Während meiner aktiven Consulting-Zeit bei Bechtle, in der ich eine Vielzahl an Unternehmen unterschiedlicher Größe beraten habe, hörte ich so einige Argumente gegen den Einsatz von Security-Lösungen in Unternehmen. Angefangen von dem Argument schlechthin, dass man bisher noch nie das Ziel eines Cyberangriffs gewesen sei, bis hin zu dem ebenfalls sehr beliebten Argument, dass Security-Lösungen die Produktivität der Mitarbeiter einschränken würden. Dem brachte ich stets ein bekanntes Zitat des ehemaligen FBI-Chefs James Comey entgegen: „Es gibt zwei Arten von Unternehmen. Diejenigen, die gehackt wurden und solche, die nicht wissen, dass sie gehackt worden sind.“
Betrachtet man zudem die Statistik, dass Unternehmen in Deutschland erst nach ca. 180 Tagen einen Hackerangriff entdecken, so steckt durchaus etwas Wahres in der Aussage des ehemaligen FBI-Direktors. Und oft saßen wir dann, nachdem etwas Zeit verstrichen war, wieder beim Kunden, weil ein Angriff im Netzwerk letztendlich entdeckt wurde – manchmal stellte sich dann auch heraus, dass die Hacker schon deutlich vor unserem ersten Termin beim Kunden im Netzwerk waren. Ironie des Schicksals.
Beim zweiten Argument, dass Sicherheitslösungen die Produktivität einschränken, ist die Sache schon etwas komplizierter. Dies kann tatsächlich eintreten, wenn z. B. die eingesetzten Sicherheitslösungen nicht miteinander integriert werden oder die Schutzmechanismen veraltet sind, also keine künstliche Intelligenz eingesetzt wird, um auf moderne und komplexe Angriffsvektoren reagieren zu können. Dies bedeutet im Umkehrschluss, dass es heute besonders wichtig ist, Sicherheitslösungen im Einsatz zu haben, die das Benutzererlebnis nicht einschränken. Erreicht wird dies, indem darauf geachtet wird, dass die eingesetzte Lösung den täglichen Arbeitsablauf der Mitarbeiter nicht stört.
Ein konkretes Beispiel: Wenn ein Mitarbeiter auf einem Endgerät eingeloggt ist und sich gegenüber dem System authentifiziert hat, sollte es ihm auch ermöglicht werden auf andere im Unternehmen eingesetzte Applikationen, ohne erneute Kennworteingabe und Anmeldung, zugreifen zu können. Die Microsoft Technologie „Seamless Single Sign On to other SaaS“, die in der Microsoft 365 E3 Lizenz enthalten ist, ermöglicht dies auf eine moderne und sichere Art und Weise.
Moderne Authentifizierungsmechanismen effizient einsetzen.
Auf der anderen Seite muss man aber auch sagen, dass moderne Authentifizierungsmechanismen, wie z. B. die Multi-Faktor-Authentifizierung, heute so umgesetzt und konfiguriert werden können, dass sie den Mitarbeiter überhaupt nicht stören und die Technologie nicht einmal bemerkt wird.
Ein weiteres gutes Beispiel könnte z. B. sein, dass auf einem mobilen Endgerät die Daten getrennt werden, d. h. dass berufliche Daten von privaten Daten abgekapselt werden – in einer Art Container im Hintergrund. Diesen Prozess würde ein Mitarbeiter auch nicht mitbekommen, aber dennoch erhöht er aktiv die Sicherheit, weil im Verlustfall das Endgerät über die Cloud und die Unternehmens-IT einfach gelöscht werden kann – wahlweise auch nur die Unternehmensdaten (selective wipe) oder, auf Wunsch des Mitarbeiters, auch das gesamte Smartphone (full wipe).
All das könnte man zudem noch mit biometrischen Authentifizierungsmethoden kombinieren, wie etwa der Gesichtserkennung mit Windows Hello for Business oder dem klassischen Fingerabdruck. Auf eine charmante Art und Weise wird somit dafür gesorgt, dass dem User die Eingabe einer PIN oder eines komplexen Passworts erspart bleibt und Arbeitsabläufe vereinfacht werden.
Dieser Artikel erschien ursprünglich von mir am 16.07.2020 auf dem Bechtle Blog