Blog OCTO

Security: Wie verändert mobiles Arbeiten Unternehmensnetzwerke?

Markus Nispel Chief Technology Officer, (CTO) - EMEA Veröffentlicht 1. Dezember 2022

Lehren, die wir im Zeitalter von Zero Trust aus den Erfahrungen mit einer mobilen Workforce ziehen können 

Das Wichtigste zuerst: Wir müssen die bisher oftmals getrennten Netzwerke für Büro und „Home-Office“ zu einer einzigen Zero-Trust-Lösung zusammenführen, die für alle Beschäftigten gleich ist. Ganz unabhängig davon, wo sie gerade arbeiten.

Anstatt getrennte Netzwerke für Büroarbeitsplätze und für mobiles Arbeiten bzw. Home-Office zu unterhalten, sollte ein einheitliches, nahtlos agierendes Netzwerk Standard werden. Ein Netzwerk, in dem allen die Leistungsfähigkeit und notwendigen Ressourcen zur Verfügung stehen, unabhängig vom jeweiligen Standort. Bei hohen Prozentsätzen an Remote-Arbeitsplätzen stellt sich die Frage: Wie könnte es aussehen, wenn deren Vernetzung der treibende Faktor für das Design des gesamten Unternehmensnetzwerks wäre? 

 

Herausforderungen für klassische Legacy-Netzwerke 

Mit der wachsenden – und vielerorts hoch bleibenden – Zahl von mobilen Arbeitsplätzen im Zuge der Corona-Pandemie mussten wir einige bislang vertraute Vorstellungen über Bord werfen. Aber zu welchen Veränderungen hat das in unseren bestehenden Unternehmensnetzwerken geführt? Wir haben Probleme mit Workarounds umschifft oder Abkürzungen genommen, um Abläufe zu beschleunigen. Das funktioniert sogar in gewisser Hinsicht. Für eine bestimmte Software gibt es nur drei Lizenzen, aber zehn potenzielle Benutzer? Dann erhalten einfach alle Benutzer das Kennwort und können untereinander aushandeln, wer Zugang hat und wann. Dauert es viel zu lange, die Rechte für den dringend nötigen Zugriff auf bestimmte Ressourcen zu erhalten, weil vier verschiedene Stellen ihre Zustimmung erteilen müssen? Dann bittet man einfach jemanden, der den nötigen Zugriff hat, das Dokument herunterzuladen und weiterzureichen. VPN macht alles so langsam? Dann benutzt man es möglichst selten. Ich muss mich das nächste Mal überall neu anmelden, nachdem ich das Notebook heruntergefahren habe? Dann bleibe ich einfach immer angemeldet.  

Wir alle kennen diese Szenarien nur zu gut. Wer so vorgeht, macht es sich leicht, zu leicht, arbeitet in gewisser Weise sogar effizient. Gleichzeitig, und das ist der Knackpunkt, handelt er sich viele Sicherheitsprobleme ein.  

Doch warum überhaupt Workarounds? Bestehende Systeme sind mit der Zeit oft umständlich und schwerfällig geworden. Laut dem einem Bericht der IT-Infrastrukturspezialisten strongdm „2022: The Year of Access“ sind in 48 Prozent der Organisationen drei oder mehr Personen dafür zuständig, Zugänge zu genehmigen. Die Hälfte der Befragten gab an, dass Stunden, Tage oder Wochen vergehen, bis der Zugang eingerichtet ist. Die Folge: Was Verzögerungen verursacht, wird ignoriert oder umgangen. 

Die eigentlichen Gründe reichen weiter. Meist liegt es an der Vermischung von vorhandener Hard- und Software mit neuen, cloudbasierten Systemen und sperrigen Sicherheitsvorrichtungen, die ebenso viele Probleme verursachen, wie sie lösen. Oft müssen unterschiedliche Verantwortliche unterschiedliche Elemente freigeben. Das führt nicht nur zu Engpässen, sondern belastet auch die Mitarbeitenden, die eigentlich nur ihre Aufgaben erledigen wollen. Wer will es da den Betroffenen verübeln, dass sie nach einfacheren Lösungen suchen und jede sich bietende Abkürzung nehmen? 

