Sicher und bequem muss es sein

Das Arbeiten aus der Ferne wird zur neuen Norma­lität werden – auch nach der Corona-Pandemie. Selbst Unternehmen, die früher sehr skeptisch waren, haben erkannt, dass Home Office funktioniert und sowohl für Arbeitnehmer als auch für Arbeitgeber Vorteile hat.

Die Mitarbeitenden haben die gewonnene Flexibilität und den fehlenden Arbeitsweg schätzen gelernt. Die Mehrzahl von ihnen ist nicht nur zufriedener, sondern mindestens genauso produktiv wie im Büro. Arbeitgeber werden deshalb Fern­arbeitsoptionen in ihre Arbeitsplatzkonzepte integrieren, müssen diese aber auch richtig umsetzen. Immerhin haben einige Unternehmen auch erkannt, dass sie dank teilweisem Home Office weniger Büroflächen benötigen werden und allenfalls mit weniger oder derselben Kapa­zität künftiges Wachstum verkraften können. Dass dabei die Sicherheit der Unternehmensdaten gewährleistet sein muss, ist allen klar.

Ein digitaler Arbeitsplatz muss nicht nur benutzerfreundlich, sondern vor allem sicher sein. Viele wissen aber nicht, wie sie dies konkret handhaben sollen. Wenn nämlich der digitale Arbeitsplatz zwar sicher ist, Prozesse wie der Zugriff auf Daten, das Einloggen in Konten oder das Einrichten neuer Geräte hingegen zu kompliziert sind, wird die Zufriedenheit und Produktivität der Mitarbeitenden deutlich sinken und gleichzeitig die Arbeitsbelastung der IT steigen. Überdies werden Mitarbeitende Wege finden, komplexe Prozesse zu umgehen.

Das stellt ein Sicherheitsrisiko dar. Doch obwohl Unternehmen, die eine Strategie für Remote Work implementiert haben oder dies planen, die Verbesserung der Mitarbeiterzufriedenheit anstreben, schenken sie der Benutzerfreundlichkeit weniger Aufmerksamkeit als der Sicherheit. Das ist in sich ein Widerspruch, wenn man bedenkt, dass eben eine mangelnde Benutzerfreundlichkeit dazu veranlasst, umständliche Abläufe zu umgehen – etwa mit Sideloads – und so die Sicherheit zu beeinträchtigen. Wie Sicherheit und Benutzerkomfort in Einklang gebracht werden können, zeigt sich exemplarisch bei Single Sign-on. Wenn Nutzer nach einer einmaligen Authentifizierung auf alle Rechner und Dienste, für die sie berechtigt sind, zugreifen können und sich nicht für jeden Dienst zusätzlich anmelden müssen, schlägt man zwei Fliegen mit einer Klappe. Hinzu kommt, dass man gleichzeitig den IT-Support entlastet, weil sich die Anzahl der Helpdesk-Anfragen reduziert.

Auch nutzen viele Unternehmen, die ein UEM-System (Unified Endpoint Management) im Einsatz haben, die Device-Lifecycle-Management-Funktion nicht. Dabei würde diese nicht nur die IT entlasten, sondern auch die Prozesse für die Mitarbeitenden vereinfachen, etwa die Inbetriebnahme eines neuen Geräts. Auch nutzen viele keinen Conditional Access, der ein höchstmögliches Mass an Sicherheit für alle Gerätestrategien inklusive BYOD (Bring Your Own Device) bietet und gleichzeitig eine benutzerfreundliche Authen­tifizierung in einem sicheren Kontext ermöglicht. Zugegeben, UEM-Systeme waren lange Zeit nur in der Lage, mobile Geräte wie Handys und Tablets zu verwalten. Doch heute kann man mit den Lösungen alle Geräte managen – PCs, Smartphones, Rugged Devices etc. – und das mit einem überschaubaren Aufwand für die IT. Würden Unternehmen das tun, könnten sie ihre Investitionen besser nutzen, die Sicherheit erhöhen und die Benutzererfahrung verbessern.

Ein UEM-System ist heute ein Must-have und Grundlage einer Remote-Working-Strategie. Dennoch sollten auch geübte UEM-Anwender regelmässig prüfen, ob das ein­gesetzte System noch alle Anforderungen erfüllt oder ob ein anderes System besser für das Unternehmen geeignet ist. Hier einen externen Experten beizuziehen, der auf die sichere Verwaltung mobiler Geräte spezialisiert und immer über die technologischen Entwicklungen auf dem neusten Stand ist und Erfahrung aus anderen Kundenumgebungen sowie standardisierte Vorgehensweisen miteinbringen kann, ist sicher nicht verkehrt.

Überhaupt unterschätzen viele Sicherheitsverantwortliche die Problematik der mobilen Bedrohung. Obwohl zum Beispiel Phishing als relevanteste Bedrohung angesehen werden muss, haben die meisten Unternehmen keine Lösung zur Abwehr im Einsatz. Sie führen auch keine regelmässigen Penetrations- und Schwachstellentests für mobile Geräte durch. Viele setzen weder UEM-Systeme noch Lösungen zur Abwehr mobiler Bedrohungen (Mobile Threat Defense) ein. Dabei ist es gerade auf mobilen Geräten schwierig, Phishing zu erkennen, denn die URL eines Links kann nicht so einfach überprüft werden wie auf einem Desktop-Gerät.

Ein weiteres Risiko geht von unsicheren Apps aus, denn oftmals wird die Nutzung von App-Stores von Drittanbietern nicht verhindert. Unsichere Apps, die bösartige Komponenten enthalten, können damit leicht auf Geräte gelangen und Daten gefährden. Auch nutzen nicht alle Unternehmen für das Home Office VPN, das einen sicheren Zugriff auf Unternehmensressourcen ermöglicht. Stattdessen schicken sie Daten per Mail oder teilen sie auf unsicheren Plattformen. Das Risiko, dass Daten abgefangen werden und/oder gar verloren gehen, ist damit hoch.

Es ist nicht nur wichtig, Remote-Arbeitsmöglichkeiten anzubieten, sondern diese auch sicher zu gestalten. Vor allem mittelständische Unternehmen verwalten ihre Geräte nicht professionell und riskieren die Sicherheit ihrer Daten. Kosten und Aufwand sind dabei keine Ausrede. Denn es gibt UEM-Cloud-Lösungen, die einfach zu nutzen sind, da sie keine Änderungen an der IT-Infrastruktur erfordern. UEMs ermöglichen die Verwaltung aller Geräteeigentumskonzepte und erlauben es Unternehmen, sowohl volle Sicherheit als auch Datenschutz zu gewährleisten. Und UEM-Lösungen reduzieren langfristig die Arbeitsbelastung der IT.

Neben der Technik ist es auch wichtig, das Bewusstsein der Mitarbeiterinnen und Mitarbeiter zu schärfen. Diese werden oftmals vernachlässigt, Sicherheitsschulungen werden nicht oft genug angeboten. Experten können hier Anleitungen geben, wie man sowohl volle Sicherheit als auch Privatsphäre der Fachkräfte gewährleisten kann, damit diese die Sicherheitsprozesse nicht umgehen. Denn gerade die Balance zwischen Sicherheit und Benutzerfreundlichkeit ist schwierig, wenn man nicht weiss, wie man es richtig macht. Wer Sicherheitsrisiken fürchtet, schränkt vielleicht den Fernzugriff ein, was die Zufriedenheit der Benutzer verringert. Vom Hersteller unabhängige externe Spe­zialisten können für diese vordergründig konträr scheinenden Anliegen wertvoll sein.