Risiken durch Collaboration-Tools minimieren

Die Zeiten, in denen Mitarbeiter fünf Tage pro Woche am Arbeitsplatz im Unternehmen zubrachten, gehen zu Ende. Die Zeichen stehen vielmehr auf „Hybrid Work“. Das belegen Daten der „Corona-Plattform“ des Bundeswirtschaftsministeriums. Demnach arbeiteten Mitte 2021 etwa 30 Prozent der Beschäftigten in Deutschland ganz oder teilweise im Homeoffice. Ein Grund dafür war die Corona-Pandemie. Doch es ist davon auszugehen, dass sich der Trend zu flexibleren Arbeitsmodellen weiter fortsetzt.

Für Unternehmen bedeutet dies, dass sie ihre Kommunikationslandschaft umbauen müssen. Wer von zuhause oder unterwegs aus arbeitet, benötigt Collaboration-Tools, um mit Kollegen, Kunden und Partnerfirmen Informationen auszutauschen und Dokumente zu bearbeiten. In fast zwei Drittel der deutschen Firmen ist daher während der Pandemie der Einsatzgrad solcher Werkzeuge angestiegen. Das ergab die Untersuchung „Sichere Collaboration – Neue Arbeitswelt bringt Gefahren“, welche die Technologieberatung Techconsult mit Unterstützung von Mimecast erstellte. Besonders beliebt sind Microsoft Teams (70 Prozent) und die Videokonferenzlösung Zoom (35 Prozent). Firmen setzen zudem Services ein wie WhatsApp, Cisco WebEx, Slack und Skype for Business.

Ein Vorteil solcher Kommunikationsplattformen ist, dass sie ein flexibles und ortsunabhängiges Arbeiten ermöglichen. Das kommt der Effektivität zugute, etwa weil sich Beschäftigte den Arbeitsweg ins Firmenbüro sparen. Außerdem erwarten vor allem jüngere Beschäftige, dass sie zumindest einen Teil ihrer Tätigkeiten im Homeoffice erledigen können. Unternehmen, die auf einer durchgängigen Präsenzpflicht in der Firma bestehen, laufen somit Gefahr, den Wettlauf um Fachkräfte zu verlieren.

Mehr Sicherheits- und Compliance-Risiken

Doch damit Homeoffice-Konzepte und Collaboration-Tools den erhofften Nutzen bringen, dürfen mit ihnen keine erhöhten Compliance- und IT-Security-Risiken verbunden sein. Denn laut des „State of Email Security Report 2021“ von Mimecast haben auch Cyber-Kriminelle MS Teams, Zoom und Co. für ihre Zwecke entdeckt. Sie versenden beispielsweise gefälschte Einladungen zu Videokonferenzen. Gibt die Zielperson ihre Kenndaten ein, erhält der Angreifer dadurch Zugang zu deren Kontaktdaten und Kommunikationskanälen. Auf diese Weise können sich Kriminelle Zugang zum Firmennetz verschaffen und dort beispielsweise Erpressersoftware (Ransomware) platzieren.

Angreifer profitieren dabei von der Tatsache, dass viele Unternehmen während der Corona-Pandemie im Schnelldurchgang Collaboration-Lösungen implementieren mussten. Eine Folge ist, dass bei der Konfiguration Fehler auftraten. Diese sind wiederum Ansatzpunkte für Hacker. Kein Wunder, dass laut der Studie von Techconsult und Mimecast 36 Prozent der Firmen den ungeplanten Zugriff von Dritten auf vertrauliche Inhalte als Herausforderung beim Einsatz von Collaboration-Tools sehen.

Hinzu kommt der „Faktor Mensch“. Fehler bei der Bedienung und der Einsatz von zu einfachen Passwörtern machen es Angreifer leichter, sich über Collaboration-Software in das Corporate Network vorzuarbeiten.

IT-Sicherheitsrisiken beseitigen

Um solche Probleme zu vermeiden, empfehlen sich mehrere Maßnahmen. IT-Abteilungen sollten beispielsweise berücksichtigen, dass Mitarbeiter unternehmenseigene Endgeräte wie Notebooks, Tablets und Smartphones in der Praxis auch für private Zwecke nutzen. Daher ist es wichtig, die IT-Sicherheitsmaßnahmen entsprechend anzupassen. Laut der Studie von Techconsult und Mimecast setzt beispielsweise rund die Hälfte der Anwender ergänzende Sicherheitssoftware ein. Dazu zählen Lösungen, die den E-Mailverkehr und Endgeräte (Endpoints) schützen. Auch Virtual Private Networks (VPN) für die sichere Anbindung von Systemen im Homeoffice an das Firmenrechenzentrum oder eine Cloud sind unverzichtbar.

Einen Großteil dieser Sicherheitssoftware können Unternehmen mittlerweile aus der Cloud beziehen. Das hat mehrere Vorteile, etwa dass stets ein aktueller Schutz vor Cyber-Risiken verfügbar ist, der sich zudem an die jeweiligen Anforderungen des Nutzers anpassen lässt. Hinzu kommt, dass für den Betrieb der Lösungen der Serviceanbieter zuständig ist. Das entlastet die eigenen IT-Fachleute. Solche IT-Security-Services und -Produkte sollten über gängige IT-Sicherheitszertifikate verfügen, etwa ISO 27001 oder über das Qualitätssiegel des Teletrust-Verbands.

