Wo immer möglich lassen Unternehmen ihre Mitarbeiter derzeit von zu Hause arbeiten. Entsprechend groß ist die Nachfrage nach technischen Lösungen für Remote Working. Aber gerade, weil sich unsere Art zu arbeiten jetzt rasant verändert, bleibt es doch wichtig, dafür zu sorgen, dass alle Unternehmensdaten immer geschützt sind.

In Gesprächen mit unseren Kunden ist die Frage, wie sich Remote-Arbeit sicher skalieren lässt, derzeit ein wichtiges Thema. Wir raten in diesem Zusammenhang zu einem flexiblen Ansatz – zu Lösungen, die sich am unbedingt Notwendigen orientieren, die schnell zu installieren und gleichzeitig sicher sind. Dafür müssen Sie drei Dinge beherzigen: die bereits vorhandene Infrastruktur optimal ausnutzen, die Anwenderperspektive in den Mittelpunkt stellen und einige fundamentale Security-Anforderungen umsetzen. Im Folgenden haben wir die wichtigsten Schritte skizziert, mit denen Sie Ihre Mitarbeiter sicher und geschützt zu Hause arbeiten lassen können.

Schritt 1: Identifizieren Sie die für Sie wichtigen Anwendungsszenarien
Vom Mitarbeiter ohne Zugriff auf sensible Daten, der nur eine Internetverbindung und seinen privaten Laptop braucht, um seine E-Mails zu bearbeiten, bis hin zum Kollegen, der mit hochvertraulichen Informationen auf entsprechend geschützten Geräten zu tun hat – das ist ein weites Spektrum. Sobald Sie die wichtigsten Anwendungsszenarien kennen, können Sie damit beginnen, die nächsten Schritte für eine schnelle und sichere Bereitstellung zu planen.

Wir haben fünf zentrale Use Cases identifiziert:

Angewiesen auf sensible Daten:
Mitarbeiter, die normalerweise von gut geschützten Desktop-Umgebungen aus arbeiten und auf den lokalen Zugriff auf hochsensible Ressourcen und Services angewiesen sind.

Miteinander ohne einander:
Kollegen, die sonst im Büro oder Callcenter arbeiten und in hohem Maße mit anderen interagieren bzw. kollaborieren, und Zugang zu Dokumenten, E-Mail, Instant Messaging und Telefonie benötigen.

Technische Selbstversorger:
Mitarbeiter, die von zu Hause aus mit ihren eigenen Geräten arbeiten (bring your own device) und dafür einen sicheren, von persönlichen Daten getrennten Zugang zu Officeanwendungen und anderen Unternehmenssystemen brauchen.

Großflächige Vollversorgung:
Wenn sich Mitarbeiter ohne Vorbereitung sofort zu Hause isolieren müssen und fürs Weiterarbeiten einen geschützten Firmenzugang benötigen. Da sie nicht mit ihren eigenen Geräten arbeiten können, muss der Arbeitgeber ihnen schnell ein optimal konfiguriertes Gerät zur Verfügung stellen – dieses Szenario muss auch im großen Stil für breite Teile der (möglicherweise geografisch verteilten) Belegschaft tragfähig sein.

Überlastung des VPN:
Die steigende Nachfrage kann bestehende Fernzugriffssysteme (wie VPN) ans Limit bringen, so dass Kapazitäten erweitert oder schnell zusätzliche technische Möglichkeiten umgesetzt werden müssen, um einen einfacheren, konsistenten und skalierbaren Zugriff auf die wichtigen Systeme zu gewährleisten.

Schritt 2: Bewerten Sie Schwachstellen und Lücken
Bewerten Sie für jeden Anwendungsfall die Schwachstellen und Lücken auf Basis der im folgenden beschriebenen Sicherheitsgrundlagen. Prüfen Sie für jeden einzelnen Aspekt, ob sich eventuelle Lücken mit bereits vorhandenen Ressourcen schließen lassen – oder ob zusätzliche Investitionen, neue Konfigurationen oder Alternativen erforderlich sind. So ist es etwa möglich, ungenutzte Office-365-Berechtigungen spontan zu erweitern oder freizuschalten, um Tools zu nutzen, die jetzt hilfreich sind: Microsoft Teams zum Beispiel oder Device- und Anwendungsverwaltung; Conditional Access und Multifaktorauthentifizierung. Application Proxy Services und VPN-Skalierungstechnologien (wie Zscaler) oder Produkte für die Desktop-Virtualisierung – diese können dabei helfen, jedem Mitarbeiter seinen erforderlichen Zugriff auf die Systeme zu ermöglichen. Zudem lassen sich Lücken stopfen, indem Sie beispielsweise ältere nicht remote-taugliche Anwendungen durch Software-as-a-Service-Lösungen von der Stange ersetzen.

