Home » Fachbeiträge » Security Management » Sicherheit darf nicht nerven

Produktivität und IT-Security ohne Kompromisse: Sicherheit darf nicht nerven

Einen großen Datensatz schnell von A nach B übermitteln oder die Datenanalyse in Ruhe zuhause am Arbeitsplatz abschließen. Schnell wird eine Datei auf einem externen Datenträger gespeichert oder in den privaten Cloud-Storage geladen. Die Vorgaben der unternehmensweiten Sicherheitsrichtlinie? Sie sind vergessen, werden nicht ernst genug genommen oder als hinderlich empfunden – verbunden mit dem Gedanken „Was soll schon schiefgehen?“ oder „So geht es eben schneller, besser, einfacher“.

5 Min. Lesezeit
Tippende Hand auf Cybersecurity-Symbol
Foto: AdobeStock/NicoElNino

Bei dieser Vorstellung schütteln viele IT-Sicherheitsverantwortliche verständnislos den Kopf. Eines machen die oben genannten Beispiele jedoch deutlich: IT-Sicherheit ist immer eine Gratwanderung zwischen Restriktion und Freiheit. Oder anders ausgedrückt: Sie ist ein Balanceakt zwischen der Beschränkung von Zugängen, Berechtigungen, Handlungen und Aktivitäten einerseits und der Gewährleistung von Effizienz und Produktivität andererseits.

Wenn Sicherheitsrichtlinien als Hürde für die tägliche Arbeit empfunden werden, steigt das Risiko, dass Mitarbeiter diese umgehen und auf diese Weise erhebliche Sicherheitsrisiken für Organisationen entstehen.

Drahtseilakt

Wie managen IT-Sicherheitsabteilungen den Drahtseilakt zwischen Verbot und Effizienz? Die Grundlage sollte ein effektives Sicherheitskonzept nach dem Zero-Trust-Prinzip „Never Trust, Always Verify“ sein. Auf dieser Basis ist es möglich, Mitarbeitern die Autonomie zu geben, so zu arbeiten, wie sie wollen und wo sie wollen – solange sie sich ordnungsgemäß an einem konformen Gerät und in einer konformen App authentifizieren.

Das „Least Privilege Access“-Prinzip hilft, den Zugang zu Daten zu managen. Benutzer sollten nicht mehr Zugriff haben, als sie benötigen. Mitarbeiter in einem Zero-Trust-Modell müssen sich so wenig Passwörter wie möglich merken. Zero Trust authentifiziert die User direkt bei den Anwendungen, setzt passwortlose Methoden ein und erstellt Zugriffsrichtlinien auf der Grundlage des „Least Privilege Access“-Prinzips. Soweit die Theorie, aber wie sieht die Umsetzung in der Praxis aus?

Sicherheitsrisiko Passwörter

Noch immer dienen Passwörter der Authentifizierung und dem Schutz von Daten. Sie sind aber auch die Ursache von Sicherheitsrisiken und Grund für Cyberangriffe, wenn Mitarbeiter beispielsweise die Passwortrichtlinien unterlaufen und sie als lästig empfinden.

Das Ziel muss sein, vom Passwort-Login hin zur kennwortlosen Authentifizierung zu kommen. Im Zero-Trust-Modell würde man sagen: „Zero Trust People“. Die erste Verbesserung einer passwortzentrierten Authentifizierung kann die Einführung von Single-Sign-on-(SSO)-Methoden sein, um die Häufigkeit der Passworteingabe und ebenso die Anzahl der separaten Passwörter zu reduzieren.

Die Verlagerung zur Remote-Arbeit hat viele Unternehmen dazu veranlasst, zumindest eine grundlegende Zwei-Faktor-Authentifizierung mit Einmalpasswörtern einzuführen. Im nächsten Schritt könnten Unternehmen in Verbindung mit Passwörtern einen weiteren Faktor durchgängig für alle Mitarbeiter verwenden; insbesondere für privilegierte Benutzer und Systeme: zum Beispiel digitale Zertifikate, Tokens (hardware- oder softwarebasiert) und Zugangskarten.

Welche Anwendungen sind sicher?

Neben Passwörtern sind in der Praxis auch Applikationen (Apps) ein Problem. Schneller und effizienter arbeiten, das verspricht eine Vielzahl von (kostenlosen) Anwendungen – von Produktivitäts- und Notizapps über Messaging-Dienste bis hin zu Grafik-Tools. Mit wenigen Klicks sind die Apps installiert und einsatzbereit. Doch unautorisierte Applikationen stellen ein erhebliches Risiko für Sicherheitslücken, Datenlecks oder Malware dar.

IT-Sicherheitsverantwortliche brauchen die Kontrolle darüber, welche Anwendungen unternehmensweit erlaubt sind und eingesetzt werden. Mithilfe einer Applikationskontrolle schützen sie Benutzer vor unbeabsichtigten Sicherheitslücken. Die Kontrolle und Freigabe vertrauenswürdiger Anwendungen stellt sicher, dass Anwender nur die Tools nutzen, die ihre Arbeit effizient unterstützen und kein Sicherheitsrisiko darstellen. Das Blockieren unsicherer Anwendungen sensibilisiert Nutzer zudem für potenzielle Risiken.

