6 Grundsätze zur Sicherstellung der Compliance von Endgeräten
Gesetzliche Vorgaben und unternehmensspezifische Regelungen lückenlos durchzusetzen ist nicht nur nach außen gegenüber Behörden, Kunden und Partnern relevant. Auch Mitarbeiter haben den Anspruch, dass Arbeitgeber digitale Arbeitsplätze ebenso produktiv wie auch sicher gestalten.
Die Anforderungen an Sicherheit und Richtlinientreue (Compliance) bekommen mit Remote Work und Homeoffice eine neue Qualität. Die nachweisbare Einhaltung von Sicherheits- und Compliance-Regelungen hat für Unternehmen aus finanziellen und strategischen Gründen oberste Priorität – und nicht nur für sie. Auch Mitarbeiter erwarten gleichermaßen maximale Unterstützung dafür, sicherheitskritische Aktionen oder Fehler an digitalen Arbeitsplätzen zu vermeiden – sei es aus Versehen oder aufgrund zu komplexer Anforderungen.
Die IT ist gefordert, Risiken und Fehlerquellen zu erkennen und zu beseitigen – im Idealfall vorausschauend und automatisch.
So hat auch eine IDC Studie gezeigt, dass es aktuell nach der reinen Bereitstellung hybrider Arbeitsplätze mit grundlegenden Sicherheitsvorkehrungen darum geht, Compliance mit Gesamtsicht auf digitale Arbeitsumgebungen zu gewährleisten. Die IT ist gefordert, aus technischer und aus Anwenderperspektive Risiken und Fehlerquellen zu erkennen und zu beseitigen – im Idealfall vorausschauend und mit hoher Automatisierung. Dafür gilt es, sich Plattformen für Digital Employee Experience (DEX) mit ihrer zentralen Sicht auf digitale Arbeitsplätze zunutze zu machen. Dies betrifft nach der Projekterfahrung von Nexthink die folgenden sechs Bereiche bzw. Kompetenzen:
1Keine blinden Passagiere – Inventar-Informationen und Zuordnung aller Endgeräte des Unternehmens
Im Rahmen von hybriden Arbeitsmodellen ist es erforderlich, besonders über Roaming Clients – also Geräte, die häufig über einen längeren Zeitraum vom Unternehmensnetzwerk getrennt sind – stets aktuelle Informationen zu autorisierten Endgeräten verfügbar zu haben. Roaming Clients senden Informationen über kritische Ereignisse häufig nur zeitverzögert an die Zentrale. Verbunden mit dem Internet-Zugriff aus verschiedenen Orten bedeutet dies ein erhöhtes Risiko.
Hier gilt es, Informationen über die tatsächliche Nutzung von Endgeräten mit weiteren Datenpunkten in Verbindung zu bringen, zum Beispiel:
→ Wo befinden sich die Geräte?
→ Sind die Geräte auf dem neuesten Sicherheitsstand?
→ Wie greifen sie auf interne Anwendungen oder SaaS-Lösungen zu?
→ Wird ein VPN oder Cloud-Proxy genutzt?
→ Reicht die Netzwerkverbindung eines Gerätes auch im Homeoffice aus?
Die Korrelation dieser Art von Daten ermöglicht es, Lücken bestehender Sicherheitskonzepte zu erkennen oder neue Schutzmaßnahmen gezielt einzuführen.
2Keine verborgenen Pfade – Check von Client- und Applikations-Aktivitäten
Durch den Wegfall vom klassischen Perimeterschutz, also den Schutz der Endgeräte durch die Sicherheitsvorkehrungen des Firmennetzwerks, ist es wichtig, mithilfe einer kontinuierlichen Erfassung von Applikations-Aktivitäten den Fokus auf die Clients zu legen. So sind verdächtige oder unerwünschte Anwendungen oder SaaS-Dienste in nahezu Echtzeit identifizierbar, um diese zu blockieren oder grundlegende Gegenmaßnahmen zu etablieren.
Klassische Beispiele sind die Nutzung von Web-Diensten sowie die Auslagerung sensibler Unternehmensdaten auf Cloud-Speicher oder andere Datenträger, die nicht als sichere Speicher- und Austauschplattformen autorisiert sind. Solche Risiken zu erkennen, gepaart mit der Möglichkeit, den User direkt und automatisiert zu informieren, ist ein großer Vorteil von Digital Experience Management-Lösungen.
3Keine weißen Flecken auf der Landkarte – Betriebssysteme im Blick
Eine der Voraussetzungen für proaktive Maßnahmen ist die automatische Erkennung derjenigen Clients, die von einer vordefinierten Sicherheitskonfiguration abweichen. Neben einem Überblick über den gesamten Compliance-Status – wichtig für Compliance-Manager und Verantwortliche für End-User-Computing – braucht es dafür auch Dashboards, die Software, Dienste, Dateien und Registrierungseinträge auf jedem Gerät im Unternehmensnetz erfassen. Dabei muss insbesondere die Kompatibilität, Stabilität und Versionierung von Betriebssystem-Patches und -Updates verschiedener Hersteller miteinbezogen werden. So lassen sich die Ursache von Abweichungen in der Konfiguration genau ermitteln und anhand hinterlegter Prozeduren im Idealfall automatisiert auf allen betroffenen Endgeräten korrigieren.
Die IT sollte in der Lage sein, Aktionen auszulösen oder Geräte zu reparieren, auch wenn keine Verbindung des Geräts zur Management-Konsole besteht.
