header_corporate-blog_2019_1920x559px

Über diese 6 Fähigkeiten muss ein sicherer Digital Workplace verfügen

ChristianBamert_2x

Digital-Workplaces sind komplexe Softwarelösungen. Ob in der Cloud oder On-Premises werden verschiedenste Anwendungen übergreifend vereint, um ein möglichst effizientes Arbeiten zu ermöglichen. Dabei werden die Lösungen aus dem Unternehmen bzw. die Applikationen und Services integriert, um durchgängige Prozesse zu etablieren und den Zugriff auf weitere Datenspeicher zu ermöglichen. Damit können beispielsweise Suchen über integrierte ERP- oder CRM-Systeme durchgeführt werden.

Ein Digital-Workplace muss daher höchste Ansprüche an die IT-Security erfüllen und über die folgenden Fähigkeiten verfügen. Diese können technisch oder organisatorisch bereitgestellt werden und gelten als Grundvoraussetzungen - oder können in der Maturität des Digital-Workplaces kontinuierlich hinzugefügt werden. Mit der DWP-Maturität ist ein kontinuierlicher Verbesserungsprozess gemeint, welcher in die Reise zum Zielbild eingeplant werden sollte.

Fähigkeit 1: Benutzeridentifikation und Personalisierung

Der Digital-Workplace soll allen Mitarbeiter*innen ein persönliches Benutzererlebnis verschaffen, verschiedene Applikationen und Services integrieren und Sicherheit beim Datenzugriff gewährleisten. Mehrstufige Anmeldeverfahren (MFA – Multifactor Authentication) und unterschiedliche Berechtigungsstufen (RBAC – Role Based Access Control) sorgen für die notwendige Sicherheit. Dabei kann bei MFA ein drittes Merkmal, wie SMS, QR-Code oder einfach E-Mail, zum Tragen kommen. Beim RBAC werden verschiedene Rollen, beispielsweise Publisher, mit den zur Erfüllung ihrer Aufgaben notwendigen Rechten ausgestattet.

Was sind die Risiken zum Thema Benutzeridentifikation?

  • Keine Personalisierung möglich
  • Zugriffsverwaltung nicht gewährleistet
  • Keine Akzeptanz, durch mehrfache Anmeldungen an Applikationen
  • Benutzerzentrierte Kommunikation nicht möglich

Was leistet der Digital-Workplace?

Beim Einstieg in den Digital-Workplace muss zuerst die Identität der Benutzer*innen authentisiert werden, um mittels der Autorisierung den Benutzer*innen die jeweiligen Rechte einzuräumen. Dadurch kann eine Personalisierung erreicht werden, welche es erlaubt, dass Benutzer*innen nur Daten einsehen können, für welche sie eine Zugriffberchtigung haben und welche sie in ihrem Arbeitskontext auch wirklich benötigen. Mittels der Personalisierung können des Weiteren eine individuelle Navigation, spezifische Dashboards, eigene Links oder favorisierte Sites bereitgestellt werden. Dies erlaubt ein effizientes Arbeiten mit meinem auf die spezifischen Bedürfnisse personalisierten Digital-Workplace.

Ausserdem kann mittels einem übergeordneten Authentifizierungskonzept sichergestellt werden, dass sich Benutzer*innen nur einmal am Digital-Workplace anmelden müssen (SSO – Single Sign On) und ihnen danach alle in den Digital Workplace integrierten Applikationen, Services und Prozesse nahtlos zur Verfügung stehen. So werden den Benutzer*innen beispielsweise bei der Suche, bei der Auswahl der Arbeitsbereiche, bei der Durchsicht der News oder bei der Bearbeitung von Dokumenten nur diejenigen Informationen angezeigt, für welche sie berechtigt sind und daher Zugriff haben. Dadurch wird eine Personalisierung basierend auf dem Sicherheitskontext erreicht, welche durch weitere Dimensionen wie Sprache, Rolle und Funktion sowie Standort ergänzt werden kann.

Mehrstufige Anmeldeverfahren (MFA – Multifactor Authentication) können die Sicherheit beim Anmelden nochmals zusätzlich erhöhen, wobei diese mehrstufige Anmeldung für den ganzen Digital-Workplace, Bereiche davon mit speziell vertraulichen Informationen oder nur einzelne Applikationen angewandt werden kann.

Fähigkeit 2: Datenklassifikation

Eine weitere wertvolle Möglichkeit, welche ein Digital-Workplace bietet, ist die Kollaboration mit externen Partnern oder Lieferanten. Dabei soll zwar nicht auf vertrauliche Daten zugegriffen werden können, die Mitarbeiter*innen aber trotzdem über höchste Flexibilität beim Datenaustausch verfügen. Vielfach ist keine unternehmensweite, eindeutige Klassifikation der Daten vorhanden oder falls existent verfügen die Mitarbeiter*innen nicht über die notwendigen Kenntnisse, diese im Arbeitskontext sinnvoll anzuwenden. Abhilfe könnte ein Klassifizieren der Dokumente schaffen, um eine Trennung von vertraulichen Daten in verschiedene Stufen zu erreichen.