Wer auf vorhandenen Lösungen aufbaut, erzeugt dabei weitere Schichten und Abhängigkeiten. Doch genau so läuft die Entwicklung üblicherweise in vielen Unternehmen. Zunächst wurde vereinzelt die Möglichkeit eingeführt, aus dem Home-Office zu arbeiten. Dann kamen die mobilen Mitarbeitenden dazu. Für diese musste ein neues VPN-System geschaffen werden, das eine direkte Verbindung ins Büro möglich machte. 

Zum jeweiligen Zeitpunkt war das stets sinnvoll. Eine neue Arbeitsweise wurde als Ergänzung der bisherigen Arbeitsweise eingeführt. Dazu musste eine neue Netzwerklösung geschaffen werden, die speziell dafür gedacht war. 

 

Jetzt Netzwerk-Konzepte etablieren 

Doch die Zeiten haben sich geändert. „Für Fernarbeit und hybride Arbeitsformen sind VPNs nicht das richtige Mittel, um eine große Zahl von Beschäftigten, die mobil oder von zu Hause aus arbeiten, abzusichern. Sich blind darauf zu verlassen, birgt erhebliche Risiken“, schreibt Michael Hill, der britische Redakteur von CSO Online. „Da Remote- und Hybridarbeit in absehbarer Zukunft die Norm sein werden, müssen Unternehmen nicht nur die Unzulänglichkeiten und Risiken von VPN in Zeiten des mobilen Arbeitens erkennen. Sie müssen auch wissen, mit welchen alternativen Optionen sie Remote- und Hybridarbeit besser absichern können.“ 

Hier hat Hill zweifelsohne recht. Unsere Konzepte müssen sich weiterentwickeln. Die bisherigen Erfahrungen sollten uns dazu veranlassen, kommende Veränderungen und Anforderungen zu antizipieren und Unternehmensnetzwerke entsprechend aufzubauen und einzusetzen. 

Wäre nicht eine gemeinsame Lösung für das gesamte Unternehmen sinnvoll? Oder auf jeden einzelnen Menschen im Unternehmen bezogen: Sollte nicht jeder im Home Office oder mobil arbeiten können, wenn es nötig ist, ohne ein anderes System benutzen zu müssen? Wäre so ein einheitliches System nicht auch einfacher zu verwalten und aufzubauen? 

 

Einheitlichkeit – der Schlüssel zum sicheren und effizienten Arbeiten 

Dies ist Teil eines innovativen Konzepts, das auf Einheitlichkeit abzielt und gleichzeitig die Entwicklung einer Lösung erlaubt, die für das gesamte Unternehmen sicher ist. Dieses Konzept spielt seine Vorteile aus, wenn Organisationen ihre mobile und dezentrale Belegschaft weiter ausbauen. Der Schulungsaufwand für Beschäftige sinkt, was die Akzeptanz steigert und dazu ermutigt, das System tatsächlich zu nutzen, anstatt es zu umgehen. Während der Anlaufphase fallen möglicherweise Vorlaufkosten an und es werden mehr Lizenzen benötigt, doch langfristig überwiegen klar die Vorteile. Denn unternehmensweit ist der Umgang mit dem Netzwerk einheitlich. 

Das One-Team-Konzept hat sich auch in anderen Bereichen bewährt. Laut einem in Forbes erschienenen Artikel mit dem Titel „Contractors, Partners, Employees, Robots: The Art Of Managing The New Blended Workforce“ sind Unternehmen gut beraten, zwischen Festangestellten und externen Arbeitskräften keinen Unterschied zu machen.

Die Studie von Deloitte und MIT Sloan Management legt nahe, dass „diejenigen, die interne und externe Mitarbeiter als eine gemeinsame Belegschaft behandeln, bereit sind, weniger zu kontrollieren und aufgeschlossener gegenüber den Funktionen sind, die der neue Typus von Mitarbeitenden wahrnimmt. Das bedeutet insbesondere, dass man sich von der alten Denkweise verabschieden muss, dass die Aufgaben primär von Festangestellten erledigt werden müssen.“ 

Eine Lehre können wir auch aus dem geschäftlichen Ökosystem ziehen: Behandele alle als Einheit. Das entspricht der Denkweise zum Aufbau von Netzwerken. Mit dem Zero-Trust-Ansatz in der IT-Security wird kein Unterschied gemacht zwischen Netzwerken für Beschäftige im Büro und im Home-Office. Alle sind eins. Abgesichert mit einem System, das für beide funktioniert. 

 

 

Dazugehörige Berichte