Skip to main content
Digital WorkplaceSecurity

Secu­ri­ty im Digi­tal Work­place

21. Sep­tem­ber 2022

Von Dr. Mar­tin Böhn

Die weit­rei­chen­de Digi­ta­li­sie­rung und ins­be­son­de­re die Zusam­men­füh­rung wesent­li­cher Infor­ma­tio­nen und Funk­tio­nen im Digi­tal Work­place erfor­dert gute Sicher­heits­kon­zep­te – auf meh­re­ren Ebe­nen. Immer wie­der wer­den Ent­schei­der durch ent­spre­chen­de Berich­te aus der Pres­se auf die­se Gefah­ren hin­ge­wie­sen – oder sie wer­den sogar selbst Opfer von Cyber-Kri­mi­na­li­tät. Daher ist Secu­ri­ty fest im Modell des Digi­tal Work­place ver­an­kert.

“Rich­ti­ge Daten sind Gold wert“ – das lockt lei­der auch ver­schie­de­ne Gefah­ren an. Nicht nur die daten­hal­ten­den Sys­te­me, auch die ent­spre­chen­den Pro­zes­se müs­sen abge­si­chert wer­den.

Immer wie­der wer­den Hacker­an­grif­fe, aber auch Mal­wa­re & Ran­som­wa­re publik, wel­che den Unter­neh­men enor­men finan­zi­el­len Scha­den zufü­gen und das Außen­bild belas­ten. Man ist nicht mehr arbeits­fä­hig, ver­liert Ver­trau­en bei Kun­den und Part­nern und auch die Belas­tung der Mit­ar­bei­ter ist hoch. Zudem sind Daten­mit­nah­men ein Risi­ko, es droht der Ver­lust wert­vol­ler Infor­ma­tio­nen.

Durch die immer stär­ke­re Digi­ta­li­sie­rung und Ver­net­zung erhö­hen sich die Risi­ken, da aus­ge­fal­le­ne bzw. blo­ckier­te Sys­te­me gan­ze Pro­zess­ket­te behin­dern und Daten­lecks eben­so gan­ze Geschäfts­fel­der gefähr­den. Gleich­zei­tig hat die Anzahl der Gerä­te und Kno­ten­punk­te durch die Arbeit von Zuhau­se, teil­wei­se mit eige­nen End­ge­rä­ten (BYOD: Bring your own device) die Anzahl der Angriffs­punk­te erhöht.

Immer mehr Infor­ma­tio­nen gehen über immer mehr Kanä­le ein, was es für die Anwen­der noch schwie­ri­ger macht, nicht auf infi­zier­te Anhän­ge, fal­sche Web­sei­ten, Phis­hing (Pass­wort­dieb­stahl durch Vor­gau­keln ver­trau­ens­wür­di­ger Kom­mu­ni­ka­ti­ons­part­ner) und Iden­ti­täts­dieb­stahl her­ein­zu­fal­len.

Zudem steigt lei­der auch die Qua­li­tät der Schad­soft­ware – teil­wei­se ent­hal­ten bei­spiels­wei­se betrü­ge­ri­sche E-Mails kor­rek­te Emp­fän­ger­da­ten und imi­tie­ren den Auf­tritt nam­haf­ter Fir­men häu­fig sehr gut.

Ver­stärkt wer­den die­se Ten­den­zen durch Ver­än­de­run­gen in der IT-Land­schaft, durch Cloud- und Soft­ware-as-a-Ser­vice-Ange­bo­te, ver­netz­te Best-of-Breed-Archi­tek­tu­ren, mehr mobi­le End­ge­rä­te und auch IoT gibt es viel mehr Kno­ten­punk­te im gesam­ten Netz­werk, wel­che ange­grif­fen wer­den kön­nen.

Eine Aktua­li­sie­rung der bis­he­ri­gen IT-Stra­te­gie ist drin­gend erfor­der­lich. Aller­dings konn­ten ins­be­son­de­re bedingt durch Covid-19 längst nicht alle Pro­jek­te mit umfang­rei­cher Vor­lauf­zeit geplant wer­den – es muss­ten schnell Lösun­gen geschaf­fen wer­den. Und die­se gilt es nun abzu­si­chern. Hier setzt der Secu­re Work­place an.