Was sind die Risiken zum Thema Datenklassifikation?

  • Keine Einschränkung auf sensitive Daten möglich
  • Keine Regelwerke möglich zur Notifikation
  • Keine technischen oder organisatorischen Massnahmen möglich zum Schutz von geheimen Daten, z.B. durch Verschlüsselung
  • Datenschutz nicht gewährleistet

Was leistet der Digital-Workplace?

Bei der Klassifikation kommen typischerweise Stufen wie: «Confidential», «Internal» und «Public» zum Einsatz, wobei nur als Public eingestufte Informationen an Externe weitergegeben werden sollten. Als «Internal» eingestufte Informationen dürfen gegenüber «Confidential» in der Cloud gespeichert, jedoch nie mit Externen geteilt werden. Eine Möglichkeit der Klassifizierung wäre eine manuelle «Vertagung», erfahrungsgemäss wird dies aber nicht immer gelebt, da zu aufwändig und es nur eine gefühlte Sicherheit ergibt, da es vorkommt, dass Dokumente falsch klassifiziert werden. Effizienter wäre eine intelligente «Vertagung» von Inhalten, wobei diese beispielsweise automatisch mit sogenannten «Sensitivity-Labels» versehen werden, auf Basis derer dann ein Regelwerk aufgebaut werden kann, um die Daten zu schützen oder bei Missbrauch Alarm zu schlagen. Diese «Sensitivity-Labels» werden an einzelne Dokumente, Applikationen, Datencontainer oder Arbeitsbereiche angehängt, sodass diese, falls als vertraulich eingestuft, nicht mehr mit Externen geteilt werden können.

Fähigkeit 3: Datenschutz und Verschlüsselung

Beim Arbeiten mit dem Digital-Workplace werden Daten bearbeitet und gespeichert, dabei kommen verschiedene Applikationen und Geräte, Stichwort BYOD (Bring-Your-Own-Device), zum Zuge. Daher ist es wichtig, die Kommunikation zwischen BYOD und Applikation(en) mittels End-To-End Verschlüsselung zu sichern. Der Digital-Workplace kann hier einen massgebenden Beitrag leisten.

Was sind die Risiken zum Thema Datenschutz?

  • Daten werden nicht nach basierend auf Klassifikationsstufe gehandhabt
  • Regulatorische Vorgaben können nicht eingehalten werden, z.B. GDPR

Was leistet der Digital-Workplace?

Um Daten zu schützen, sollten diese verschlüsselt werden und zwar im Ruhezustand, beim Transport und auch bei der Bearbeitung. Dies gilt nicht nur für die Speicherung der Daten, sondern insbesondere auch für die verschiedenen Applikationen und die Endgeräte. Durch eine mehrstufige Verschlüsselung bei der Speicherung der Daten kann ein hohes Sicherheitslevel angestrebt werden.

Einen weiteren Beitrag zur IT-Sicherheit kann der Digital-Workplace beispielsweise durch die Verschlüsselung von «Instant-Messages und Presence» (Mittels TLS) in Microsoft Teams leisten. Soll eine noch höhere Sicherheitsstufe angestrebt werden, so kommen «Customer-Keys» zur Anwendung, welche die Daten zusätzlich mit einem Unternehmens- eigenen Schlüssel verschlüsselt.

Zusätzlich können beispielsweise in Arbeitsbereichen von Microsoft 365 Bibliotheken mit speziellen Rechten versehen werden (Information Rights). IRM (Information Rights Management) verschlüsselt die heruntergeladenen Dateien und beschränkt die Gruppe von Benutzer*innen und Programmen, von denen diese Dateien entschlüsselt werden dürfen. IRM kann auch die Rechte der Benutzer, die Dateien lesen dürfen, so einschränken, dass sie keine Aktionen wie das Drucken von Kopien der Dateien oder das Kopieren von Text aus ihnen ausführen können.

Fähigkeit 4: IT-Security Governance

Die «IT-Security-Gocernance» stellt sicher, dass im Digital-Workplace die Daten, die Verarbeitung und die Kollaboration nach den Vorgaben des Unternehmens angepasst sind und mit der Kultur einhergehen. Dabei können auch weitergehende Tools zur Sicherstellung der «IT-Security-Governance» herbeigezogen werden.

Was sind die Risiken zum Thema Governance?

  • Falsche Handhabung von Daten
  • Keine einheitliche Nutzung von Daten und Systemen
  • Keine org. Prozesse für Ausnahmeregelungen
  • Fehlende Weisungen und somit kein Bewusstsein bei den Mitarbeitern

Was leistet der Digital-Workplace?

