Flexibilität ist das Gebot der Stunde. Laut einer aktuellen Studie von Crisp Research sind rund 40 Prozent der Entscheider in deutschen Unternehmen überzeugt: Mobile Arbeitskonzepte verdrängen das klassische Büro. Neben den Chancen, die sich dadurch ergeben, stellt die Flexibilisierung der Arbeitswelt Unternehmen gleichzeitig jedoch vor erhebliche Herausforderungen in puncto IT-Sicherheit.
Denn nicht selten greifen Angestellte lieber zu Programmen, die sie sich eigenmächtig aus App-Stores herunter laden, statt ausschließlich die von der Firmen-IT vorgeschriebene Software zu nutzen - und öffnen so jenen Applikationen Tür und Tor, die als Einfallschleusen für Datendiebe dienen.
Um diesen Apps aus der zweiten Reihe und der Schatten-IT Herr zu werden, sind Firmenrichtlinien notwendig, in denen der konkrete Umgang mit mobilen Endgeräten und Applikation festgelegt wird. Folgende drei Punkte helfen Unternehmen, die Sicherheitsrichtlinien so umzusetzen, ohne dass sich dabei große Hürden in der täglichen Arbeit auftun:
1. Richtlinien optimal konzipieren
Unternehmensrichtlinien müssen zu den Besonderheiten des eigenen Unternehmens und der Arbeitsweise der Mitarbeiter passen. Darum ist es wichtig, sich ein möglichst präzises Bild von den Anforderungen der Angestellten zu machen. Eine auf dieser Grundlage konzipierte Richtlinie wird in der Praxis wesentlich mehr Beachtung finden. Wie sie konkret auszusehen hat, ist eine Frage des Einzelfalls. Eine starke Verschlüsselung als zentrales Element ist jedoch ein wichtiger Punkt.
2. Konsequenzen ziehen und die Angriffsfläche verringern
Firmen sollten sicherstellen, dass Richtlinien im Lauf der Zeit nicht an Relevanz verlieren. Missachten Mitarbeiter bestimmte Vorgaben, müssen sie vorher intern angekündigte Konsequenzen auch tragen. Darüber hinaus bietet die Nutzung von zusätzlichen Sicherheitsmaßen wie Virtualisierung oder der Einsatz von Containern einen besseren Schutz vor Hackern oder internem Missbrauch.
3. Verhalten beobachten und von der IT lernen
Die Überwachung einzelner Aktivitäten innerhalb eines Netzwerks und in Applikationen hilft dabei, Übertritte oder Fehlverhalten rechtzeitig zu erkennen. Dazu zählt beispielsweise die Frage, wer wann von wo aus auf Daten zugreift. Unternehmen können so rasch und adäquat in kritischen Situationen reagieren. Zudem ist es wichtig, dass Unternehmen den Unterschied zwischen Compliance und Sicherheit kennen. Nur weil Firmenrichtlinien Compliance-konform ausgelegt sind, bedeutet dies nicht automatisch, dass Unternehmen damit auch lückenlos gegen aktuelle Security-Bedrohungen gewappnet sind.
Die "Schatten-IT" ist schwer in den Griff zu bekommen: Für Unternehmen ist es eine echte Herausforderung, stets zu wissen, mit welchen Apps und Geräten ihre Angestellten gerade arbeiten oder wie Richtlinien umgangen werden. Beachten Unternehmen jedoch die oben beschriebenen Schritte, geben sie ihren Mitarbeitern klare Regeln an die Hand, mit denen sich sensible Informationen schützen lassen - egal wann und wo sie damit arbeiten. (rw)