Für den umfas­sen­den Schutz der Daten und Pro­zes­se sowie die schnel­le Erken­nung und Ein­däm­mung von Gefah­ren braucht es gute Werk­zeu­ge, wel­che sowohl Ihre Sicher­heits­ver­ant­wort­li­chen als auch Ihre Mit­ar­bei­ter unter­stützt.

Wesent­li­che Ebe­nen der Sicher­heit

Gera­de der Digi­tal Work­place ist durch eine Ver­knüp­fung ver­schie­de­ner Sys­te­me und Daten­ab­la­gen gekenn­zeich­net. Dies erhöht die Risi­ken und erzeugt eine höhe­re Abhän­gig­keit – es gibt mehr Ein­falls­to­re und der Aus­fall eines Bau­steins kann die gesam­te Pro­zess­ket­te stö­ren.

Security im Digital Workplace
Anfor­de­run­gen an die Sicher­heit im Digi­tal Work­place

Die Absi­che­rung des Digi­tal Work­place bezieht sich auf ver­schie­de­ne Ebe­nen.

  • Spei­che­rung der Infor­ma­tio­nen: Absi­che­rung der Abla­ge- und Ver­wal­tungs­schich­ten, betref­fend Inhal­te, Sys­te­me und Gerä­te.             
    Oft sind Inhal­te ver­teilt auf ver­schie­de­ne Sys­te­me (Daten­ban­ken, Ana­ly­tics-Anwen­dun­gen, Fach­sys­te­me mit eige­ner Daten­hal­tung, ECM-Sys­te­me für Doku­men­te, Media-Asset-Manage­ment etc.). Die Sicher­heits­kon­zep­te betref­fen die­se Ver­wal­tungs­sys­te­me als auch die Infor­ma­tio­nen selbst (Ver­schlüs­se­lung, digi­ta­le Was­ser­zei­chen etc.). Zudem müs­sen die Gerä­te selbst abge­si­chert wer­den (ins­be­son­de­re mobi­le End­ge­rä­te), da auch sie Angriffs­punk­te sind.
  • Nut­zung und Aus­tausch der Infor­ma­tio­nen: Ver­wen­dung der Daten in den Geschäfts­pro­zes­sen über ver­schie­de­ne Ebe­nen hin­weg: inner­halb eines Teams, unter­neh­mens­weit, Aus­tausch mit Part­nern, Aus­tausch mit Kun­den.              
    Auf allen die­sen Ebe­nen (und den Zwi­schen­for­men) muss gewähr­leis­tet sein, dass eine kla­re Kon­trol­le besteht, wel­che Infor­ma­tio­nen mit wem in wel­cher Form für wel­chen Zeit­raum geteilt wer­den.
  • Iden­ti­täts- und Rech­te­ma­nage­ment: Authen­ti­fi­ka­ti­on und Auto­ri­sie­rung: Ist der Ansprech­part­ner der, für den er sich aus­gibt, und wel­che Inhal­te und Funk­tio­nen darf die­se Per­son ver­wen­den?
    Dies ist ins­be­son­de­re bei über­grei­fen­den Pro­zes­sen im Digi­tal Work­place eine Her­aus­for­de­rung, da unter­schied­li­che Sys­te­me ver­schie­de­ne Arten von Berech­ti­gun­gen ermög­li­chen und eige­ne Rol­len- und Rech­te­kon­zep­te haben, wel­che in Ein­klang gebracht wer­den müs­sen. Gleich­zei­tig sol­len die Pro­zes­se nicht aus­ge­bremst und die Mit­ar­bei­ten­de nicht demo­ti­viert wer­den (Zugriff auf erfor­der­li­che Infor­ma­tio­nen sicher­stel­len, sin­gle-sign-on als wesent­li­che Arbeits­er­leich­te­rung etc.)
  • Orga­ni­sa­to­ri­sche Maß­nah­men: Bewusst­sein für den kor­rek­ten Umgang mit Infor­ma­tio­nen und inhalt­li­che Ein­gren­zung durch gutes Pro­zess­de­sign.
    Vie­le Gefah­ren­quel­len lie­gen in der fahr­läs­si­gen Nut­zung von Infor­ma­tio­nen. Durch das ent­spre­chen­de Design der Pro­zes­se und Sich­ten kann ein­ge­schränkt wer­den, wer wel­che Infor­ma­tio­nen sieht oder mit ihnen arbei­ten kann. Gute Schu­lun­gen ver­mit­teln, wel­che Arbeits­wei­sen unsi­cher sind und wie man gene­rell mit Infor­ma­tio­nen umge­hen sol­le.
     

