen und Prozesse berücksichtigt werden. Auf der organisatorischen Ebene sind Themen wie RiskManagement, Compliance ebenso wie Change-Management und Schulungen wesentliche Aspekte bei der Konzeption und Umsetzung der Sicherungsaspekte auf den verschiedenen Ebenen.
Die „technische“ Umsetzung von Security erfolgt auf verschiedenen Ebenen. Die einzelnen Systeme müssen in das übergeordnete Rollen- und Berechtigungskonzept eingebunden werden, indem die entsprechenden Konzepte in den Werkzeugen umgesetzt sowie entsprechende Schnittstellen (bspw. an den zentralen Verzeichnisdienst) geschaffen werden.
Bei der Einrichtung ist auf mögliche Schutzmaßnahmen zu achten wie verschlüsselte Kommunikation oder die explizite Freigabe der Möglichkeiten für den Datenaustausch.
Bei der Konzeption der übergreifenden Prozesse und Sichten (inkl. der Dashboards im Digital Workplace) ist klar zu definieren, welche Rolle welche Inhalte sehen und ggf. in welcher Form bearbeiten darf.
Dies führt nicht nur zu einer Absicherung gegen (auch ungewollte) Manipulation und Verlust, sondern auch zu einer Konzentration auf die wesentlichen Inhalte. Nutzer werden damit nicht von der Vielzahl der grundsätzlich verfügbaren Informationen „überrollt“ (Informationsflut), sondern erhalten relevante Informationen im Kontext.
Für weiterreichende Aktionen ist der Absprung in das jeweilige Fachsystem sinnvoll, da hier mehr Kontext, weitere Funktionen sowie auch speziell auf den Anwendungsfall ausgelegte Berechtigungsstrukturen vorhanden sind. (Beispielsweise können Spezialsysteme für den Dokumentenaustausch entsprechende Policies anwenden, um Inhalte zu prüfen und Fristen einzuhalten.)
Zudem ist Security durch die Nutzung spezieller Systeme und Konzepte eine eigene Schicht, die übergreifend die Prozesse, Systeme und Geräte absichert. Dies umfasst bspw. Netzwerkmanagement, Firewalls und Unified Endpoint Management (Verwaltung der Endgeräte und der darauf installierten Software). Auch zentrale Steuerungskonzepte für das Nutzer- und Rechtemanagement (bspw. zentrale Verzeichnisdienste) sind hier anzusiedeln.
Auch zur übergreifenden Überwachung, Analyse und Verteidigung der Systeme können Spezialanwendungen wie SIEM-Systeme (Security Information and Event Management) genutzt werden, welche unerlaubte oder ungewöhnliche Aktivitäten erkennen und Gegenmaßnahmen einleiten können.
So kann bspw. auch identifiziert werden, dass eine Nutzerkennung gestohlen wurde, wenn ein Zugriff bis 17:00 Uhr über einen Netzwerkpunkt in Hessen erfolgte, nach 17:30 Uhr aber aus einem anderen Kontinent – was auf eine gestohlene Benutzerkennung schließen lässt. „Klassische“ Ansätze wie Firewalls und Scanner für Viren / Malware / etc. sind weiterhin notwendig.
Hier hat in den vergangenen Jahren ein Wandel eingesetzt, wie IT-Sicherheit verstanden und gelebt wird. Aufgrund der Anforderungen an Flexibilität, Digitalisierung und Vernetzung können klassische Konzepte der Abschottung nicht mehr praktiziert werden.
Für die Umsetzung der Sicherheit sind komplexere Konzepte und insbesondere auch Beratung erforderlich. Das hat auch das Bild der IT-Sicherheitsexperten in den Unternehmen verändert: von den Bedenkenträgern und Verhinderern hin zu wertvollen Ansprechpartnern und „Möglich-Machern“.
Fazit: Security muss ein Kernaspekt des Digital Workplace sein
Digitale Informationen und Prozesse sind Rückgrat und wesentliche Arbeitsmittel in der modernen Arbeitswelt. Durch technische Neuerungen, aber auch insbesondere eine veränderte Anspruchshaltung der Mitarbeiter, Partner und Kunden wandeln sich Informations- und IT-Infrastrukturen. Die immer stärkere Vernetzung verändert, wie Security aufgebaut und gelebt werden muss.
Für die Umsetzung sind ganzheitliche Ansätze entscheidend:
Firmennetzwerk – aber auch remote-Zugriff (Austausch mit Remote-Work-Nutzer:innen, aber auch Partnern, Kunden und Interessenten)
Informationen und deren Speicherung, insbesondere aber auch deren Verarbeitung und Austausch
Damit wird deutlich, dass Security keine reine IT-Aufgabe mehr ist. Die Fachbereiche müssen beraten und eingebunden werden, da die Konzeption der Prozesse und die Schulung der Anwender wesentliche Eckpfeiler sind – neben dem Einsatz entsprechender Speziallösungen. Die Verankerung von Security muss bereits in der Strategie erfolgen. Sie erfordert eine Bewertung der Ziele und Maßnahmen auch unter Gesichtspunkten der Risiken und Auswahl der entsprechenden Werkzeuge sowie der Gestaltung von Prozessstrukturen.
Digitalisierung unterscheidet sich hier nicht vom realen Leben: Autofahren hat die Mobilität und damit die Gesellschaft verändert und bietet viele Möglichkeiten im geschäftlichen und privaten Umfeld. Aber es erfordert auch Absicherung auf verschiedenen Ebenen: von Sicherheitsgurten und Airbags über die Erfordernisse von Führerscheinen und Versicherungen bis hin zum umsichtigen Fahren. Auch die Digitalisierung bietet viele Chancen – man darf sich dabei nicht durch Sicherheitslücken ausbremsen lassen.
Erfahren Sie mehr über die Anforderungen an die Sicherheit im Digital Workplace und warum eine Firewall hierbei nicht genügt.
„Irgendwas stimmt hier nicht“ – wenn dieser Satz fällt, ist es meistens schon zu spät. Die Systeme reagieren nicht mehr, Daten sind weg und die Prozesse sind gestört. Angriffe auf Passwörter, Geräte und ganze Netzwerke nehmen immer mehr zu und sie werden vielfältiger. Durch die Digitalisierung und starke Vernetzung sind Unternehmen immer stärker gefährdet.
Schnelle Digitalisierungsprojekte hatten Erreichbarkeit im Fokus – nicht Sicherheit
“Richtige Daten sind Gold wert“ – das lockt leider auch verschiedene Gefahren an. Nicht nur die datenhaltenden Systeme, auch die entsprechenden Prozesse müssen abgesichert werden.
Teilweise sehr schnell durchgeführte Projekte vor dem Hintergrund von Homeoffice-Zwängen durch Covid-19 haben Probleme verstärkt, die bereits durch technische Trends wie immer mehr Endgeräte (Smartphones, Tablets – aber auch intelligente Geräte des „Internet of Things“ IoT) und den Aufbau von Gesamtsystemen durch immer mehr vernetzte Services deutlich wurden.
„Richtige Daten sind Gold wert“
Klassische Ansätze der Absicherung von zentralen Unternehmensnetzen greifen zu kurz, da sich wesentliche Quellen, Ziele, Werkzeuge und Nutzer außerhalb der eigenen Firmengebäude befinden. Immer mehr Kommunikationswege mit Möglichkeiten zum Datenaustausch (bspw. Cloud-basierte Austauschverzeichnisse, Collaboration-Dienste) erhöhen die Risiken ungewollter Informationsweitergabe oder -manipulation.
Die Schäden sind nicht „ärgerlich“ – sie gefährden den Betrieb des Unternehmens
Unternehmen und ihre Daten und Prozesse sind auf sehr unterschiedlichen Ebenen mit einer Vielzahl von Angriffen konfrontiert. Viren, Würmer und Trojaner können Daten kopieren, verändern oder bspw. durch Verschlüsselung gegen die Nutzung durch die eigenen Mitarbeiter sperren.
