Security: Kommentar von Ralf Knöringer, Atos

Wasserdichtes ­Sicherheitskonzept

Kommentar von Ralf Knöringer, Competence Center Manager IAM bei Atos Deutschland, darüber, wie sich auf Basis einer Analyse und Bewertung der Risiken, die mit Mobility verbunden sind, ein „wasserdichtes“ Security-Konzept erarbeiten lässt

Ralf Knöringer, Atos

Ralf Knöringer, Competence Center Manager IAM bei Atos Deutschland

Mobilität ist ein zentrales Thema für alle Unternehmen und Organisationen. Zum einen deshalb, weil mobile Mitarbeiter ein Schlüsselelement sind, um die Agilität, Flexibilität und damit die globale Wettbewerbsfähigkeit eines Unternehmens zu erhöhen. Zum anderen wollen sich vor allem jüngere Mitarbeiter nicht mehr in althergebrachte Workflows und Arbeitszeitmodelle pressen lassen. Sie erwarten, dass sie jederzeit auf Daten und Anwendungen im Unternehmensnetz zugreifen können, gleich ob von unterwegs oder vom Home Office aus. Unternehmen, die solche Mitarbeiter halten wollen, müssen ihnen flexible Arbeitsbedingungen bieten. Und das schließt den mobilen Zugriff auf Ressourcen im Unternehmensnetz mit ein.

Damit nicht genug: Mitarbeiter gehen dazu über, ihre privaten Smartphones, Tablets und Notebooks für berufliche Zwecke zu nutzen, Stichwort „Bring your own Device“ (BYOD). Laut einer Studie des deutschen Hightechverbands Bitkom tun das bereits 71 Prozent der Beschäftigten in Deutschland, und zwar unabhängig davon, ob dies von der IT-Abteilung abgesegnet wurde oder nicht.

Für Unternehmen und Mitarbeiter bringen die höhere Mobilität und BYOD Vorteile. So arbeiten die Beschäftigten effizienter, wenn sie ihre gewohnten Mobilsysteme und Anwendungen nutzen können. Zudem sind sie zufriedener, wenn ihnen der Arbeitgeber die Wahl der Arbeitsmittel überlässt. Doch diese Entwicklung stellt die IT-Verantwortlichen gleichzeitig vor Herausforderungen. Denn sie müssen sicherstellen, dass mobile Endgeräte und Anwendungen in ein effektives IT-Security-Management eingebunden sind. Zudem ist es erforderlich, entsprechende Sicherheitsstrategien und -Policies zu erarbeiten. Erst dadurch ist es möglich, eine durchgängige mobile Infrastruktur im Unternehmen zu etablieren, die Zuständigkeiten für Lizenzen und Ersatzgeräte klar zu regeln und gleichzeitig Risiken auszuschalten.

Um solche dynamischen IT-Infrastrukturen in den Griff zu bekommen, setzen viele Security-Verantwortliche auf klassische Mittel wie Firewalls, Virenschutz-Software oder Security-Gateways. Doch damit lässt sich eine solche IT-Umgebung nur unzureichend schützen. Notwendig ist vielmehr eine ganzheitliche Cyber-Security-Strategie, die auf einer Analyse der Risiken für jedes einzelne Unternehmen basiert. Sie überprüft die Rolle aller beteiligten Akteure, so dass bereits in der Planungsphase mögliche Schwachpunkte erkannt werden. Erst dadurch ist es möglich, vorhandene Risiken im Vorfeld zu identifizieren und zu bewerten sowie die ­richtigen Gegenmaßnahmen zu ­ergreifen.

Eine solche Sicherheitsstrategie besteht aus drei Kernelementen: einem Cyber-Security-Rahmenwerk, einer auf die Anforderungen des jeweiligen Unternehmens abgestimmten Security-Architektur sowie einem Cyber-Security-Management-Center, wie es auch externe IT-Sicherheitsspezialisten wie Atos betreiben.

Umsetzung Schritt für Schritt

Es empfiehlt sich, eine solche Cyber-Security-Strategie in mehreren Schritten umzusetzen. Zuerst wird das Sicherheits-Framework erarbeitet. Am Anfang steht dabei eine detaillierte Analyse der Risiken, im Idealfall durch externe IT-Fachleute. Denn sie verfügen über das erforderliche Know-how und kennen die neuesten Tools. Auf Basis der Ergebnisse können die Experten anschließend Sicherheitsvorgaben und eine Cyber-Risk-Policy entwickeln und mit den konkreten Geschäftsanforderungen abgleichen.

Im zweiten Schritt wird IT-Sicherheit in Hardware- und Software-Architekturen verankert. Vor allem im Bereich Mobility spielt dabei die Identifizierung und Authentifizierung von Benutzern eine zentrale Rolle. Denn eine exakte Unterscheidung zwischen berechtigten und unberechtigten (Remote-)Zugriffen auf die IT-Ressourcen einer Organisation ist essentiell für die Informationssicherheit. Zu einer Cyber-Security-Architektur gehören weiterhin Maßnahmen, die Schwachstellen und sicherheitsrelevante Vorfälle aufdecken und zudem direkte und indirekte Angriffe auf Systeme und Informationen unterbinden.

Eine Mobility-Strategie lässt sich somit sehr wohl umsetzen, ohne dass damit erhöhte Sicherheitsrisiken verbunden sind. Doch das erfordert die Abkehr von überholten IT-Security-Maßnahmen, die den Blick auf das Wesentliche versperren: die Implementierung einer umfassenden Sicherheitsstrategie. Sie versetzt Unternehmen in die Lage, nicht nur ihre Daten und Systeme zu schützen, sondern auch die Compliance-Anforderungen zu erfüllen.

 

Mobility auf dem Vormarsch

Nach Studien des Hightechverbands Bitkom sind derzeit in 38 Prozent der deutschen Unternehmen Tablet-Rechner im Einsatz. Vor allem Mitarbeiter im Außendienst, etwa Vertrieb und Kundendienst, nutzen mobile Sys­teme. 40 Prozent der Arbeitnehmer setzen zudem private Smartphones für geschäftliche Zwecke ein, zum Großteil ohne Wissen der IT-Abteilung. Ein Grund dafür: Nur 20 Prozent der Firmen stellen ihren Mitarbeitern ein Firmen-Smartphone zur Verfügung.

Quelle: Bitkom

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok