Zum Inhalt springen Zur Navigation springen
Corona: IT-Herausforderungen und erfolgreiche Lösungen

Corona: IT-Herausforderungen und erfolgreiche Lösungen

Artikel von Dr. Datenschutz·21. August 2020

Homeoffice ist mit der COVID-19-Pandemie zur „neuen Normalität“ geworden. Wie Unternehmen insbesondere den technischen und organisatorischen Herausforderungen begegneten und wie sich die technologischen Bedürfnisse mit diesem Wechsel veränderten, wird in diesem Artikel erläutert.

Unerwartet, plötzlich und mit Herausforderungen für alle

Am 11. März 2020 erklärte die Weltgesundheitsorganisation COVID-19 zur Pandemie – und die Arbeit, wie wir sie kannten, änderte sich sofort. Arbeitnehmer und Arbeitgeber haben sich bemüht, die Arbeit am Laufen zu halten. Während dieser Zeit war und ist es weiterhin von entscheidender Bedeutung, dass die Teams ausgerüstet sind, miteinander zu kommunizieren und zu Hause sicher sind. Jegliche Berufsbezeichnung, Unternehmensgröße oder auch globale Präsenz sind in dieser Zeit nicht das Wichtigste; was zählt ist, dass sowohl kleine als auch große Unternehmen sich veränderten, um Mitarbeitern von zu Hause aus einen geeigneten und sicheren Arbeitsplatz zu verschaffen.

Wir öffneten in dieser Zeit Türen und fanden viele Möglichkeiten, erfolgreich von zu Hause aus zu arbeiten.

Zentrale IT-Herausforderungen

Es sind insbesondere technische und organisatorische Herausforderungen, denen wir begegneten.

Wir alle stellten uns anfangs schier unüberwindbar scheinenden Herausforderungen. Wie kann man mit unsicheren Heimnetzwerken, Kindern, Social Engineering, Wifi-Sicherheit usw. umgehen? Wie können wir Bedrohungen begegnen, die die schwindende Sichtbarkeit von Mitarbeitern und den genutzten Endgeräten mit sich bringt? Wie können wir Einblicke in das erlangen, was aus der Ferne schwer überwacht werden kann? Wie können wir normale Kommunikationsprozesse, insbesondere unter Berücksichtigung, dass die Mitarbeiter weit entfernt arbeiten, aufrechterhalten?

Die größten Herausforderungen im Detail:

  • Soziale Gesichtspunkte: Mitarbeitern fehlt die interaktive Kommunikation untereinander und auch mit Kunden. Meeting Räume und Whiteboards sind nun tabu.
  • Asset-Visibility („Sichtbarkeit“): Veränderungen geschahen! Probleme mit dem Onboarding, dem Einkauf und der Distribution von Ausstattung aller Mitarbeiter.
  • Die Bestandsaufnahme war schon vorher nicht ganz genau. Jetzt kommen möglicherweise auch noch Geräte aus privatem Besitz hinzu.
  • Einige Technologien sind bereits veraltet, sehr schwer zu bewegen oder nur schwer aus der Ferne zu bedienen.
  • Das Bedrohungspotential erhöht sich aufgrund der Menge der nicht verwalteten Geräte, die mit der Infrastruktur verbunden sind.
  • Sicherheit und Security Operation Center (SOC) sind nicht länger an vorher gültige Prozesse, z. B. der Einrichtung und Verteilung von IT-Ressourcen, gebunden. Nicht standardisierte Lösungen innerhalb einzelner Geschäftseinheiten gefährden das gesamte Unternehmen.

Herausforderungen fordern Lösungen

„Von Angesicht zu Angesicht“ mit unseren Kollegen ist wichtig und wir haben Wege gefunden, dies zu tun. Zudem haben wir uns auch den technischen und organisatorischen Herausforderungen gestellt und gemeinsam Lösungen und Strategien entwickelt. Es besteht immer noch weiterer Handlungsbedarf, aber vieles konnte bereits erfolgreich umgesetzt werden. Unternehmen haben die Risiken, insbesondere durch das dezentrale Arbeiten aller Mitarbeiter, erkannt und stellten sich diesen. Nicht jedes Unternehmen wird alle Lösungen bereits erfolgreich umgesetzt haben, daher hier einige Ansatzpunkte, die bedacht werden sollten.

Kommunikation fördern

Das Wichtigste ist: tägliche Kommunikation und Koordination! Entscheiden Sie sich für eine Kommunikationsplattform und verbinden Sie so Ihr gesamtes Unternehmen. Digitale Kommunikationsplattformen ersetzen zwar nicht zu 100 Prozent den persönlichen Kontakt, sind derzeit aber sicher die beste Lösung zumindest ein wenig sozialen Kontakt herzustellen. Geben Sie Ihren Mitarbeitern Sicherheit indem Sie Transparenz schaffen und sie an Prozessen und Startegien beteiligen. Reden Sie über Risiken und Sicherheitsbedrohungen.

Sichtbarkeit schaffen

Ein wesentlicher Punkt ist es, alle Bestände im Unternehmen zu sehen, um diese auch kontrollieren zu können und Risiken abschätzen zu können.