Aus die­sen Ebe­nen abge­lei­tet erge­ben sich ver­schie­de­ne Arten von Maß­nah­men zum Schutz der Infor­ma­tio­nen, Pro­zes­se und Sys­te­me. Aller­dings zeigt sich deut­lich, dass ein­zel­ne Akti­vi­tä­ten auch immer nur einen Teil der Gefah­ren adres­sie­ren, also eine Ver­bin­dung der ver­schie­de­nen Maß­nah­men erfor­der­lich ist.

  • Absi­che­rung der Struk­tu­ren bzw. Gerä­te: Zugangs­si­che­rungs­sys­te­me, Här­tung mobi­ler End­ge­rä­te etc.:    
    Gera­de hier haben die Digi­ta­li­sie­rung und Remo­te Work dazu geführt, dass vie­le klas­si­sche Kon­zep­te des Schut­zes von Gebäu­den und Fir­men­netz­wer­ken an ihre Gren­zen sto­ßen. Home­of­fice, grund­sätz­lich mobi­les Arbei­ten und Bring your own device (BYOD) haben die Zugangs­punk­te ver­viel­facht. Daher sind sol­che Kon­zep­te allein nicht mehr aus­rei­chend.
  • Absi­che­rung der Sys­te­me: Schutz von Anwen­dungs­soft­ware, Daten­ban­ken etc. gegen unbe­fug­te Zugrif­fe und Schad­pro­gram­me:              
    Dies ist wei­ter­hin ein wich­ti­ger Bau­stein und Auto­ri­sie­rungs- und Berech­ti­gungs­kon­zep­te sind wei­ter­hin ein wesent­li­cher Bestand­teil aller Soft­ware­pro­jek­te (Wer darf wann was mit wel­chen Infor­ma­tio­nen tun?). Aller­dings gibt es mitt­ler­wei­le eine Viel­zahl von Schad­pro­gram­men, wel­che ent­we­der zu schwa­che Pass­wör­ter „kna­cken“ oder her­aus­fin­den (bspw. Key­log­ger, Phis­hing) kön­nen. Dies erfolgt auf tech­ni­scher Ebe­ne oder durch geziel­te Täu­schung der Anwen­der („Geben Sie hier Ihr Pass­wort ein, um die Sper­rung Ihres Accounts zu ver­hin­dern“). Auch vor Fehl­be­die­nung oder bewuss­ter Mani­pu­la­ti­on oder Spio­na­ge schüt­zen die­se Maß­nah­men nur bedingt.
  • Absi­che­rung der Infor­ma­tio­nen: Schutz auf Ebe­ne der Daten­sät­ze oder Datei­en   
    Durch Rol­len- und Berech­ti­gungs­kon­zep­te kann ein­ge­schränkt wer­den, wer wel­chen Zugang zu Infor­ma­tio­nen erhält. Um gera­de in über­grei­fen­den Pro­zes­sen eine stär­ke­re Kon­trol­le zu erhal­ten, kön­nen tem­po­rä­re Zugangs­rech­te ein­ge­räumt oder digi­ta­le Schutz­maß­nah­men auf den Datei­en selbst ergrif­fen wer­den (ins­be­son­de­re Ver­schlüs­se­lung, Öff­nen nur mit bestimm­ten Apps etc.).
  • Absi­che­rung der Pro­zes­se: Schaf­fung der Rah­men­be­din­gun­gen und des Bewusst­seins zur Feh­ler­ver­mei­dung und Gefah­ren­ab­wehr
    Durch eine geziel­te Steue­rung der Anwen­der zu den rele­van­ten Inhal­ten und die bedarfs­ge­rech­te Bereit­stel­lung von Infor­ma­tio­nen wer­den die Gefah­ren ein­ge­schränkt, (ver­se­hent­lich) Daten zu ver­än­dern, zu löschen oder unbe­rech­tigt wei­ter­zu­ge­ben. Kla­re Rol­len­kon­zep­te hel­fen bei der Umset­zung eben­so wie struk­tu­rier­te Work­flows, wel­che den erfor­der­li­chen Kon­text für die Aus­wahl der jeweils rele­van­ten Inhal­te und Funk­tio­nen lie­fern.
    Neben die­ser „Werk­zeu­ge­be­ne“ muss auch die „Nut­zer­ebe­ne“ betrach­tet wer­den: gute Schu­lun­gen und die Schaf­fung eines Bewusst­seins sowohl für die poten­zi­el­len Gefah­ren als auch für den ver­ant­wort­li­chen Umgang mit Infor­ma­tio­nen sind wesent­li­che Eck­pfei­ler eines Schutz­kon­zepts.
     

Wesent­li­che Arten von Gefah­ren

Die Infor­ma­tio­nen und Sys­te­me wer­den auf sehr unter­schied­li­chen Ebe­nen ange­grif­fen. Ein­falls­to­re gibt es vie­le, von mani­pu­lier­ten Datei­en und Sys­te­men über Angrif­fe auf Netz­wer­ke bis hin zu geziel­ter Spio­na­ge. Es las­sen sich fol­gen­de wesent­li­che Klas­sen unter­schei­den:

  • Viren und Wür­mer, wel­che das Ver­hal­ten der Sys­te­me ver­än­dern (Ein­schrän­kung Funk­tio­na­li­tät, Wei­ter­ga­be Daten, Nut­zung der Infra­struk­tur des infi­zier­ten Sys­tems zur Wei­ter­ver­brei­tung oder zum Ver­sen­den von Spam etc.)
  • Tro­ja­ner: Schad­soft­ware zum Aus­spä­hen von Sys­te­men durch unter­schied­li­che Ansät­ze, Samm­lung und Wei­ter­ga­be von Daten (auch Pass­wort­da­ten) sowie zur Beein­träch­ti­gung von Sys­te­men und Spei­chern bis hin zur völ­li­gen Blo­cka­de einer Nut­zung (Kryp­to-Tro­ja­ner, Ran­som­wa­re: Sper­rung der Sys­te­me und Ver­schlüs­se­lung der Daten, um Löse­geld zu erpres­sen)
  • Netz­werk­an­grif­fe wie bspw. (Dis­tri­bu­ted) Deni­al of Ser­vice, um eine Web­sei­te oder ein Ser­vice-Ange­bot zu blo­ckie­ren und so zu Umsatz­ver­lus­ten und Kun­de­nun­zu­frie­den­heit zu füh­ren. Auch IoT-Anwen­dun­gen wer­den ver­stärkt ange­grif­fen, um so Zugrif­fe zu sen­si­blen Inhal­ten zu erhal­ten.
  • Gefah­ren aus der Nut­zung: Die Anwen­der selbst sind ein wei­te­res Risi­ko. Neben geziel­ter Spio­na­ge (Wei­ter­ga­be von Fir­men­in­for­ma­tio­nen) sind vor allem man­geln­des Bewusst­sein und feh­len­des Ver­ständ­nis für die Sys­te­me Grün­de für ent­spre­chen­de Lücken. Bei­spiels­wei­se wer­den immer wie­der schüt­zens­wer­te Infor­ma­tio­nen ein­fach über E-Mails ver­sen­det oder weit­rei­chen­de Zugrif­fe auf Aus­tausch­ord­ner gewährt.
     

Inner­halb der Klas­sen ist eine wei­te­re fach­li­che Unter­tei­lung mög­lich. Aus Sicht der Ent­schei­der wird deut­lich, dass eine Maß­nah­me (wie bspw. die Nut­zung einer Fire­wall) nicht aus­rei­chend ist, um Secu­ri­ty zu unter­stüt­zen.