Um sicherzustellen, dass nur autorisierte User Zugriffsrechte für bestimmte Apps haben, können in vielen Tools zur Applikationskontrolle diese Rechte flexibel und kontextbasiert angepasst werden. Darüber hinaus helfen eine detaillierte Protokollierung und Echtzeitanalysen Sicherheitsverantwortlichen dabei, ungewöhnliche Aktivitäten schnell zu erkennen und zu unterbinden.

Schnittstellenkontrolle

Mobile Datenträger wie USB-Sticks, Smartphones oder andere tragbare Speichermedien sind weit verbreitet und auch in Zeiten von Cloud-Speichern aus dem Arbeitsalltag kaum noch wegzudenken. Doch gerade diese Geräte können als Einfallstore für Malware dienen oder zum unautorisierten Export sensibler Daten missbraucht werden. Ein primäres Risiko bei der Nutzung externer Geräte ist
das Potenzial für unbeabsichtigte Datenlecks oder gezielten Datendiebstahl. Daher spielt die Schnittstellenkontrolle im Orchester der Security-Controls vielleicht nicht die erste Geige, gehört aber zu den absolut unverzichtbaren Instrumenten. Sie ermöglicht es, portable Datenträger sicher und effizient zu nutzen.

Sie beschränkt den Zugriff auf autorisierte Geräte und kontrolliert alle Datenübertragungen. Eine Echtzeitüberwachung und -alarmierung ermöglicht sofortiges Handeln bei verdächtigen Aktivitäten wie beispielsweise unbefugtem Datenabfluss. Zudem können sensible Daten obligatorisch verschlüsselt werden, was das Risiko von Datenlecks minimiert.

Wer denkt an die IT-Sicherheitsverantwortlichen?

Das sind einige Beispiele dafür, wie Sicherheitskonzepte und -lösungen gleichzeitig Sicherheit und Produktivität der Mitarbeiter gewährleisten. Doch wie steht es um die Effizienz und Produktivität der Sicherheitsverantwortlichen? Immer mehr Angriffsvektoren führen zu immer mehr und neuen Lösungen. Längst haben Unternehmen eine eben solche Vielzahl an Security-Controls im Einsatz. Doch das Management verschiedener Agenten, Benutzeroberflächen und Berechtigungen ist weder effizient noch anwenderfreundlich. Oft fehlt auch die Transparenz über die Wirksamkeit einzelner Sicherheitsmaßnahmen.

Statt Insellösungen anzubieten, sollten Security-Anbieter die Sicherheitsverantwortlichen stärker im Blick haben und auf Plattformkonzepte setzen. Idealerweise haben sie dabei nicht nur ihre eigenen, sondern auch komplementäre Lösungen im Blick. Ziel ist es, IT-Sicherheit so sicher und einfach wie möglich bereitzustellen.

Fazit: Sicherheit und Produktivität

Hand in Hand

Die Aufgaben, die ein modernes IT-Sicherheitskonzept erfüllen muss, sind anspruchsvoll. Es sollte vor allem dafür sorgen, dass Mitarbeiter effizient und ohne Hindernisse arbeiten können. Ein effektives Zero-Trust-Sicherheitsmodell hilft, diese Anforderungen zu erfüllen. Es kombiniert Zugriffskontrollen mit Benutzerfreundlichkeit und schafft eine Balance zwischen Sicherheit und Anwenderzufriedenheit.

Unternehmen sollten zudem aktiv Feedback-Kanäle für Mitarbeiter einrichten, über die Probleme mit Sicherheitsmaßnahmen gemeldet werden können. Das ist wertvolles Feedback. Es ermöglicht die kontinuierliche Verbesserung der Sicherheitsrichtlinien und hilft, die Vorgaben benutzerfreundlicher zu gestalten. Auch Umfragen zur Benutzerzufriedenheit mit den Sicherheitslösungen können die Akzeptanz und Effektivität der implementierten Maßnahmen steigern.

IT-Sicherheit muss der Komplexität der Rahmenbedingungen zum Trotz einfach und schnell verfügbar sein. Sie soll das sichere digitale Arbeiten ermöglichen und darf der Digitalisierung nicht im Weg stehen.

Porträt Andreas Fuchs

Andreas Fuchs ist Director Product Management bei DriveLock SE.

Andere interessante Fachbeiträge

Digitales Schild

So schützen sich Unternehmen vor den Stolperfallen der Schadenregulierung

Cyberangriffe können für Unternehmen existenzbedrohend sein. Viele Firmen schützen sich daher mit einer Cyberversicherung. Doch oft decken die Policen nicht alle Schäden ab oder en...

Abstrakte Collage zu KI und Gesetzen

KI und IT-Governance: Was Unternehmen wissen müssen

Künstliche Intelligenz (KI) ist bereits heute ein unverzichtbares Werkzeug für Unternehmen, die ihre Wettbewerbsfähigkeit stärken und neue technologische Möglichkeiten ausschöpfen ...

Cybercrime

Auf der Jagd nach Sicherheitslücken in TLS-Bibliotheken

TLS ist der wichtigste kryptografische Standard für digitale Kommunikation im Internet. Durch Implementierungsfehler entstehen jedoch immer wieder Sicherheitslücken, die für komple...