Mitarbeiter regelmäßig schulen

Doch Technik allein reicht nicht aus. Denn vielen Mitarbeitern dürfte nicht in vollem Umfang bewusst sein, welche Folgen ein fahrlässiger Umgang mit Collaboration-Anwendungen und E-Mails haben kann. Das Bewusstsein für solche Risiken lässt sich mithilfe regelmäßiger Schulungen schärfen. Mehr als ein Drittel der deutschen Firmen sieht daher laut der Untersuchung von Techconsult in Security-Awareness-Trainings ein probates Mittel. Ein solches Training findet im Idealfall jeden Monat statt, dauert nicht länger als zehn Minuten und verwendet vorzugsweise Videos. Wer dagegen seine Mitarbeiter mit langen Vorträgen „stresst“, nimmt in Kauf, dass die Effektivität der Schulung leidet.

Im Rahmen eines Security-Awareness-Trainings erfahren Mitarbeiter unter anderem, wie sie auf sichere Weise Collaboration- und E-Mails-Dienste nutzen. Außerdem erhalten sie Hinweise, wie sie mit suspekten E-Mails und Nachrichten umgehen. Das heißt beispielsweise, auf keine Internet-Links in solchen Mitteilungen klicken. Ein weiteres Thema bei solchen Schulungen ist der Umgang mit Passwörtern. User sollten beispielsweise nicht den eigenen Vornamen als Passwort verwenden und dieses nicht an Kollegen oder Familienangehörige weitergeben. Als Ergänzung können Tests dienen, also praxisorientierte Simulationen von Cyber-Angriffen wie Phishing.

Alle Messages, Unterlagen und E-Mails archivieren

Im Zusammenhang mit Remote Work und Collaboration ist außerdem ein weiterer Faktor zu beachten: Nicht nur Geschäfts-E-Mails und Dokumente müssen gesichert (Back-up) und archiviert werden. Das Gleiche gilt für Informationen, die Mitarbeiter über MS Teams, Slack oder Zoom austauschen. Nur so kann ein Unternehmen lückenlos nachweisen, dass es Compliance-Vorschriften und Datenschutzvorgaben wie die EU-Datenschutzgrundverordnung einhält.

Umsetzen können Firmen das mithilfe einer Enterprise-Archivierungslösung. Ebenso wie bei IT-Sicherheitslösungen kommen auch hier Cloud-Services in Betracht. Dies nicht nur wegen der geringeren Kosten. Back-up-Dateien und Archiv-Files, die in verschlüsselter Form auf Servern in einer Cloud lagern, sind weitgehend vor Verlust sicher und lassen sich bei Bedarf schnell wieder herstellen. Empfehlenswert ist, dass ergänzend dazu eine E-Discovery-Funktion zur Verfügung steht. Mit ihrer Hilfe können Nutzer gezielt nach bestimmten Nachrichten und Dokumenten suchen, etwa Messages und Mitschnitten von Videokonferenzen.

Damit ein solches Archivierungs- und E-Discovery-Konzept in der Praxis funktioniert, muss die Lösung alle Arten von Informationen speichern, inklusive Social-Media-Posts und der Nachrichten, die Mitarbeiter über die eingesetzten Collaboration-Plattformen austauschen. Allerdings setzt bislang weniger als ein Viertel der kleineren und mittelständischen Firmen (bis 1.000 Beschäftigte) solche Lösungen ein, so Techconsult und Mimecast. Hier ist somit noch Spielraum „nach oben“.

Fazit

Ansätze wie Remote Work erfordern nicht nur neue Formen der Kommunikation, sondern auch IT-Sicherheitslösungen, die darauf zugeschnitten sind. Solche IT-Security-Angebote sind verfügbar, vor allem über die Cloud. Sie ermöglichen es Unternehmen und öffentlichen Einrichtungen, Mitarbeitern flexible Arbeitsmodelle anzubieten und gleichzeitig einen umfassenden Schutz ihrer Daten und Anwendungen zu garantieren.

Jakob Jung

Recent Posts

Verteiltes SQL: Hochverfügbarkeit für Unternehmen

Verteiltes SQL ist die erste Wahl, wenn Unternehmen hochverfügbare, elastische und leicht skalierbare Datenbanken mit…

15 Minuten ago

Allianz für weiteres Wachstum: TIMETOACT GROUP erwirbt Transformationsexperten PKS

Führender Anbieter von IT-Dienstleistungen für Mittelständler, Konzerne und öffentliche Einrichtungen im DACH-Raum erwirbt Software-Transformationsexperten.

3 Stunden ago

CrowdStrike: Verbreitung von Linux-Malware nimmt zu

Das Plus liegt im Vergleich zu 2020 bei rund 35 Prozent. Am häufigsten kommen die…

19 Stunden ago

Auch moderne Smartphones von Sicherheitslücken in 2G-Netzwerken betroffen

Google bietet nun in Android 12 grundsätzlich die Option, 2G-Netze nicht zu nutzen. Die EFF…

20 Stunden ago

Microsoft: Gegen Ukraine eingesetzte Malware ist keine Ransomware

Sie ersetzt den Master Boot Record durch eine Lösegeldforderung. Die Malware besitzt jedoch keine Funktion,…

2 Tagen ago

ASM hilft Risiken priorisieren

Die Marktforscher von Forrester erklären das Thema Attack Surface Management (ASM) zum neuen Trend aus.…

2 Tagen ago