Der Wandel ist umfassend
Wir erleben derzeit grundlegende Veränderungen in unserer Lebens- und Arbeitswelt. Das führt unter anderem auch dazu, dass Mitarbeiterinnen und Mitarbeiter ihre Zusammenarbeit neu organisieren (müssen). Der Arbeitsplatz ist nun oft das eigene Zuhause, und auch dadurch haben Nutzerinnen und Nutzer nun eine deutlich aktivere Rolle, während die IT mit wachsendem Tempo in die Cloud wandert. Dennoch müssen Sie natürlich sicherstellen, dass sensible Daten dabei nicht in die falschen Hände geraten.
Schöne neue Welt
Die Zahl der verfügbaren Business-Tools steigt rasant, für alle möglichen Anwendungsfelder. Viele Unternehmen sehen sich gezwungen, Kernfunktionen virtuell anzubieten. Seien es Konferenzen in Gaming-Optik oder Virtual Reality in der Immobilienbranche – verschiedenste Arbeitsumfelder werden so nicht nur digitaler, sondern auch vielfältiger. Chatplatformen werden zum offiziellen Medium und erodieren die Dominanz von E-Mails. Der Email-Anhang wird durch neue Möglichkeiten des Sharing verdrängt.
Nutzer gestalten die Veränderung aktiv
Die Belegschaft suchen aus diesem breiten Angebot öffentlicher Cloud-Angebote je nach Aufgabenbereich diejenigen aus, von denen sie sich komfortable, effiziente Bedienbarkeit versprechen. Manchmal passiert das auf der Ebene einzelner Mitarbeiterinnen und Mitarbeiter, mal bucht ein Team oder eine Abteilung ein Tool schnell übers Spesenkonto. Das Problem für die IT: Die Sicherheit sensibler Daten muss dennoch gewährleistet bleiben.
Konsequenzen für die IT
Alle Wege führen in die Cloud. IT-Entscheiderinnen und -Entscheider müssen mit zusätzlicher Software umgehen, nun wesentlich mehr Daten verwalten, und neue Vernetzungs- und Verknüpfungsmöglichkeiten organisieren. Die Konsequenz ist meist eine Hybrid-Cloud-Umgebung – sie verbindet öffentliche Clouds mit sicheren privaten Clouds für sensible Daten. Das Intranet hat weitgehend ausgedient, und wird zusammen mit VPNs ein Randphänomen für sehr spezielle Anwendungen.
Da stellen sich natürlich entscheidende Fragen: Wie behält die Unternehmens-IT sensible Daten und die Identitäten der Nutzer unter Kontrolle?
Daten managen
Bei der digitalen Teamarbeit in den verschiedensten Cloudanwendungen fallen jede Menge unstrukturierte Daten an. Darunter sind herkömmliche Office-Dokumente, aber auch Chats, Sensordaten, Logs, Fotos, Videos und Audiodateien. Diese Daten sind bisher meist allein in der Verantwortung der Nutzerinnen und Nutzer. Das gefährdet Sicherheit, Compliance, Kosten und Verfügbarkeit – deshalb ist „Data under Management“ aktuell ein dringliches Thema für die IT.
Schritt 1: Erkennen Sie die Gefahren
Ein Beispiel: Eine Nutzerin speichert ein Dokument in dem Kollaborations-Tool. Wenn sie jetzt noch einen öffentlichen Link generiert und an einen externen Partner per E-Mail sendet, kann das ein Verstoß gegen die DSGVO bedeuten und durchaus ein Strafverfahren nach sich ziehen. Diese Verantwortung ist für Ihre Mitarbeiterinnen und Mitarbeiter eine Nummer zu groß.
Schritt 2: Definieren Sie Vertraulichkeitsklassen und Regeln
Wenn Sie definiert haben, was wie vertraulich ist, dann können Sie Dateien und Ordner entsprechend taggen. Vieles davon geht mittlerweile automatisch, etwa durch das Auswerten von Metadaten Ihrer Dokumente oder das maschinelle Erkennen von nutzerbezogenen Daten wie Telefonnummern. Von der Klassifikation abhängige Zugriffsberechtigungen, Verfallsdaten mit Löschfristen und andere Mechanismen helfen dann dabei, die Daten adäquat zu schützen. Beispiel: Ein Kunden-Vertrag kann nicht öffentlich geteilt werden und auch von unternehmensinternen Nutzerinnen und Nutzern nur angesehen, nicht aber heruntergeladen werden.
Schritt 3: Bauen Sie sichere Speicher
Bieten Sie Ihren Nutzerinnen und Nutzern einen sicheren Speicher an für alle heutigen und zukünftigen Teamwork-Apps. Darin können Sie dann, z.B. in der ownCloud, Regeln für klassifizierte Dokumente definieren und auch durchsetzen. ownCloud dient damit als Data Hub für eine Menge Cloudanwendungen, darunter Microsoft Teams, und diverse andere Workstream- und Workspace-Anwendungen.
Schritt 4: Behalten Sie die Autorisierung unter Ihrer Hoheit
Egal, über welchen Weg Ihre Mitarbeiterinnen und Mitarbeiter sich austauschen, und egal, welche Plattformen involviert sind – wenn es am Ende darum geht, auf eine Datei mit sensiblen Daten auf Ihrem sicheren Speicher zuzugreifen, müssen Sie in der Lage sein, berechtigte und unberechtigte Zugriffe zuverlässig zu unterscheiden. Dabei helfen moderne Cloud-ID-Standards wie OpenID Connect, bei denen Sie den Identity Provider selbst betreiben können, und dennoch alle Vorteile eines cloudbasierten Single Sign-on genießen.
Schritt 5: Automatisieren Sie Data Governance
Loggen Sie Zugriffe umfassend, und zeichnen Sie Aktivitäten auf, um jederzeit geforderte Audits erbringen zu können. Mit den richtigen Schnittstelen ist komfortable Übersicht möglich, etwa mit Splunk oder anderen SIEM-Plattformen – SIEM steht für Security Information and Event Management. Evaluieren Sie damit regelmäßig Ihre Abläufe und Policies, um Sicherheitsbedürfnisse auch in sich wandelnden Zeiten zuverlässig zu erfüllen.