  • Kontrollen können nur gewährleistet werden, wenn Onboard- und Verteilungsprozesse aktualisiert und an die gegebenen Umstände angepasst werden.
  • Eine engmaschige Abstimmung mit den Einkaufsabteilungen verschafft ein genaues Bild der Bestände.
  • Verteilungszentren in infektionsarmen Gebieten sollten mit begrenzter Interaktion des Personals bei gleichzeitiger Gewährleistung der richtigen Sicherheitskontrollen eingerichtet werden.
  • Sicherheitssoftware und sonstiges Equipment wurde zu den Mitarbeitern nach Hause versandt.
  • Onboarding wird nun remote unter Einsatz entsprechender Sicherheitssoftware durchgeführt.
  • Das SOC hat alle für die Analyse erforderlichen Geräte zur Verfügung gestellt bekommen, und wenn nicht, so sollte ein Plan erstellt werden, wie diese Ausrüstung beschafft werden kann, obwohl es sich mit der Inventarisierung schwer verhält.
  • Entscheidungen bezüglich der Benutzung von privaten Endgeräten müssen getroffen und Prozesse bezüglich des Umgangs mit ihnen aktualisiert werden.
  • Es werden nur legitime Verbindungen zu internen Systemen zugelassen.
  • Lösungen, die den Zugriff beschränken, wie RDP und VPN, sollten nur für zugelassene Firmengeräte implementiert sein.
  • Es sollte sichergestellt sein, dass Unternehmensgeräte Namenskonventionen haben.

Kontrollierte physische Präsenz und mobile Kommunikationsmöglichkeiten schaffen

Kontrollierte physische Präsenz ist bei einigen IT-Geräten oder auch bei Umgang mit bestimmter Software von Nöten und kann durch vorgegebene Guidelines und Strukturen umgesetzt werden. Bezüglich der meisten Telefonanlagen zum Beispiel, die nicht aus den Geschäftsräumen bewegt werden können, kann auf Anrufweiterleitungen und mobile Kommunikationsmittel gesetzt werden.

Nicht verwaltete Geräte kontrollieren

Der Bedarf Geräte einzusetzen, die nicht unternehmensintern verwaltet werden, ist in der Zeit der Pandemie gestiegen, z. B. der Einsatz von privaten Endgeräten von Mitarbeitern. Diese müssen technisch kontrolliert werden. Lösungen können hier die Einführung von Namenskonventionen und Device Trust-Lösungen sein. Des Weiteren sollte die Protokollierung, das Monitoring und Alerts erhöht werden, um eindeutige Nachweise über Kontozugriffe zu erhalten, z. B. von nicht verwalteten Geräten.

Nicht standardisierter Lösungen überwachen

Dadurch, dass alle Mitarbeiter von zu Hause aus arbeiten mussten, müssen Unternehmen größtenteils von dem vorher üblichen Büroplatz der Mitarbeiter abweichen. Der Standard-Arbeitsplatz und auch die Standard-Arbeitsmittel esxistierten nicht mehr und eine Anpassung an die häuslichen und dort technischen Begebenheiten der Mitarbeiter fand statt. Diese nicht standardisierten Lösungen erfordern technische Sicherheitskontrollen und neue Metriken für die Überwachung und Berichterstattung. Der Einsatz verschiedener Monitoring-Software, welche den Netzwerkverkehr auf nicht standardisierte/nicht zugelassene Geräte und schädliche Aktionen prüft, sollte hierfür eingesetzt werden.

Mehr-Faktor-Authentifizierung und Sensibilisierung einsetzen

Die Mehr-Faktor-Authentifizierung bei VPNs und anderen cloudbasierten Netzwerken ist unabdingbar, um die Passwortsicherheitsrisiken zu verringern. Die Mehr-Faktor-Authentifizierung muss für alle Anwendungen und Systeme, auf die von außerhalb zugegriffen werden kann, eingesetzt werden. Eine sehr erfreuliche Veränderung konnte bezüglich der Sensibilisierung aller Benutzer festgestellt werden: Nicht nur unternehmensintern fand diese statt, sondern sie ist bereits ein allgegenwärtiges Thema in unserer Gesellschaft geworden. Trotzallem sollte die Sensibilisierung aller Mitarbeiter im Unternehmen regelmäßig eingeplant und an neue Umstände angepasst werden. Nur so kann ein sicherer Umgang mit IT-Sicherheitsfragen, wie z. B. dem Umgang mit Passwörtern,  gewährleistet werden. Das größte Problem ist das Nutzen privater IT-Landschaften in Ihrem Unternehmen, seien Sie sich dessen bewusst, denken Sie an technische und organisatorische Lösungen und setzen sie diese nach und nach um.

Die COVID-19-Pandemie hat für Unternehmen folgendes mitgebracht:

  • erhöhte Risiko-Landschaft
  • Schattentechnologie-Lösungen
  • unsichere häusliche Umgebungen
  • Datenlecks
  • neue Verfahren und Werkzeuge

Denken Sie daher auch darüber nach, wie Sie mit einem möglichen IT-Sicherheitsvorfall umgehen möchten. Erstellen und üben Sie Notfall- und Incident-Response-Pläne. Setzen Sie verschiedene Monitoring-Software zum Erkennen von Angriffen und der Sicherung forensischer Beweise ein. Eine hundertprozentige Sicherheit gibt es nicht, vor allem nicht zu diesen Zeiten.

Risiken erkannt: Sichtbarkeit, Wissen und Schutz schaffen

Nur wer mehr sieht und um Risiken und Bedrohungen weiß, kann sich auch davor schützen. Daher ist es wichtig, an den Schwachstellen anzusetzen und zu sehen, sobald jemand diese auszunutzen versucht.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.