Eine kleine Wendung des Schicksals – und plötzlich ist alles anders. Nicht nur dem Helden Peter Parker ergeht es so, als er sich von einer Spinne gebissen mit neuen Herausforderungen konfrontiert sieht. Auch wir stehen vor neuen Herausforderungen. Durch verschiedene Wendungen des Schicksals, sei es Corona oder ein massiver Cyber-Angriff, kann sich für ein Unternehmen oder eine ganze Gesellschaft alles schlagartig ändern. Peter Parker nimmt seine Herausforderung an und wird zu Spiderman. Und auch wir sollten zu Spidermans werden. Denn von ihm können wir eine Menge über modernes Arbeiten und IT-Sicherheit lernen.
Jeder, der einen Büroarbeitsplatz hat, hat es inzwischen gemerkt: Unsere Arbeitsplätze verändern sich. Wir arbeiten von überall. Jederzeit. Und greifen sicher und gesichert auf Daten zu, verarbeiten und teilen sie. Das ist nicht erst seit Corona so, aber die Pandemie hat diese Entwicklung beschleunigt. Auch bei den Herstellern und Marken hat sich ein Wandel vollzogen:
Denn es ist weniger entscheidend, welche Technik man physisch und lokal im Einsatz hat. Viel wichtiger ist heute die Softwarelösung, die oben beschriebene Anforderungen ermöglicht. Es kommt Bewegung in den Herstellermarkt. Verliert die Hardware an Bedeutung und gewinnt die Software, verkleinert sich auch der Markt, den nur noch wenige Hersteller dominieren. Lokal installierte Programme ersetzen wir zunehmend durch Apps und Services, die unabhängig von Ort und Endgerät nutzbar sind. Unsere Daten und Prozesse verlagern wir in die Cloud. Alles folgt dem Motto: einfacher, automatisierter, digitalisierter. So weit, so gut.
Herausforderung für Cybersicherheit
Doch während alle ins Homeoffice verschwanden, führte die rapide Zunahme der Heim- und der mobilen Arbeit zu einer völlig neuen und heterogenen IT-Infrastruktur-Konfiguration. Diese umfasst alles: Heim-Internet, persönliche mobile Geräte und Tools. IT-Abteilungen auf der ganzen Welt standen vor einer Herausforderung nie gekannten Ausmaßes: Für diese dezentrale und teils neue Cloud-IT-Infrastruktur sollten sie ein Höchstmaß an Sicherheit gewährleisten.
Der Büro-Schreibtisch wird so zu einem Cloud-Arbeitsplatz. Das "Ökosystem Cloud" bedeutet erweiterte und auch neue Anforderungen an die IT-Sicherheit. Und damit an die Sicherheit für das Unternehmen. Dessen sensible Daten müssen stets geschützt bleiben. IT-Abteilungen müssen neue Wege finden, um diesen Spagat zu meistern: Sicherheit für das Unternehmen bei gleichzeitiger dezentraler Verfügbarkeit der Daten für alle Zugriffsberechtigten. Gelingt das nicht, haben wir alle ein Problem.
Cyberkriminalität ist ein Problem für die gesamte Gesellschaft
Jährlich entsteht der deutschen Wirtschaft ein Gesamtschaden von 223 Milliarden Euro - allein durch Cyberkriminalität. Damit erreichen kriminelle Attacken, sei es Diebstahl, Spionage oder Sabotage, einen neuen Rekord. In 2020/2021 waren neun von zehn Unternehmen (88 Prozent) von Cyberangriffen betroffen. Vor allem Fälle von Erpressung haben massiv zugenommen - verbunden mit der Sabotage von IT- und Produktionssystemen und der Störung von Betriebsabläufen. Der Name für diese Art des Angriffs:Ransomware-Attacke.
Um den veränderten Sicherheitsrisiken Rechnung zu tragen, müssen Unternehmen ihre Sicherheitskonzepte auf die Herausforderungen des "neuen Normalzustands", d. h. heterogene IT-Infrastrukturen, Remote-Zugriffs-Management, unwirksame physische Perimeter-Sicherheit und sichere Informationsweitergabe sowie Zusammenarbeit in der Cloud, anpassen und einführen.
"never trust and always verify"
Die Herausforderungen der Digitalisierung sind kaum mehr technische. Von der Anbindung an Glasfaser mal abgesehen. Denn die technischen Lösungen sind vorhanden. Nun geht es vielmehr darum, neue Strategien zu entwickeln. Und sie im Rahmen eines Mindchange nachhaltig zu integrieren. Das schaffen nur alle zusammen. Unternehmen müssen ihre Mitarbeiter:innen nachhaltig in diese Veränderungsprozesse einbeziehen, sie mitnehmen und mit ihnen zusammen den neuen Weg gehen.
