:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c4/46/c446ebd001ec134deacbecbc6c51fe45/0115211957.jpeg "Die Versorgungssicherheit von Haushalten und der Wirtschaft ist ein hohes Gut, welches es zu schützen gilt. Die aktuelle Bedrohungslage durch Cyberangriffe erschwert dieses Vorhaben jedoch. (Bild: OSORIOartist - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/64/0364674fa2ee58d04060445081ce3037/0115211734.jpeg "Mit aktuellen KI-Tools und Sicherheitsplattformen lassen sich shcon heute bis zu 70 Prozent aller Security-Vorfälle automatisiert abwickeln. Bleiben noch 30 Prozent der wirklich schwierigen Fälle, bei denen der Mensch nach wie vor selbst Hand anlegen muss. (Bild: Kaikoro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/24/772400bfb4a54a4d354988011ec4a914/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Sichere Zusammenarbeit mit internen und externen Partnern 5 Tipps für eine sichere Online-Kollaboration
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/106300/106332/65.jpg "12TTO100_Totemo_2017_ohneRand.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
Immer mehr Prozesse in Unternehmen involvieren den digitalen Austausch von Daten an interne und externe Partner. Die dabei entstehenden Datenströme müssen sicher sein. Folgende fünf Tipps helfen dabei, eine sichere Online-Kollaboration umzusetzen.
Heute ist das keine Seltenheit mehr: Per Mail wird der Quartalsbericht verschickt und anschließend mit dem Partnerunternehmen im gemeinsamen Cloud-Dokument eine Präsentation erarbeitet. Kurz vor der Mittagspause erhält der Kunde noch ein vorläufiges Angebot, das direkt in den Chat des laufenden Video-Calls hochgeladen wird.
Wir haben uns an solche Szenarien gewöhnt. Was dahintersteckt und welche Risiken damit einhergehen, machen sich die Wenigsten bewusst. Werden Teile der Online-Kollaboration durch Hackerangriffe oder fehlerhafte Bedienung kompromittiert, kann das Datenlecks nach sich ziehen. Chief Information Security Officers (CISOs) sind häufig im Zwiespalt zwischen Benutzerfreundlichkeit und Sicherheit. Der digitale Datentransfer soll einfach in der Handhabung sein, ohne dass Kompromisse bei der Sicherheit notwendig werden – und das über zahlreiche und unterschiedliche Kanäle hinweg. Wenn CISOs bereits in der Planung folgende fünf Tipps berücksichtigen, können sie diese Aufgabe bewältigen und die Risiken der Online-Kollaboration minimieren.
Tipp 1: Transparenz schaffen
Was man nicht sehen oder messen kann, kann man nicht verwalten. Wer den Datenaustausch absichern möchte, muss wissen, welche Daten wo und von wem zu wem fließen. Wenn sich zweifelsfrei zuordnen lässt, woher eine Information kommt, was sie aussagt und warum sie an einen bestimmten Punkt geschickt wurde, lässt sie sich kontrollieren und schützen.
Einfach wäre es, ließen sich alle Daten über einen einzigen Dienst austauschen. In der Praxis ist das jedoch unmöglich. Mitarbeiter benötigen verschiedene Funktionalitäten und Kanäle, abhängig von Anlass und Ziel eines Datenaustausches. Um der Transparenz gerecht zu werden, was durch Datenschutzverordnungen auch aus rechtlicher Sicht immer wichtiger wird, müssen alle Dienste, Absender und Empfänger, aber ebenso Endpunkte sowie Speicherorte berücksichtigt werden. Überall wo Daten freigegeben, geteilt oder gemeinsam bearbeitet werden, muss eine Nachverfolgung möglich sein, um unbefugte Zugriffe aufzudecken und zu unterbinden.
Tipp 2: Datenschutzverstößen vorbeugen
In Unternehmen gibt es Perimeter, die von außen auf die digitale Infrastruktur wirken. Dazu zählen E-Mail und Data-Sharing-Dienste. Verwaltungsanwendungen und Datenquellen wie interne Dashboards wirken als Perimeter von innen. Über beide Arten von Perimeter können sensible Daten ausgetauscht werden. Es ist essenziell, Datensicherheit zu gewährleisten.
Das bedeutet einerseits, dass nur Entitäten mit entsprechender Berechtigung auf Daten zugreifen oder sie verändern dürfen. Hier spielt auch die Benutzerfreundlichkeit mit hinein. Personen, die mit den Daten arbeiten, sollen nicht durch das hohe Sicherheitsniveau eingeschränkt werden. Verfahren wie die Multifaktor-Authentifizierung (MFA) oder Single Sign-on (SSO) helfen dabei, dass sich Nutzer zweifelsfrei authentisieren und ihre eigenen Berechtigungen nachweisen können.
Doch auch das Medium kann zur Schwachstelle werden. Sind Daten beispielsweise in einer Public Cloud gespeichert, gibt das Unternehmen einen Teil seiner Souveränität aus der Hand. Bei geschäftskritischen Informationen kann es sich daher lohnen, auf einen lokalen Speicher oder Private-Cloud-Lösungen zurückzugreifen.
Außerdem ist es ratsam, Daten Ende-zu-Ende zu verschlüsseln. Eine verschlüsselte Information, die nur von demjenigen entschlüsselt werden kann, für den sie gedacht war, bleibt sicher, auch wenn sie von unbefugten Dritten abgefangen wird. Das Gleiche gilt für gespeicherte Daten. Können sie nur mit einem bestimmten Schlüssel geöffnet werden, kommen unbefugte Dritte nicht weiter, wenn sie die Datei, nicht aber den Schlüssel haben.