Gehen Sie die folgende Liste mit Sicherheitsgrundlagen für jedes Ihrer Anwendungsszenarien einzeln durch – und notieren Sie die Lücken, die Abhängigkeiten und die Unbekannten, die Ihnen dabei auffallen:

Identity and Access Management (IAM):
Wie sensibel sind die Daten, auf die zugegriffen werden soll, und haben Sie die Möglichkeit, den Zugriff für jeden Anwender entsprechend seiner Berechtigung zu regeln? Können Sie anwenderfreundliche, leicht zu verwaltende IAM-Tools für Multifaktor-Authentifizierung oder Single-Sign-on bereitstellen? Wie stellen Sie den Systemzugang für Dienstleister, Lieferanten und andere externe Parteien sicher?

Device Management und Peripheriegeräte:
Was brauchen Ihre Mitarbeiter? Überprüfte Geräte vom Unternehmen, Thin Clients, eigene Laptops oder Smartphones? Wie stellen Sie die erforderlichen Geräte bereit? Wie überwachen und steuern Sie die Devices, um Risiken und Datenverlust zu vermeiden?

Informationssicherheit:
Welche juristischen und ethischen Pflichten haben Sie beim Schutz von Daten? Sind Sie in der Lage, außerhalb des Büros und unterwegs verwendete Daten angemessen zu schützen – und sind den Anwendern die Risiken und die Verantwortung bewusst, die mit Remote Working einhergehen?

Zugriff auf VPN, Internet und Office 365:
Ist Ihr VPN auf die größeren Lasten durch mehr Benutzer ausgelegt? Welchen Einfluss hat schlechte Konnektivität auf die Performance, und wie schützen Sie Ihre Konnektivität vor Angriffen von außen?

Anwendungslandschaft:
Nicht alle Anwendungen sind fit und geeignet fürs Homeoffice. Welche davon sind essenziell wichtig für Ihre Anwender und für Ihre Unternehmensprozesse? Und welche davon sind bereits für externe Netzwerke verfügbar? Sind Sie in der Lage, Legacy-Applikationen durch Remote-fähige Cloud- oder SaaS-Alternativen zu ersetzen?

Schritt 3: Bereiten Sie Ihre Mitarbeiter vor
Es ist wichtig, dass Sie den Anwendern ein neues Maß an Sicherheitsverantwortung vermitteln – denn die Mitarbeiter sind die wichtigste Verteidigungslinie. Leider ist zu erwarten, dass Hacker und andere Kriminelle unruhige Zeiten nutzen, um neue Schwachstellen aufzuspüren und Profit daraus zu schlagen. Sorgen Sie dafür, dass Ihre Mitarbeiter aufmerksam gegenüber Phishing-Versuchen sind, und informieren Sie sie umfassend über die Gefahren von Malware und Ransomware.

Apropos Menschen: Ihre IT- und Security-Teams müssen auch Anwendersupport für Mitarbeiter leisten können, die zu Hause arbeiten. Was machen Sie beispielsweise mit einem Virus auf einem Remote-Laptop, wenn die Experten im Support-Team sonst nur mit Desktop-Verwaltung vertraut sind? Wie ersetzen Sie Hardware, wenn Mitarbeiter weit verstreut in ihren Homeoffices sitzen? Wie berücksichtigen Sie die Anforderungen und Ansprüche der Mitarbeiter an Gesundheitsschutz und Arbeitssicherheit? Schließlich lassen sich die aus dem Büro bekannten und geforderten Standards im Homeoffice in der Breite nur schwer umsetzen.

Wir lassen die Menschen zu Hause arbeiten – sicher und schnell
Außerhalb des Büros zu arbeiten, kann befreiend wirken und zu mehr Produktivität und Kollaboration am „Modern Workplace“ führen. Und wie wir in den vergangenen Wochen gesehen haben, verleiht es Arbeitgebern die nötige Flexibilität, um Mitarbeiter in Zeiten von großer Unsicherheit zu schützen und gleichzeitig den Geschäftsbetrieb aufrecht zu erhalten. Für ein ausgewogenes Verhältnis von „schnell starten“ und „Sicherheit“ empfehlen wir Unternehmen, mit einem anwenderzentrierten Risikomodell zu beginnen – und davon ausgehend die Lücken in den Sicherheitskriterien zu identifizieren und zu schließen.

Erfahren Sie mehr darüber, wie Avanade dabei hilft, Unternehmen sicherer zu machen – und werfen Sie einen Blick auf weitere Blogbeiträge zum Thema:

• Microsoft Teams einführen: Drei praxisbewährte Herangehensweisen
• Remote Working: Wie das mobile Arbeiten zum Erfolgserlebnis wird – für Arbeitnehmer und Arbeitgeber
• Compliance & Governance für Office 365 (Teil 1): Das Avanade Compliance Radar
• Microsoft Teams: So findet man die Funktionen, die zu einem passen