So erkennen sie die Verantwortung, die jeder einzelne trägt, verstehen die Notwendigkeit und die Vorteile und nehmen die neuen Lösungen an. Der Mindchange ist eine grundlegende Veränderung: Der Grundsatz „Mein Schreibtisch, meine Ablage, mein lokaler Desktop“ gilt nicht mehr – diese Zeit haben wir verlassen. An diese Stelle tritt das kollaborative Arbeiten, auf einer gemeinsamen, digitalen Plattform.
Und dabei gilt: Zero Trust – Vertraue keinem Endgerät pauschal, nur noch deinen Anmeldedaten! Das ist ein wirkungsvoller erster Ansatz für die Cybersicherheit, der Unternehmen hilft die Integrität und Sicherheit ihrer Daten und Vermögenswerte außerhalb des Perimeters über eine Reihe von Geräten hinweg zu schützen.
Die 5 Lektionen, die wir von Spiderman lernen
Lektion 1: Suche nach Verbündeten!
Und nun kommt Spiderman ins Spiel. Die erste Lektion,die wir von unserem Superhelden lernen können, ist: Suche nach Verbündeten und nutze ihre Kraft. Die Kehrseite des kollaborativen Ansatzes ist, dass Unternehmen mit einem Tool bzw. einem Service alles auf eine einzige Karte setzten. Das Thema Sicherheit müssen sie daher neu denken. Auch hier muss das Unternehmen seine Belegschaft aufklären und sensibilisieren.
Das geht am besten mit Security-Awareness-Schulungen, die nachhaltig konzipiert und in regelmäßigen Abständen durchgeführt werden. Das Ergebnis: jedes Teammitglied ist mit geschärften Sinnen unterwegs und damit Teil der menschlichen Verteidigungslinie des Unternehmens. IT-Sicherheit ist damit keine Aufgabe mehr allein von IT-Abteilungen. Sondern eine Gesamtaufgabe und damit die Verantwortung jedes einzelnen. So setzt jeder seine "Superkräfte" zum Wohle der Gemeinschaft ein und beschützt sie vor großemUnheil.
Lektion 2: Spinne ein Sicherheitsnetz!
Ein digitales Büro ist immer von einer stabilen Internetleitung abhängig. Gibt es Probleme mit dem Provider, der Geschwindigkeit oder der Bandbreite, ist die Produktivität eines Unternehmens gemindert. So gilt auch im neuen Normalzustand von dezentralem Cloud-basiertem Arbeiten: "Kein Back-Up, kein Mitleid". Zum Absichern der Firmen- und Projektdaten müssen Unternehmen Redundanzen schaffen. Und damit sind wir bei der zweiten Lektion, die wir von Spiderman lernen: Spinne ein Sicherheitsnetz, das dich bei Problemen auffängt. So geht nichts verloren und eine lückenlose Wiederherstellung der Daten ist jederzeit möglich.
Beim eben erwähnten Mindchange in der Belegschaft sind nämlich auch IT-Mitarbeitende mitgemeint. Denn auch hier wächst der Verantwortungsgrad. Wo es vorher rollenbasierte Admins gab, also klar festgelegt war, wer für welche Bereiche zuständig ist, und an welchenPunkten die Zuständigkeit endet, so ist die Administration der neuen Systeme viel globaler angelegt. Eine einzelne Person verfügt somit über viel mehr Rechte in sämtlichen Bereichen. Wo jeder einzelne mehr Verantwortung trägt, stellt sich die Frage nach der wahren Identität.
Lektion 3: Schütze deine wahre Identität!
Das Identitätsmanagement genoss bislang keine hohe Priorität. Unternehmenslösungen waren bishernur auf Zugriffe vor Ort und innerhalb des Unternehmens ausgerichtet. Und "innerhalb des Unternehmens" bedeutete bis vor Kurzen noch "im Unternehmensgebäude". Und damit in einem lokalen Netzwerk. Doch diese Prämisse ist nicht mehr gültig. In der Welt nach Covid-19 arbeiten wir von überall. Wir lösen die physischen Grenzen zwischen innerhalb und außerhalb des Unternehmens auf - und öffnen Cyberschurken Tür und Tor. Eine Studie von Gartner hat ergeben, dass ein Drittel der Sicherheitsangriffe auf die Cloud-Infrastruktur von Unternehmen auf eine unzureichende rollenbasierte Zugriffskontrolle zurückzuführen ist.
