IT-Security unter erschwerten Bedingungen
Manchmal muss eine neue Software schneller eingeführt werden, als einem lieb ist. Dabei kann es passieren, dass etablierte Datenschutz- und Compliance-Prozesse zu kurz kommen. Um so wichtiger ist es, den Evaluierungsprozess nachzuholen und neu entstandene Sicherheitslücken zu identifizieren.
Als die Corona-Situation vor einigen Monaten begann, sich zuzuspitzen, mussten schnelle Entscheidungen her. Es ging (und geht noch heute) um nicht weniger als die Gesundheit der Mitarbeiter und Kollegen. Wer irgend konnte, arbeitete fortan im Homeoffice. Auch an persönliche Treffen mit Kunden und Partnern war auf absehbare Zeit nicht zu denken. Damit die Mitarbeiter möglichst reibungslos von zuhause arbeiten konnten, führten viele Unternehmen neue Collaborations- und Communications-Tools ein.
Aufgrund des Zeitdrucks griffen viele dabei kurzerhand auf Software-Lösungen zurück, die unkompliziert zu bekommen und schnell installiert waren. Typische Beispiele sind Zoom oder die Nutzung privater Skype-Accounts für Video-Konferenzen. Oft blieb dabei zu wenig Zeit, um deren Eignung hinsichtlich Sicherheit und Compliance zu prüfen. Spätestens jetzt ist es Zeit, dies nachzuholen. Die IT-Situation hat sich in vielen Unternehmen entspannt und die meisten Mitarbeiter können nun remote so arbeiten, wie sie es im Büro gewohnt waren. Und auch wenn viele in die Büros zurückkehren, werden sich digitale Collaboration-Werkzeuge wohl weiter etablieren.
Eine Software evaluieren, obwohl sie schon im Einsatz ist
Ein typischer Auswahl-Prozess startet mit der Definition dessen, was die Software leisten und welche Kriterien sie erfüllen soll. Neben den gewünschten Funktionen, einer angemessenen Nutzerfreundlichkeit und der möglichst reibungslosen Integrierbarkeit sind es vor allem Sicherheits- und Compliance-Anforderungen, die es zu beachten gilt. Das ist besonders dann wichtig, wenn es sich um Cloud-Lösungen, wie eben Zoom oder Skype, handelt. Denn hier werden sensible Daten mit der Cloud ausgetauscht und dort gespeichert. Hier muss entsprechend auch die Cloud selbst den definierten Kriterien standhalten.
Zunächst sollten Sie die gewohnten Security-Fragen stellen, wie zum Beispiel: Genügt die Software den Vorgaben der DSGVO? Können Datenschutz und Datensicherheit in ausreichendem Maß gewährleistet werden? Unterstützt sie End-to-End-Verschlüsselung und sichere Protokolle, wie etwa SRTP (Secure Real-Time Transport Protocol) oder ähnliches? Wie werden Zugriffsrechte gemanagt? Und so weiter.
Da die Software aber nun in diesem besonderen Fall bereits im Einsatz ist, ist es nicht unwahrscheinlich, dass sei einige Kriterien nicht recht erfüllt. Deshalb kommen nun weitere Fragen auf Sie hinzu: Welche konkreten Risiken bringt der Einsatz der Software mit sich? Drohen etwa Geldstrafen, Imageschäden oder sogar Datenverlust? Kann Ihr Unternehmen mit den Risiken leben? Hinterfragen Sie kritisch, ob mit den hastig eingeführten Tools eventuell sogar Schatten-IT entstanden ist und was das für Ihre Infrastruktur bedeutet.
Ein Security Assessment bringt Klarheit
Neben dem nachträglichen Evaluierungsprozess ist es wichtig, die konkreten Auswirkungen der Software auf die Security-Situation genau zu prüfen. Wir unterstützen unsere Kunden dabei beispielsweise mit einem Security Assessment. Mit einem Threat Check im Produktivsystem wird über zwei Wochen hinweg genau analysiert, welche Bedrohungen entstehen können. Unsichere Passwörter werden dabei ebenso überführt wie unsichere Verbindungen von mobilen Arbeitsgeräten und mögliche Einfallstore für Denial-of-Service-Attacken. Das Ergebnis ist eine ausführliche Bedrohungsanalyse mit Handlungsempfehlungen – eine gute Grundlage, um die eigene Security nachhaltig zu verbessern.
Security und Compliance sind natürlich nicht nur dann wichtige Themen, wenn plötzlich neue, webbasierte Collaboration-Tools zum Einsatz kommen. Aber jetzt, da diese neuen Arbeitsmittel eh kritisch hinterfragt werden sollten, bietet sich ein Check der Gesamtlage an.
Diese Themen könnten Sie auch interessieren:
Unsere Partner
Alle Partner
