Die Demokratisierung der IT stellt eine Herausforderung für die Unternehmenssicherheit dar

Mehr Freiheit für die Mitarbeiter bei der Nutzung von Cloud-basierten Anwendungen am Arbeitsplatz ergibt neue Risiken für die IT-Sicherheit. Nur Sicherheitskonzepte wie Zero Trust Network Access können sicherstellen, dass beim Zugriff auf Firmendaten und -anwendungen auch Regeln eingehalten werden.

Malware aller Art, Ransomware, Phishing, Identitätsdiebstahl und das wiederkehrende Problem offener Schwachstellen fordern die IT-Sicherheit tagtäglich heraus und gestalten den Aufgabenbereich eines Sicherheitsverantwortlichen (Chief Information Security Officer, CISO) komplex. Mit ein Grund dafür ist im kontinuierlichen – nahezu täglichen – Wandel der IT-Landschaft zu suchen, wodurch es Unternehmen erschwert wird, ihre IT und damit auch die Sicherheit unter Kontrolle zu halten.

Die Grenzen zwischen Arbeit und Privatleben zu verwischen, und das hat Auswirkungen auf die IT-Infrastruktur.

In der Vergangenheit wurden IT-Tools von einer Gruppe von Spezialisten in der IT-Abteilung oder im Management-Informationssystem (MIS) bereitgestellt und kontrolliert. Mittlerweile spielen durch die Migration der Anwendungen auf die Cloud die Mitarbeiter eine viel größere Rolle bei der Entscheidung, welche Anwendungen eingesetzt werden. Tatsächlich wurde die IT früher genauso betrachtet, wie das Bürogebäude und die Ausstattung darin. IT-Services und Anwendungen wurden den Mitarbeitern zur Verfügung gestellt, aber sie hatten keine Wahlmöglichkeit. Mit dem Aufkommen der Cloud und der von ihr bereitgestellten Services haben Unternehmen jedoch in den letzten 10 Jahren eine stetige Demokratisierung der IT am Arbeitsplatz erlebt.

Technologie ist nicht mehr aus dem Alltag wegzudenken

Der Hauptgrund für diesen Wandel ist die zunehmende Verbreitung von Technologie im alltäglichen Leben der Menschen. Durch diesen Wandel haben sich sowohl die Erwartungen der Nutzer als auch die der IT weiterentwickelt. Mit den Fortschritten in der digitalen Technologie, der wachsenden Abhängigkeit vom Internet und der steigenden Popularität von Social Media ist die IT zu einer Erweiterung des Alltagslebens der Menschen geworden. Das wirkt sich auch auf ihre Erwartungen aus, wie, wann und in welchem Umfang sie auf die Anwendungen ihres Unternehmens zugreifen möchten. 

In der Vergangenheit war die IT hauptsächlich mit der Arbeitsumgebung verbunden und damit auf die Grenzen der Büroflächen beschränkt. Heute ist sie ein Teil des häuslichen und sozialen Lebens der Menschen geworden. Der Einzelne erwartet zunehmend, dass er die Technologie zu Hause, im Büro, im Bus und in den Geschäften einsetzen kann. Erschwerend hinzu kommt, dass der Anwender eine nahtlose IT-Erfahrung fordert mit einem fliegenden Wechsel zwischen geschäftlicher und privater Nutzung. Darüber hinaus möchten– und erwarten – die Menschen, dass sie ihre IT-Erfahrung auf jedem Gerät, mit dem sie auf Anwendungen zugreifen, vollständig an eigene Bedürfnisse anpassen können. Sie fordern das Recht ein, selbst zu entscheiden, wie die IT genutzt wird.

Dadurch werden digitale Technologien aber zu mehr als nur einem Werkzeug für den Zugriff auf Informationen am Arbeitsplatz. Die IT ist zu dem Element geworden, mit dem Mitarbeiter nahezu jeden Aspekt ihrer Arbeit erledigen. Von der Kommunikation über die Dokumentenerstellung bis zur Team-Organisation und -Führung hängt beinah alles mit der digitalen Infrastruktur eines Unternehmens zusammen.

Die Grenzen der Unternehmens- und Privat-IT verschwimmen

Das Konzept eines Computers auf einem Schreibtisch ist nicht tot, hat sich aber mit der Einführung des Smartphones stark verändert. Das Bring-Your-Own-Device-Phänomen (BYOD) spielt zwar noch keine große Rolle bei der Ablösung der von Unternehmen bereitgestellten IT, war aber maßgeblich daran beteiligt, die Grenzen zwischen Arbeit und Privatleben zu verwischen. Nach der Einführung von Smartphones hat sich das Verständnis für Technologie am Arbeitsplatz grundlegend gewandelt. Damit einhergehend erschien BYOD damals den IT-Teams als eine effiziente, überschaubare Strategie, um die stets anspruchsvolleren Mitarbeiter zufriedenzustellen, die ihre eigenen Geräte in der Arbeit nutzen wollen. 

Die Nutzer wollen jetzt selbst entscheiden, mit welchen Programmen sie arbeiten.