Dies ist insbesondere hilfreich bei der Verwaltung mehrerer Betriebssysteme im Unternehmen. Sie erfordern kontinuierliche Betriebssystem-Updates, Geräte-Migrationen und System-Patches für Tausende von Geräten. Dafür werden zwar verschiedene Management-Tools (Intune, MECM, JAMF usw.) eingesetzt, mit denen es allerdings zu viele „blinde Flecken“ durch fehlerhafte Agenten [Software, die den Zustand des Gerätes erfasst, Anm. d. Red.] oder zu lange Erfassungszeiträume gibt. Die Folge: Geräte erhalten keine kritischen Updates oder Patches mehr oder sie erhalten sie zu spät, nachdem bereits die Performance, Kompatibilität oder die Sicherheit beeinträchtigt wurde.
4Keine Doppelagenten – Compliance von Schutzsoftware
Stichwort Agenten: Compliance auf Endgeräte-Ebene sicherzustellen bedeutet auch, detaillierte Informationen zum „Gesundheitszustand“ der Agenten der Security-Programme zu erfassen, Aktionen auszulösen oder diese zu reparieren, auch wenn keine Verbindung zur Management-Konsole besteht. Dafür braucht es statt Doppelagenten ein doppeltes Netz für Antworten auf Fragen wie:
→ Funktioniert die Sicherheitslösung wie erwartet?
→ Kann der Agent sein Management-Backend erreichen, um Signaturen herunterzuladen oder verdächtige Dateien zur Analyse zu senden?
→ Ist die Client Firewall aktiv?
Antworten auf diese Fragen liefern geeignete DEX-Plattformen in Echtzeit und fungieren somit als weiteres Sicherheitsnetz.
Oft stellt sich zudem die Frage, inwieweit die Sicherheitslösung die Leistung des Endgerätes beeinträchtigt. Performance-Metriken der Agenten wie z.B. CPU/RAM-Nutzung erlauben es, die Konfiguration der Sicherheitslösung anzupassen und damit sicherzustellen, dass der Nutzer ein stabiles und leistungsfähiges Endgerät mit maximaler Sicherheit nutzt.
5Kein blindes Technikvertrauen – Realitätscheck durch engmaschige Anwenderkommunikation
Ob es um eine funktionierende VPN-Lösung geht, das Auslösen einer Passwort-Änderung oder die Kontrolle ablaufender Zertifikate – für eine durchgängige Compliance auch für Remote Working benötigt die IT ein breites Spektrum an Tools, um den aktuellen Zustand der gesamten Workplace-Landschaft zu verstehen und proaktiv zu schützen.
Es geht darum, die richtige Balance zwischen Produktivität und Compliance zu finden.
Dies erfordert zum einen umfassende granulare technische Telemetrie-Daten, die anhand von Metriken analysiert und über Dashboards visualisiert werden. Wesentlich, aber oft vernachlässigt, ist dabei der Kontext-bezogene Austausch mit Anwendern, um sie im Hinblick auf Compliance-relevante Anforderungen auf dem Laufenden zu halten und deren Sicht zu berücksichtigen, etwa:
→ Stimmt die Balance aus Sicherheit und Produktivität?
→ Braucht es mehr Unterstützung oder Informationen?
→ Benötigen bestimmte Anwendergruppen mehr Freiheitsgrade?
Gerade im Hinblick auf Compliance sollte eine aktive Kommunikation zwischen der IT und Anwendern gefördert werden. Denn Mitarbeiter zögen zum einen häufig, sich bei Problemen gleich an den Helpdesk zu wenden, zum anderen geben sie Verhaltensweisen der „digitale Eigensabotage“ nur ungern zu.
6Keine Fallstricke zulassen – Kontrolle der Gruppenrichtlinien
Active-Directory-Gruppenrichtlinien werden im Windows-Bereich oft für sicherheitsrelevante Konfigurationen verwendet – etwa um Nutzern Rechte zu erteilen oder zu entziehen. Ob diese auch wirklich erfolgreich durchgesetzt werden und welchen Einfluss sie auf die Client-Performance haben, muss überprüft werden können.
Da Gruppenrichtlinien so viele Bereiche des Systems beeinflussen, gibt es auch zahlreiche verschiedene Ansatzpunkte, wenn sie nicht wie gewünscht funktionieren. Informationen über die Zeit, die für die Anwendung von Benutzer- und Computer-Gruppenrichtlinien (GPO: Group Policy Objects) benötigt wird, können bei der Untersuchung von Performance Problemen (wie z.B. lange Log-on Zeiten) von Bedeutung sein. Eine falsch konfigurierte Gruppen-Richtlinie kann den Anmeldevorgang erheblich verzögern oder die Sicherheit eines Gerätes beeinflussen, wenn sie auf die falsche User- oder Gerätegruppe ausgeführt oder eben nicht angewendet wird.
Diese Informationen sind nicht ohne weiteres an einem Ort verfügbar und ohne geeignete Tools mühsam zu finden. Eine DEX-Management-Lösung kann hier Transparenz schaffen, indem für alle Windows Geräte ermittelt wird, welche Richtlinien auf einem Client angewendet werden und wie lange die Abarbeitung der Richtlinie gedauert hat.
Fazit
Produktivität und Compliance am digitalen Arbeitsplatz sind eng miteinander verknüpft. Damit sie sich nicht gegenseitig unterlaufen, ist ein integriertes Management beider Anforderungen erforderlich. Dabei die richtige Balance auf effiziente Weise zu finden, braucht Plattformen, die die jeweiligen Tools verbindet, Zusammenhänge und Auswirkungen auf Anwenderseite sichtbar macht und dabei mit der nötigen Automatisierung die Reaktionsgeschwindigkeit der IT erhöht – sonst bleibt immer ein Aspekt auf der Strecke.