Ins­be­son­de­re durch die stär­ke­re Digi­ta­li­sie­rung und Ver­tei­lung (Nut­zung mobi­ler End­ge­rä­te, Remo­te Work etc.) gibt es immer mehr Angriffs­punk­te. Wäh­rend man­che Angrif­fe schnell bemerkt wer­den kön­nen (bspw. Blo­cka­de der Sys­te­me) wer­den ande­re oft lan­ge nicht erkannt (Spy­wa­re: Abfluss von Daten).

Wesent­li­che Arten der Schä­den

Secu­ri­ty ist kein rei­nes IT-The­ma, es hat wesent­li­chen Ein­fluss auf die Unter­neh­mens­tä­tig­keit. Nicht zuletzt die Berich­te über Kryp­to-Tro­ja­ner und die damit ver­bun­de­nen hand­lungs­un­fä­hi­gen Unter­neh­mer haben die Ent­schei­der auf­hor­chen las­sen. Über die ver­schie­de­nen Klas­sen von Angrif­fen erge­ben sich für die Unter­neh­men ver­schie­de­ne Gefah­ren­klas­sen:

  • Ver­lust von Infor­ma­tio­nen (Löschen oder Sper­ren für den Zugriff): ope­ra­ti­ve Pro­zes­se kön­nen nicht durch­ge­führt wer­den
  • Mani­pu­la­ti­on von Infor­ma­tio­nen: Fal­sche Ergeb­nis­se von Berech­nun­gen, Ana­ly­sen oder Geschäfts­pro­zes­sen, Wei­ter­lei­tung auf Fake-Sei­ten (oft mit wei­te­rer Schad­soft­ware) etc.
  • Ver­let­zung Daten­schutz, Daten­ab­fluss an unbe­rech­tig­te Per­so­nen: Image­scha­den, Gefahr für die Kun­den (Iden­ti­täts­dieb­stahl, Nut­zung Kon­to­da­ten etc.) und Ein­schrän­kung der Geschäfts­tä­tig­keit (Her­un­ter­fah­ren und Prü­fen der Sys­te­me kos­tet Zeit, in denen die Anwen­dun­gen nicht zur Ver­fü­gung ste­hen)
     

Allen gemein­sam ist, dass durch die­se Gefah­ren direk­ter Scha­den ent­steht (bspw. Umsatz­ver­lus­te durch Aus­fall der Sys­te­me) als auch indi­rek­ter Scha­den (ver­lo­re­nes Ver­trau­en beein­träch­ti­gen die zukünf­ti­ge Geschäfts­tä­tig­keit).

Neben den Inter­es­sen­ten und Kun­den müs­sen in die­sem Zusam­men­hang auch Part­ner berück­sich­tigt wer­den, deren Daten und Sys­te­me eben­so wie ihre Geschäfts­tä­tig­keit direkt und indi­rekt unter Angrif­fen lei­den kön­nen. Zudem wer­den Mit­ar­bei­ten­de frus­triert, ver­un­si­chert und in ihrer Pro­duk­ti­vi­tät gestört.

Security im Digital Workplace
Ebe­nen der Secu­ri­ty im Digi­tal Work­place

Wesent­li­che Maß­nah­men

Auf­grund der Viel­zahl von Angriffs­mög­lich­kei­ten ist Sicher­heit ein viel­schich­ti­ges The­ma, bei dem unter­schied­li­che Arten von Werk­zeu­gen genutzt wer­den, um die Sys­te­me, Daten und Pro­zes­se abzu­si­chern:

  • Ver­zeich­nis­diens­te: Über­grei­fen­de Iden­ti­fi­ka­ti­on und Legi­ti­ma­ti­on
  • Authen­ti­fi­zie­rungs­lö­sun­gen (bspw. 2-Fak­tor-Authen­ti­fi­zie­rung)
  • Schutz gegen Schad­soft­ware: Viren­scan­ner, Sicher­heits­ein­stel­lun­gen in Soft­ware (Z. B. Abstel­len von Makros) etc.
  • Schutz gegen Infor­ma­ti­ons­dieb­stahl: gesi­cher­te Iden­ti­fi­ka­ti­on und Über­tra­gungs­we­ge, Spam-Schutz (vgl. auch Phis­hing), Sper­ren Ports, Mit­ar­bei­ter­schu­lun­gen …
  • Schutz gegen Atta­cken von außen: Fire­walls, Wri­te-once-Back­up, Netz­wer­ke (Geziel­te Ein­gren­zung der Kom­mu­ni­ka­ti­ons­we­ge und der betei­lig­ten Sys­te­me / Gerä­te)…
  • Schutz gegen Gefah­ren von innen: Ana­ly­se von Bewe­gungs­mus­tern, Iden­ti­fi­ka­ti­on von Risi­ken (SIEM – Secu­ri­ty Infor­ma­ti­on and Event Manage­ment), …
  • Schutz der Inhal­te: Ver­schlüs­se­lung (Daten, Über­tra­gungs­we­ge), sowohl grund­sätz­lich bei der Daten­hal­tung als auch bedarfs­ge­recht bei der Nut­zung: Ana­ly­se der Infor­ma­tio­nen und Ver­schlüs­se­lung beim Aus­tausch: Anhang an Mail, Über­tra­gung auf USB-Stick, Back­ups etc.
  • End­point Secu­ri­ty: Här­tung von Gerä­ten, ein­deu­ti­ge Iden­ti­fi­ka­ti­on

Die­se Werk­zeu­ge sind in über­grei­fen­de Sicher­heits­kon­zep­te ein­ge­bun­den. Für das umfas­sen­de Erken­nen und Han­deln sind fol­gen­de Funk­ti­ons­bau­stei­ne wich­tig:

  • Moni­to­ring und Audits: Über­wa­chung der Sys­te­me, sowohl auf der Ebe­ne ein­zel­ner Sys­te­me als auch über­grei­fend
  • Ana­ly­se und Fil­ter: Bewer­tung der Daten­strö­me, Erken­nen von Mus­tern und ins­be­son­de­re Abwei­chun­gen von Mus­tern / Anoma­lien
  • Alerts: Auf­zei­gen von erkann­ten (poten­zi­el­len) Pro­ble­men und Gefah­ren
  • Auto­ma­tis­men: direk­te Reak­tio­nen
    • Für das Aus­rol­len der Sicher­heit auf alle End­punk­te und Daten: auto­ma­ti­sche Prü­fung, Ansto­ßen Pro­zes­se für auf­wands­ar­mes Ein­bin­den von neu­en Gerä­ten, regel­ba­sier­te Ver­schlüs­se­lung etc.
    • Als Reak­ti­on auf erkann­te (mög­li­che) Gefah­ren: Sper­ren von Daten­flüs­sen oder Gerä­ten, Kon­ten, Benach­rich­ti­gung des Sicher­heits­teams
  • Detail­be­trach­tung und Gefah­ren­ab­wehr: Werk­zeu­ge für die IT-Sicher­heits­spe­zia­lis­ten, um die Aus­gangs­punk­te und Art des Angriffs genau zu iden­ti­fi­zie­ren, geziel­te Gegen­maß­nah­men ein­zu­lei­ten, ggf. ver­ant­wort­li­che Mit­ar­bei­ter zu infor­mie­ren – und teil­wei­se Gegen­maß­nah­men zu star­ten
     

Dabei wer­den ver­schie­de­ne Ansät­ze zur Umset­zung der Sicher­heit kom­bi­niert: Maß­nah­men im Backend (Backend: Netz­wer­ke, Daten­ban­ken, Appli­ka­tio­nen, …), Maß­nah­men im Front­end / End Point (Absi­che­rung der Inter­ak­tio­nen der Anwen­der, Nut­zung der Gerä­te und Funk­tio­nen, …) und Maß­nah­men auf Pro­zess­ebe­ne, da die­se wert­vol­len Kon­text zur Bewer­tung der Zugriffs­ar­ten bie­tet.

Secu­ri­ty im Digi­tal Work­place

Schon bei der For­mu­lie­rung der Visi­on müs­sen die Aspek­te der Absi­che­rung der Infor­ma­tio­nen und Pro­zes­se berück­sich­tigt wer­den. Auf der orga­ni­sa­to­ri­schen Ebe­ne sind The­men wie Risk Manage­ment, Com­pli­ance eben­so wie Chan­ge-Manage­ment und Schu­lun­gen wesent­li­che Aspek­te bei der Kon­zep­ti­on und Umset­zung der Siche­rungs­aspek­te auf den ver­schie­de­nen Ebe­nen.