Tipp 3: Vertraulichkeit herstellen
Vor unberechtigten Zugriffen schützen Firewalls, Antivirenprogramme und Authentifizierungen. Was ist aber, wenn über einen berechtigten Zugang Schaden angerichtet wird? Dabei muss der betroffene Nutzer nicht einmal selbst böse Absichten hegen. Wenn er Opfer von Identitätsdiebstahl wurde, kann es sein, dass er gar nicht weiß, was über seine Zugriffsberechtigung gemacht wird. Um das Risiko zu minimieren, dass ein kompromittierter Zugang Schaden anrichtet, sollten CISOs genau überlegen, wer welche Berechtigungen erhält. Ein HR-Mitarbeiter muss beispielsweise keine Angebotsformulare für Kunden bearbeiten können. Und ein Vertriebler sollte selbstverständlich keinen Zugriff auf die Personalakten haben.
Für die Umsetzung müssen einzelnen Rollen anhand ihres Tätigkeitsprofils Rechte zugeordnet werden. Außerdem sollte es einfach sein, diese Berechtigungen von einer zentralen Stelle aus zu verwalten. Vertraulichkeit gilt nicht nur für die Nutzer, sondern ebenfalls für die Daten. Über Metadaten wie Typ, Größe und Herkunft lässt sich zum Beispiel festlegen, wo im System sie sein sollten und dürfen und wo nicht. Zum Beispiel hat eine EXE-Datei in einem Archiv für Geschäftsberichte, die alle als PDF gespeichert sind, nichts verloren.
Tipp 4: Benutzerfreundlichkeit gewährleisten
Da ein standardisierter, sicherer Datenverkehr nicht von einem einzelnen Kanal abgedeckt werden kann, müssen CISOs die Bedürfnisse der Belegschaft analysieren. Welche Kommunikationskanäle benötigen die Mitarbeiter? Diese müssen sowohl bereitgestellt als auch möglichst benutzerfreundlich gestaltet werden.
Die Anforderung an die Benutzerfreundlichkeit illustriert die E-Mail-Verschlüsselung. Diese schützt Inhalt und Anhänge von E-Mails. Dazu müssen jedoch öffentliche und private Schlüssel aller Anwender im Unternehmen sowie die öffentlichen Schlüssel aller externen Empfänger verwaltet werden. Darüber hinaus sollten alle Anwender innerhalb des Unternehmens idealerweise alle Verschlüsselungsstandards beherrschen, um mit allen externen Empfängern kommunizieren zu können. Denn die etablierten Standards sind untereinander nicht kompatibel. Verschlüsselung ist aufwendig und muss im Hintergrund erfolgen. Andernfalls versenden die meisten Mitarbeiter ihre Nachrichten einfach unverschlüsselt.
Ein ähnlicher Fall liegt vor, wenn die von einer Organisation unterstützten Kanäle unvollständig sind. Wenn ein Nutzer beispielsweise keine Möglichkeit hat, eine große Datei über einen abgesicherten Server freizugeben, dann wird er auf kostenfreie Cloud-Speicher oder vergleichbare Angebote ausweichen. Diese Schatten-IT entzieht sich jedoch der Kontrolle der IT-Sicherheit des Unternehmens – im schlimmsten Fall drohen zusätzlich Verstöße gegen gesetzliche Datenschutzrichtlinien und Strafen.
Tipp 5: Revisionsfähigkeit mitdenken
Die Daten und das geistige Eigentum eines Unternehmens zu schützen, empfiehlt sich von selbst. Aufgrund von nationalen und internationalen Richtlinien sowie Verordnungen müssen CISOs diesen Schutz jedoch auch nachweisen können. Deshalb macht es Sinn, von Anfang an daran zu denken, das Sicherheitskonzept für die Online-Kollaboration revisionssicher zu gestalten. Bei einem Firmenaudit durch eine Zertifizierungsstelle oder eine Behörde müssen die Maßnahmen alle Compliance-Anforderungen erfüllen. Hier spielt die Transparenz wieder eine große Rolle. Je transparenter die Prozesse sind, desto besser können sie dokumentiert und auditiert werden.
Online-Kollaboration und der digitale Datenaustausch gehören zum Alltag in Unternehmen. CISOs benötigen ein Sicherheitskonzept, um die Unternehmensdaten zu schützen. Bereits bei der Planung können sie viele Aspekte berücksichtigen, um die Risiken der digitalen Zusammenarbeit für ihre Datensicherheit zu minimieren. Sinnvoll ist, eine Plattform zu etablieren, auf der alle digitalen Kommunikations- und Sharing-Kanäle zusammenlaufen und die Daten in einem Dashboard visualisiert werden. Dann steht einer sicheren und nachvollziehbaren Zusammenarbeit mit internen und externen Partnern nichts im Weg.
Über den Autor: Marcel Mock ist VP Technology and Solutions bei der Totemo AG.
(ID:48503499)
:quality(80)/p7i.vogel.de/wcms/4b/ff/4bffe00ab0372d5344ebd5d27bb02df3/0108980699.jpeg "In einer Zeit, in der die Cybersicherheit zum entscheidenden Thema geworden ist, sind APIs oft das schwächste Glied in IT-Systemen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/f7/7bf732c96a478fe5eeeea05b4eb1d4f2/0112957009.jpeg "Wir zeigen 10 wichtige Tipps, wie man mit der PowerShell ganz einfach Daten verschlüsselt. (Bild: Alex - stock.adobe.com)")