Nun gewinnt ein vertrauenswürdiger Zugriff an Bedeutung. Damit schlägt sie Stunde des Identitätsmanagements, des Stiefkinds der Admins. Schütze deine wahre Identität, lautet daher unsere dritte Lektion. Denn ein einfacher Benutzername und ein sicheres Passwort mit Zahlen, Buchstaben und Sonderzeichen reicht nicht mehr - zu groß sind die Kräfte der Cyber-Erzfeinde. Dagegen hilft eine bislang wenig beachtete Superkraft der IT: Die Zwei-Faktor-Authentifizierung.
Lektion 4: Nähe dir dein eigenes Kostüm!
Schnelle Lösungen sind zwar verlockend, machen die Out-of-the-Box-Lieferungen ein schnelles, produktives Arbeiten möglich. Für die Unternehmens-IT bedeutet es aber, Lösungen immer selbst noch einmal kritisch zu prüfen. Und nicht die Standardeinstellungen ungeprüft zu übernehmen. Hier muss immer ein Abgleich stattfinden: Welche Anforderungen, beispielsweise in Compliance oder Sicherheit, besteht im Unternehmen? Welche Konfigurationen müssen dafür vorgenommen werden? Spiderman bestellt doch auch kein Kostüm bei Amazon. Er macht sich sein eigenes,individuelles.
Mit der Veränderung vom Arbeitsplatz und dessen Anforderungen, also die Entkopplung von festen Arbeitsplätzen hin zu virtuellen Arbeitsumgebungen, haben sich auch die Aufgaben von IT-Mitarbeitern und Consultants gewandelt und verändern sich weiter. Berater fungieren immer mehr als "Trusted Adviser". Wo es früher um die Frage ging, welches physische Arbeitsgerät ist am schnellsten und effektivsten ist, geht es nun darum, ein sicheres Umfeld für die neuen Anforderungen zu schaffen.
Und vor allem Sicherheitsrichtlinien für die Cloud-Nutzung, individuell auf die jeweiligen speziellen Bedürfnisse eines Unternehmens abgestimmt, zu definieren. Dreh- und Angelpunkt sind dabei die Zugriffsrechte. Gleichzeitig muss das neue Sicherheitskonzept auf die nun verteilten und unterschiedlichen Umgebungen angepasst sein und Endpoint-, Web- und E-Mail-Sicherheit sowie Netzwerkzugriffskontrolle umfassen. Um jedoch ein höheres IT-Sicherheitslevel zu erreichen und den Reifegrad der IT-Umgebung zu steigern, ist es wichtig zunächst eine Basis zu schaffen.
Gerade im Bereich der KMU besteht großer Handlungsbedarf, um nicht doch Ziel von Cyberattacken zu werden. Und gemeinsam mit Ihrer Belegschaft eine sicheres, modernes, digitales Arbeitsumfeld zu schaffen. Der erste Schritt dorthin ist: Wie Spiderman die neue Herausforderung annehmen, um dann an ihr zu wachsen und zum Superhelden zu werden.
Lektion 5: Sei dir deiner Verantwortung bewusst!
Die letzte und wichtigste Lektion, die wir von Spiderman lernen, lautet: Aus großer Macht folgt große Verantwortung. Sei dir daher deiner Verantwortung stets bewusst. Denn all die Maßnahmen allein reichen nicht aus, um dem virtuellen Bösen die Stirn zu bieten. Die größte und wichtigste Kraft liegt in jedem von uns: Ein verantwortungsvoller Umgang insgesamt und durch jeden einzelnen ist notwendig. So ist jeder selbst dazu angehalten, verantwortungsvoll mit seinen Logindaten umzugehen, die Sicherheitsrichtlinien seiner Organisation zu kennen und zu achten.
Als Peter Parker mit seinen neugewonnen Superkräften einen Wrestling-Wettbewerb gewinnen will, lässt er auf dem Weg zur Arena einen Dieb laufen - denn das ginge ihn ja nichts an. Viel zu spät erkennt er, dass er die Verantwortung gehabt hätte, ihn aufzuhalten. Und Schlimmes zu verhindern. Jeder einzelne von uns kann Schlimmeres verhindern. Vorausgesetzt, die Unternehmen schaffen innerhalb der Belegschaft das Bewusstsein und die Verantwortung für das eigene Handeln.