Die „tech­ni­sche“ Umset­zung von Secu­ri­ty erfolgt auf ver­schie­de­nen Ebe­nen. Die ein­zel­nen Sys­te­me müs­sen in das über­ge­ord­ne­te Rol­len- und Berech­ti­gungs­kon­zept ein­ge­bun­den wer­den, indem die ent­spre­chen­den Kon­zep­te in den Werk­zeu­gen umge­setzt sowie ent­spre­chen­de Schnitt­stel­len (bspw. an den zen­tra­len Ver­zeich­nis­dienst) geschaf­fen wer­den.

Bei der Ein­rich­tung ist auf mög­li­che Schutz­maß­nah­men zu ach­ten wie ver­schlüs­sel­te Kom­mu­ni­ka­ti­on oder die expli­zi­te Frei­ga­be der Mög­lich­kei­ten für den Daten­aus­tausch.

Bei der Kon­zep­ti­on der über­grei­fen­den Pro­zes­se und Sich­ten (inkl. der Dash­boards im Digi­tal Work­place) ist klar zu defi­nie­ren, wel­che Rol­le wel­che Inhal­te sehen und ggf. in wel­cher Form bear­bei­ten darf.

Dies führt nicht nur zu einer Absi­che­rung gegen (auch unge­woll­te) Mani­pu­la­ti­on und Ver­lust, son­dern auch zu einer Kon­zen­tra­ti­on auf die wesent­li­chen Inhal­te. Nut­zer wer­den damit nicht von der Viel­zahl der grund­sätz­lich ver­füg­ba­ren Infor­ma­tio­nen „über­rollt“ (Infor­ma­ti­ons­flut), son­dern erhal­ten rele­van­te Infor­ma­tio­nen im Kon­text.

Für wei­ter­rei­chen­de Aktio­nen ist der Absprung in das jewei­li­ge Fach­sys­tem sinn­voll, da hier mehr Kon­text, wei­te­re Funk­tio­nen sowie auch spe­zi­ell auf den Anwen­dungs­fall aus­ge­leg­te Berech­ti­gungs­struk­tu­ren vor­han­den sind. (Bei­spiels­wei­se kön­nen Spe­zi­al­sys­te­me für den Doku­men­ten­aus­tausch ent­spre­chen­de Poli­ci­es anwen­den, um Inhal­te zu prü­fen und Fris­ten ein­zu­hal­ten.)       

Zudem ist Secu­ri­ty durch die Nut­zung spe­zi­el­ler Sys­te­me und Kon­zep­te eine eige­ne Schicht, die über­grei­fend die Pro­zes­se, Sys­te­me und Gerä­te absi­chert. Dies umfasst bspw. Netz­werk­ma­nage­ment, Fire­walls und Uni­fied End­point Manage­ment (Ver­wal­tung der End­ge­rä­te und der dar­auf instal­lier­ten Soft­ware). Auch zen­tra­le Steue­rungs­kon­zep­te für das Nut­zer- und Rech­te­ma­nage­ment (bspw. zen­tra­le Ver­zeich­nis­diens­te) sind hier anzu­sie­deln.

Auch zur über­grei­fen­den Über­wa­chung, Ana­ly­se und Ver­tei­di­gung der Sys­te­me kön­nen Spe­zi­al­an­wen­dun­gen wie SIEM-Sys­te­me (Secu­ri­ty Infor­ma­ti­on and Event Manage­ment) genutzt wer­den, wel­che uner­laub­te oder unge­wöhn­li­che Akti­vi­tä­ten erken­nen und Gegen­maß­nah­men ein­lei­ten kön­nen.

So kann bspw. auch iden­ti­fi­ziert wer­den, dass eine Nut­zer­ken­nung gestoh­len wur­de, wenn ein Zugriff bis 17:00 Uhr über einen Netz­werk­punkt in Hes­sen erfolg­te, nach 17:30 Uhr aber aus einem ande­ren Kon­ti­nent – was auf eine gestoh­le­ne Benut­zer­ken­nung schlie­ßen lässt. „Klas­si­sche“ Ansät­ze wie Fire­walls und Scan­ner für Viren / Mal­wa­re / etc. sind wei­ter­hin not­wen­dig.