Für die Zusammenarbeit mit unterschiedlichen Stakeholdern und Rollen legt die «IT-Security Governance» ein Regelwerk fest, welches individuell auf die Bedürfnisse und die Kultur von jedem Unternehmen abgestimmt und daher einmalig ist. Das Regelwerk kann verschiedene Aspekte im Digital-Workplace abdecken, wie beispielsweise:

  • Den Publikationsprozess von Daten, wie News oder Handbüchern
  • Die Provisionierung von Arbeitsbereichen
  • Verantwortlichkeiten für Projekte oder Communities
  • Die Berechtigungen von Externen
  • Den Lebenszyklus von Informationen inkl. Archivierungsregelungen
  • Das Regelwerk zur Datenklassifizierung

Der Mehrwert eines solchen Regelwerkes liegt darin, dass damit die Grundlage zur Ausarbeitung von Richtlinien geschaffen wird und zudem als Basis für Trainings genutzt werden kann.

Fähigkeit 5: Security Analyse

Einen Digital-Workplace zu betreiben ohne Rückmeldungen zur Sicherheit zu haben, ist wie Autofahren ohne Tacho – man fährt einfach nach Gefühl und hofft, dass die Geschwindigkeit schon passt. Im Digital-Workplace kann die Geschwindigkeit der Veränderungen oder des Missbrauchs noch viel schlechter abgeschätzt werden, da hier unzählige weitere Faktoren dies beeinflussen. So könnten Mitarbeiter*innen beispielsweise per Klick in Sekunden schnelle sensitive Informationen teilen.

Was sind die Risiken zum Thema Analyse?

  • Missbrauch und Weitergabe von Daten an Dritte
  • Speicherung von vertraulichen Informationen in nicht erwünschten Bereichen, z.B. Geteilt mit Externen
  • Nutzung von unerwünschten Speichermedien

Was leistet der Digital-Workplace?

Ein an die Mitarbeiter*innen und ihren Bedürfnissen angepasster Digital-Workplace kann in einem ersten Schritt die Schatten-IT reduzieren, indem genau die Wünsche der Mitarbeiter*innen im Rahmen der Governance des Unternehmens erfüllt werden, sodass nicht externe Tools und Services eingesetzt werden, z.B. Dropbox zur Datenspeicherung oder Zoom zur Kommunikation. Des Weiteren können Dashboards und Applikationen in den Digital-Workplace eingebunden werden, welche den Mitarbeiter auf die IT-Security sensibilisieren (z.B. mit einem Complience Score) und den Verantwortlichen Überblick verschafft.

Um Fragestellungen im Bereiche Digital-Workplace, wie:

  • «Auf welche Arbeitsbereiche und Dokumente haben Externe Zugriff?»
  • «Haben Mitarbeiter grosse Mengen an sensitiven Daten eingesehen oder heruntergeladen?»
  • «Erfolgte ein Zugriff von unsicheren Geräten?»
  • «Wurden Anomalitäten in Programmen entdeckt?»

zu beantworten, ist es unumgänglich, Analysen über Dashboards, per Report oder noch besser in Real-Time durchzuführen. Dies sollte durch geeignete Prozesse, welche wiederum durch die «IT-Security Governance» vorgeben werden, sichergestellt werden, wie periodische Inventories zu Site/Page Owners.

Fähigkeit 6: IT-Security Adoption und Training

Eigentlich sollten alle Mitarbeiter*innen einen Digital-Workplace-Fahrausweis bestehen, bevor die komplexe Welt der orchestrierten Services und Prozesse betritt, welche im Digital-Workplace vereint werden. Im Bereiche IT-Security ist es speziell heikel, da Fehler oder «Nicht beachten» der Regeln dem Unternehmen langfristig teuer zu stehen kommen könnten, z.B. durch eine Re-Organisation der Daten oder durch ein Missachten von gesetzlichen Regulatorien.

Was sind die Risiken zum Thema IT-Security-Adoption?

  • Mitarbeiter wenden Tools und Services falsch oder nicht effizient an
  • Complience und Security Affinität fehlt
  • Vertrauliche Informationen werden in unsicheren Bereichen gespeichert

Was leistet der Digital-Workplace?

Der Digital-Workplace orchestriert bestehende und neue Services und kann ein neues Zusammenarbeitsmodell für «New-Work» schaffen. Typischerweise beinhaltet jede neue Facette des Digital-Workplaces auch neue IT-Security-Perspektiven, über welche die Mitarbeiter*innen informiert und für die sie trainiert werden müssen. Einzelne Mitarbeiter*innen bringen in der Regel diese «Awareness» nicht mit, daher muss ein «Business-Adoption-Programm» geschaffen werden, welches über verschiedene Zyklen des digitalen Arbeitsplatzes reicht. Unterstützend können E-Learning-Systeme, welche voll in den Digital-Workplace integriert sind, Mitarbeiter*innen helfen, wichtige Erkenntinsse über IT-Security zu erlangen. Diese E-Learning-Systeme zeigen Mitarbeiter*innen Kontext bezogen Hilfestellungen, dabei können das Thema IT-Security adressiert werden und in die eigentliche Applikation integriert werden.

Topics: Security Team DWP digital workplace homeoffice