Netzwerkangriffe blockieren die Erreichbarkeit der Online-Angebote. Und auch die Anwender selbst teilen oft ungewollt und unbewusst wertvolles Wissen über zu viele Wege mit zu vielen Beteiligten. Die Konsequenzen sind oft drastisch:
Verlust von Informationen (Löschen oder Sperren für den Zugriff): Anwender und Systeme können nicht weiterarbeiten, Geschäftsprozesse (inkl. Lieferungen und Abrechnungen) können nicht durchgeführt werden
Manipulation von Informationen: Durch verfälschte Daten werden fehlerhafte Ergebnisse produziert, was operative Prozesse ebenso wie taktische und strategische Entscheidungen verändert. Oft wird durch die Manipulation ein weiterer Angriff eingeleitet (bspw. durch die Weiterleitung auf Fake-Seiten mit weiterer Schadsoftware).
Datenabfluss an unberechtigte Personen: Neben der Verletzung des Datenschutzes und dem Imageschaden können auch direkte Schäden bspw. durch Identitätsdiebstahl und die unberechtigte Nutzung von Kontodaten etc. entstehen.
Alle diese Gefahren haben sowohl einen direkten Einfluss auf die aktuellen operativen Prozesse als auch indirekt auf die zukünftigen Geschäftsbeziehungen zu Kunden und Partnern. Des Weiteren sind negative Effekte auf die Mitarbeiter durch Verunsicherung und geringere Produktivität zu beachten.
Security als wesentlicher Bestandteil des Digital Workplace
Im Modell des Digital Workplace ist Security ein eigener Block, welcher die verschiedenen Maßnahmen umfasst zum Schutz der Ablage und Verwaltung der Inhalte, der Absicherung der Nutzung und der gezielten Identifikation und Berechtigung der Anwender und Systeme zur Steuerung von Zugriff und Kommunikation.
Anforderungen an die Sicherheit im Digital Workplace
Sicherheit hat aber auch eine klare organisatorische Komponente. Die Zusammenführung von Informationen in Prozessen und Dashboards muss gezielt geplant und gesteuert werden. Diese Verhältnismäßigkeit durch den klaren Anwendungskontext unterstützt nicht nur die Sicherheit, sie erleichtert auch den Zugriff auf die wirklich für Nutzer relevante Inhalte.
Für Einführung und Betrieb muss durch Change-Management und Schulungsmaßnahmen nicht nur die Handhabung der Werkzeuge vermittelt werden, sondern auch ein Bewusstsein für den gezielten, sicheren und verantwortungsvollen Umgang mit Informationen.
Digitale Informationen und Prozesse sind Rückgrat und wesentliche Arbeitsmittel in der modernen Arbeitswelt.
Damit muss Security auch bei der Formulierung der Vision des Digitalen Workplace berücksichtigt werden, da so wesentliche Stellschrauben und Rahmenbedingungen vorgegeben werden. Digitale Informationen und Prozesse sind Rückgrat und wesentliche Arbeitsmittel in der modernen Arbeitswelt. Daher müssen sie auch umfassend geschützt werden.
Secure Workplace in der Digital Workplace Experience
Im Rahmen unserer Webinar-Reihe „Digital Workplace Experience“ haben wir im Segment „Secure Workplace“ gemeinsam mit einem ausgewiesenen Experten wesentliche Eckpunkte beleuchtet. Erfahren Sie in diesem Webinar,
was Security im Digital Workplace bedeutet
welche Gefahren es gibt und wie man sich dagegen schützen kann
wie ein übergreifender Secure Workplace aufgebaut werden kann
Impulse und Tipps zum Thema Secure Workplace gibt Dirk Eisenberg, Vice President Research & Development von Matrix42
