Stellen Sie sich vor, Sie sind ein Vertriebsmitarbeiter und wenn Sie versuchen, die Website eines Kunden zu besuchen, erhalten Sie eine Meldung, dass sie blockiert ist, weil sie nicht auf der Whitelist Ihres Unternehmens steht. Oder vielleicht sind Sie ein Programmierer und wenn Sie die neueste Version der Eclipse-Entwicklungssoftware installieren möchten, die Sie zum Schreiben von Code verwenden, lässt Ihr Computer (und Ihre IT-Abteilung) dies nicht zu. Jedes Unternehmen macht sich Sorgen um die Cybersicherheit, aber es gibt so etwas wie eine zu starke Sperrung.
Beispielsweise versuchen IT-Abteilungen, rücksichtsloses Verhalten von Mitarbeitern einzudämmen, indem sie Websites und nicht arbeitsbezogene Apps in Unternehmensnetzwerken blockieren. Der Anfang dieses Jahres veröffentlichte Application Intelligence Report von A10 Networks ergab, dass fast zwei Drittel der Mitarbeiter (61 Prozent) angeben, dass ihre Unternehmen bestimmte Websites oder Anwendungen blockieren.
Aber Mitarbeiter daran zu hindern, ein gewisses Maß an technologischer Freiheit zu haben – sei es bei der Installation von Software, dem Herunterladen von Apps oder der Wahl eines anderen Webbrowsers – kann sich negativ auf ihre Produktivität auswirken. Einige behaupten, dass strenge Sicherheitsrichtlinien im Widerspruch zum aktuellen Klima der digitalen Disruption stehen und die Innovationsfähigkeit eines Unternehmens in einem zunehmend wettbewerbsorientierten Umfeld beeinträchtigen können.
Das Problem beginnt, wenn Mitarbeiter dank der jederzeit verfügbaren IT ihre eigenen Laptops und andere persönliche Geräte am Arbeitsplatz verwenden und die Software herunterladen möchten, von der sie glauben, dass sie ihr Arbeitsleben erleichtern wird.
Es ist Sache des IT-Teams, zu entscheiden, inwieweit es die Wahlmöglichkeiten der Benutzer einschränken möchte. Der Schutz des Unternehmens hat oberste Priorität, und angesichts der zunehmenden Häufigkeit und Komplexität von Cyberangriffen ist der überwältigende Drang der IT-Abteilung, alles abzuriegeln, leicht zu verstehen.
Beispielsweise haben hochkarätige Ransomware-Angriffe in den letzten Jahren Schlagzeilen gemacht. Sie werden jetzt von einer Zunahme dateiloser Angriffe überholt, da Malware-Entwickler ihre Umgehungsbemühungen verstärken. Unterdessen prognostiziert der Analyst Gartner, dass bis 2021 25,1 Milliarden Internet of Things (IoT)-Endpunkte installiert sein werden, was den Druck auf die IT-Teams erhöht, alle mit dem Unternehmensnetzwerk verbundenen Geräte zu sichern.
Das Problem besteht aus Sicht der IT darin, dass Mitarbeiter häufig der Grund für solche Sicherheitsverletzungen innerhalb einer Organisation sind. Tatsächlich zeigt der Bericht State of the Industry: Information Security von Shred-it 2018, dass 84 Prozent der C-Level-Führungskräfte und 51 Prozent der Kleinunternehmer glauben, dass die Fahrlässigkeit von Mitarbeitern eines der größten Informationssicherheitsrisiken für US-Unternehmen ist.
Daher ist eine der größten Konfliktursachen zwischen der IT-Abteilung und den Mitarbeitern das Herunterladen nicht autorisierter Apps zur Verwendung am Arbeitsplatz. Der Bericht von A10 Networks stellt fest, dass fast ein Drittel (30 Prozent) der Mitarbeiter angibt, wissentlich nicht genehmigte Apps bei der Arbeit oder auf unternehmenseigenen Geräten zu verwenden. Ein Drittel derjenigen, die nicht genehmigte Apps herunterladen, behauptet jedoch, dass sie von ihrer eigenen IT-Abteilung dazu gezwungen werden, die ihnen oft keinen Zugriff auf die Apps gewährt, die sie für ihre Arbeit benötigen.
„Wenn Sie [Technologie] so restriktiv gestalten, dass Sie kein Risiko eingehen, wird sie niemand jemals verwenden“, sagt David Mayer, Leiter des Geschäftsbereichs Connect Workforce von Insight, gegenüber Tom’s Hardware.
Ein Gleichgewicht finden
Sicherheitsexperten sind sich einig, dass die Sicherheitslage eines Unternehmens neben der Produktivität und Zufriedenheit der Mitarbeiter ausgewogen sein sollte.
„Mitarbeitern die Möglichkeit zu geben, so zu arbeiten, wie sie es möchten, und die Tools zu verwenden, die sie möchten, bringt ein enormes Risiko in eine ansonsten sichere Umgebung ein. Wenn Sie ihnen dies jedoch nicht gestatten, kann dies die Produktivität Ihrer Mitarbeiter beeinträchtigen“, sagt Joey Costa, CEO von The Tek, einem Managed Security Service Provider (MSSP) mit Sitz in Raleigh, gegenüber Tom’s Hardware.