Hier hat in den ver­gan­ge­nen Jah­ren ein Wan­del ein­ge­setzt, wie IT-Sicher­heit ver­stan­den und gelebt wird. Auf­grund der Anfor­de­run­gen an Fle­xi­bi­li­tät, Digi­ta­li­sie­rung und Ver­net­zung kön­nen klas­si­sche Kon­zep­te der Abschot­tung nicht mehr prak­ti­ziert wer­den.

Für die Umset­zung der Sicher­heit sind kom­ple­xe­re Kon­zep­te und ins­be­son­de­re auch Bera­tung erfor­der­lich. Das hat auch das Bild der IT-Sicher­heits­exper­ten in den Unter­neh­men ver­än­dert: von den Beden­ken­trä­gern und Ver­hin­de­rern hin zu wert­vol­len Ansprech­part­nern und „Mög­lich-Machern“.

Fazit: Secu­ri­ty muss ein Kern­aspekt des Digi­tal Work­place sein

Digi­ta­le Infor­ma­tio­nen und Pro­zes­se sind Rück­grat und wesent­li­che Arbeits­mit­tel in der moder­nen Arbeits­welt. Durch tech­ni­sche Neue­run­gen, aber auch ins­be­son­de­re eine ver­än­der­te Anspruchs­hal­tung der Mit­ar­bei­ter, Part­ner und Kun­den wan­deln sich Infor­ma­ti­ons- und IT-Infra­struk­tu­ren. Die immer stär­ke­re Ver­net­zung ver­än­dert, wie Secu­ri­ty auf­ge­baut und gelebt wer­den muss.

Für die Umset­zung sind ganz­heit­li­che Ansät­ze ent­schei­dend:

  • Hard­ware, Soft­ware, Netz­werk / Kom­mu­ni­ka­ti­on
  • Ein­zel­ne Sys­te­me, Pro­zess­ket­ten / Dash­boards, Infra­struk­tur
  • Fir­men­netz­werk – aber auch remo­te-Zugriff (Aus­tausch mit Remote-Work-Nutzer:innen, aber auch Part­nern, Kun­den und Inter­es­sen­ten)
  • Infor­ma­tio­nen und deren Spei­che­rung, ins­be­son­de­re aber auch deren Ver­ar­bei­tung und Aus­tausch
     

Damit wird deut­lich, dass Secu­ri­ty kei­ne rei­ne IT-Auf­ga­be mehr ist. Die Fach­be­rei­che müs­sen bera­ten und ein­ge­bun­den wer­den, da die Kon­zep­ti­on der Pro­zes­se und die Schu­lung der Anwen­der wesent­li­che Eck­pfei­ler sind – neben dem Ein­satz ent­spre­chen­der Spe­zi­al­lö­sun­gen. Die Ver­an­ke­rung von Secu­ri­ty muss bereits in der Stra­te­gie erfol­gen. Sie erfor­dert eine Bewer­tung der Zie­le und Maß­nah­men auch unter Gesichts­punk­ten der Risi­ken und Aus­wahl der ent­spre­chen­den Werk­zeu­ge sowie der Gestal­tung von Pro­zess­struk­tu­ren.

Digi­ta­li­sie­rung unter­schei­det sich hier nicht vom rea­len Leben: Auto­fah­ren hat die Mobi­li­tät und damit die Gesell­schaft ver­än­dert und bie­tet vie­le Mög­lich­kei­ten im geschäft­li­chen und pri­va­ten Umfeld. Aber es erfor­dert auch Absi­che­rung auf ver­schie­de­nen Ebe­nen: von Sicher­heits­gur­ten und Air­bags über die Erfor­der­nis­se von Füh­rer­schei­nen und Ver­si­che­run­gen bis hin zum umsich­ti­gen Fah­ren. Auch die Digi­ta­li­sie­rung bie­tet vie­le Chan­cen – man darf sich dabei nicht durch Sicher­heits­lü­cken aus­brem­sen las­sen.