Unbestreitbar bringt eine mobilere Belegschaft Vorteile mit sich, sowohl für die Mitarbeiter als auch das Unternehmen. Doch die Sicherheitsabteilung steht vor einer großen Herausforderung. Sie muss vertrauliche Informationen der Firma sichern, außerdem die Geräte schützen und gleichzeitig damit rechnen, dass die Mitarbeiter die elektronischen Geräte für private Zwecke zusätzlich nutzen werden – auch Firmen-Handys. 

Vor fünfzehn Jahren konnten die Mitarbeiter außer der Aktualisierung des Bildschirmschoners nur wenig tun, um ihre Arbeitsumgebung anzupassen. Nun liegen die Dinge völlig anders. Mitarbeiter wollen nicht nur ihre Bedienoberfläche auf unterschiedliche Weise ändern, sondern die Programme, mit denen sie arbeiten sollen, selbst auswählen. Infolgedessen verfügt jedes Gerät über unterschiedliche Apps, Notizen und Dokumente, je nachdem, welche Anwendungen der Besitzer bevorzugt. Dabei zeigt sich, dass viele Unternehmen ihre Mitarbeiter tatsächlich frei entscheiden lassen, wie sie ihr Arbeitsleben und -gerät gestalten, da es ihnen mehr um das Ergebnis der Arbeit geht, als zu bestimmen, wie es erreicht wird. Was bedeutet aber dieser zusätzliche Einfluss der Mitarbeiter für die IT-Sicherheit?

Der Aufstieg von Zero Trust Networking

Die zunehmende Selbstbestimmung der Mitarbeiter ist positiv für den Einzelnen, doch aus Sicht der IT-Sicherheit ergeben sich neue Risiken. Unternehmen können diese Risiken aufgrund des mangelnden Überblicks oft gar nicht mehr absehen. Noch vor einem Jahrzehnt hat die IT-Abteilung die Zugriffsrechte der Mitarbeiter auf Anwendungen verwaltet und kontrolliert und somit darauf vertrauen können, wie der Mitarbeiter an seinem am Arbeitsplatz dem Internet gegenüber exponiert wurde. In Zeiten der Cloud ist dieses große Vertrauen der falsche Weg, denn mittlerweile ist das Internet vielfach zum neuen Unternehmensnetzwerk avanciert. Blindes Vertrauen in einen Teil der IT-Infrastruktur ist gefährlich geworden. Ebenso ist es unmöglich daran zu glauben, dass ein Mitarbeiter nie einen Fehler macht und beispielsweise einen falschen Link anklickt. 

Blindes Vertrauen in einen Teil der IT-Infrastruktur ist gefährlich geworden.

Es ist heute mehr denn je entscheidend, dass beim Zugriff auf Unternehmensressourcen, die sich nun neben dem traditionellen Rechenzentrum auch in privaten und öffentlichen Clouds befinden, das Gerät und die Person kontrolliert werden, die den Antrag auf Zugriff stellen. Jede Anfrage nach Zugriffsrechten auf Dateien oder Anwendungen muss überprüft werden, und zwar unabhängig davon, ob sie innerhalb oder außerhalb des Firmennetzwerkes erfolgt. Im Gegensatz zum traditionellen Sicherheitsprinzip, das jedem Mitarbeiter innerhalb des Unternehmensgrenzen vertraute, erfordert die digitale Transformation einen Wandel der Vorgehensweise und das Schlagwort lautet: Zero Trust Network Access. Dahinter verbirgt sich eine kontinuierliche Identitätsprüfung eines jeden Users, der versucht, Unternehmensdaten aufzurufen.

Dieses „Zero Trust“-Konzept (Null Vertrauen) geht mit einem grundlegenden Paradigmenwechsel einher, um auf die sich wandelnden und flexibler werden Arbeitsumgebungen zu reagieren und die Sicherheit an die neue Bedrohungslandschaft anzupassen. Das Wettrüsten zwischen Unternehmen und jenen Angreifern, die versuchen, wichtige Unternehmensdaten abzugreifen, wird weitergehen und es wird für Unternehmen ein endloser Kampf bleiben. Dennoch können sie die Gefahrenlage eindämmen. Eine breite Palette von Kontrollpunkten, sowie neue Technologien sind erforderlich, um den heutigen Bedrohungen zu begegnen. 

Die Demokratisierung der IT-Nutzung kann nicht verleugnet werden

Für Unternehmen ist es unmöglich, die Demokratisierung der IT zu negieren. Daher müssen sie den Zugriff der Mitarbeiter regeln und den Überblick behalten und zeitgleich sicherstellen, dass der Schutz dann in Richtung der Benutzer verlagert wird. Der moderne CISO muss auf dem Laufenden bleiben, wie Mitarbeiter die IT am Arbeitsplatz nutzen und wie das Unternehmen auf die täglichen Veränderungen in der IT-Landschaft reagieren kann und sollte. Zero Trust Networking wird in dieser neuen Welt der demokratisierten Nutzung der IT eine große Rolle spielen. Dieses Konzept gibt der IT-Abteilung die Kontrolle über ihren Netzwerkverkehr zurück und erhöht gleichzeitig den Schutz der Benutzer und damit des gesamten Unternehmens.


Über den Autor

Über den Autor

Marc Lueck ist Chief Information Security Officer für die Region EMEA beim Security-Anbieter Zscaler.

 

Das könnte Sie auch interessieren

Back to top button