Der Weg, um dies zu umgehen, besteht laut Costa darin, dass ein Unternehmen sein Sicherheitsprogramm auf die Benutzererfahrung konzentriert. Er rät: „Mit Ihren Benutzern zusammenzuarbeiten, um zu verstehen, wie sie arbeiten möchten, welche Arten von Anwendungen und Betriebssystemen sie verwenden möchten, und Ihr Sicherheitsprogramm so zu gestalten, dass es aktiviert und erweitert werden kann, damit Sie die Produktivität und Zufriedenheit Ihrer Mitarbeiter steigern und gleichzeitig Ihre Gesamtleistung beibehalten können Risikostufe gering.“
Jake Madders, Direktor bei Hyve Managed Hosting, das über Rechenzentren in Los Angeles, Boston und Miami verfügt, stimmt zu, dass IT-Chefs versuchen sollten, ein Gleichgewicht zu finden.
„Unternehmen sollten versuchen, Mitarbeiter in jeder Hinsicht zu stärken, auch in Bezug auf Technologie. Es ist eine Sache, Benutzer daran zu hindern, umfangreiche Änderungen an ihrer Software vorzunehmen, aber Mitarbeitern, die einfache Änderungen vornehmen, wie z. B. die Wahl eines anderen Webbrowsers, Beschränkungen aufzuerlegen, riskiert, sie zu bevormunden und letztendlich zu demotivieren“, sagt er zu Tom’s Hardware. „Das Internet kann ein großartiges Werkzeug sein, um neue und kreative Wege zu entdecken, um Zeit zu sparen und die Effizienz durch neue Anwendungen zu steigern. Daher ist es der Schlüssel zur internen Entwicklung des Unternehmens, den Mitarbeitern die Freiheit zu geben, dies zu tun.“
Madders glaubt, dass Schulungen der Schlüssel sind, um sicherzustellen, dass Mitarbeiter die Abwehrkräfte ihres Unternehmens nicht unwissentlich schwächen.
„Der Schlüssel hier ist Bildung – den Teammitgliedern beizubringen, wie man sicher bleibt und welche und wie die Sicherheitsrichtlinien des Unternehmens umgesetzt werden“, sagt er. „Schließlich wird eine angemessene Sicherheit von Grund auf aufgebaut – beginnend mit der zentralen Schwachstelle, bei der es sich wohl oft um die Benutzer selbst handelt.“
Der unabhängige Branchenanalyst Rob Bamforth stimmt mit den IT-Abteilungen darin überein, dass das schwache Glied in den meisten Sicherheitsketten die Mitarbeiter selbst sind, aber die Mitarbeiter mit guten Sicherheitspraktiken an Bord zu holen, bedeutet, von oben anzufangen.
„Es ist entscheidend, dass sie Sicherheitsprogramme und -verfahren verstehen, ihnen zustimmen und sie insgesamt unterstützen. Allerdings sind Erlasse eines Sicherheitsentscheidungsträgers, die den Anforderungen des Unternehmens zu widersprechen scheinen, auch nicht gut“, sagt er zu Tom’s Hardware.
„Gute CISOs verstehen das. Die Sicherheit muss eng mit dem Unternehmen und den Benutzern verbunden sein und ihnen nahe stehen. Sicherheitsrisiken und Schwachstellen müssen von allen in einem Geschäftskontext verstanden werden – was sind die Auswirkungen auf das Unternehmen? Ein breites Verständnis fördert die Akzeptanz und hilft der Organisation, eine praktische Sicherheitshaltung einzunehmen, die für das Unternehmen geeignet, nicht zu schmerzhaft für die Benutzer ist und ausreichend Schutz bietet.“
Interessanterweise stellt der Shred-it-Bericht fest, dass die meisten nordamerikanischen Unternehmen sagen, dass sie den Bemühungen ihrer Mitarbeiter vertrauen, Unternehmensdaten zu schützen, die meisten jedoch keine regelmäßigen Schulungen zu Informationssicherheitsverfahren anbieten.
„Ironischerweise übertragen viele Unternehmen die Verantwortung für die Datensicherheit immer noch auf ihre Mitarbeiter“, heißt es dort.
Begrenzung des Risikos
Mayer von Insight sagt, dass es heute keinen Grund für ein Unternehmen gibt, übermäßig restriktive Sicherheitsrichtlinien durchzusetzen, obwohl er anerkennt, dass das manchmal „der einfache Ausweg“ ist.
Letztendlich ist die beste Sicherheitshaltung für ein Unternehmen eine, bei der es nicht darum geht, Benutzer einzuschränken, sondern Risiken zu begrenzen.
„Es gibt eine Verwaltungstechnologie, die sicherstellt, dass [nicht genehmigte] Anwendungen nicht einmal in das Unternehmensnetzwerk gelangen; sie leben nur auf der Maschine des Benutzers. Cloud Access Security Broker [CASB]-Lösungen, die es gibt, können Sie zum Beispiel daran hindern, auf bestimmte Websites bei der Arbeit zuzugreifen“, sagt er und fügt hinzu, dass es wieder ins Gleichgewicht kommt.
„Sie balancieren ein Risikoprofil aus. Welches Risiko gehen Sie gerne ein? Es gibt keine Möglichkeit, ein flexibles System zu erstellen, das zu 100 Prozent sicher ist. Aber wenn Sie es zu 97 Prozent sicher machen können und dann die letzten drei Prozent verwalten und nachverfolgen können, ist das vielleicht ein Risikoprofil, das Sie bereit sind einzugehen.“
Die Antwort liegt darin, ein Gleichgewicht zu finden, bei dem die IT das Gefühl hat, die Aktivitäten oder das Verhalten der Benutzer nicht zu sehr einschränken zu müssen, was letztendlich zu Frustration und der Unfähigkeit führen könnte, sich als Unternehmen weiterzuentwickeln. Sicherheitsexperten sollten die Risiken für das Unternehmen abwägen und gleichzeitig flexibel auf die Bedürfnisse und Erwartungen der Mitarbeiter an den modernen Arbeitsplatz eingehen.
