Produktivität wichtiger als IT-Sicherheit?
Kann man Sicherheit und Produktivität überhaupt gegeneinander abwägen? Gemeinsam mit den Experten von techconsult hat baramundi das Cybersecurity-Niveau im Bereich der Operational Technology (OT) genauer unter die Lupe genommen.
Die Ergebnisse der daraus entstandenen Studie zeigen, dass Unternehmen aller Größen in der Vergangenheit bereits Opfer von Angriffen auf die Produktionsinfrastruktur wurden. Ein Problem: Vor allem bei kleineren und mittelgroßen Industrieunternehmen mangelt es an Sicherheitskonzepten und einer dazugehörigen technischen Ausstattung. Aus diesem Grund bleiben Angriffe auf Produktionsinfrastrukturen möglicherweise unbemerkt, so dass ein Gefühl trügerischer Sicherheit entstehen kann.
Aber nicht nur im OT-Umfeld sind Sicherheitsstrategien und vor allem auch ihre Umsetzung von größter Bedeutung, sondern auch in der IT. Unternehmen aller Größen und Marktsegmente müssen
heute darauf achten, ein generelles Konzept für ihre Sicherheit zu entwickeln, das nicht nur die Architektur der eigenen IT-Landschaften umfasst, sondern wirklich jeden individuellen PC
sowie jedes mobile Gerät, das Zugriff auf irgendeine Stelle im Unternehmensnetzwerk hat.
Sicherheit vs. Produktivität? Ein klares JEIN!
Daraus ergibt sich allerdings eine Herausforderung, über die sich die SecOps in den Unternehmen oft zu wenig Gedanken machen: der Einfluss, den Sicherheitsmaßnahmen auf die Produktivität haben können. Sehr strenge Mechanismen schränken Anwender möglicherweise oft in ihren Arbeitsprozessen ein. Der sich hier anbietende Rückschluss “Je weniger Sicherheit, desto produktiver” ist natürlich zu kurz gedacht – das liegt auf der Hand. Trotzdem bleibt IT-Security immer ein Spagat zwischen Sicherheit auf der einen Seite und komfortabler uneingeschränkter Nutzung auf der anderen Seite.
Dazu ein Beispiel: Jede/r Anwender/in will in der Regel den Job gut und zügig erledigen. Je weniger Administratives zu erledigen ist, desto mehr kann man sich auf die eigentlichen Aufgaben konzentrieren. Werfen wir einen kurzen Blick in die Praxis - für viele Arbeitnehmer in Deutschland beginnt der Tag üblicherweise so:
- Drücken des Startknopfes am PC,
- Eingabe der PIN für Bitlocker,
- Booten des Rechners,
- Eingabe des Passwortes (für das heute sinnvollerweise immer strengere Vorgaben gelten – es müssen Groß- und Kleinbuchstaben genauso vorhanden sein wie Ziffern und Sonderzeichen, und das Ganze darf nicht kürzer als acht oder zehn Zeichen lang sein).
Schon von diesem täglichen Prozedere sind viele genervt. Und beginnt nach dieser Anmeldung die Arbeit? In der Regel nein, nicht ganz! Es folgt auch noch das Laden des individuellen Nutzerprofils entsprechend der Gruppenrichtlinien. Ach ja, über Nacht hat die IT auch noch Software-Updates bereitgestellt, die noch schnell eingespielt werden. Zeit also, sich erst noch einmal einen Kaffee zu holen, bevor der Arbeitstag richtig starten kann! Nach der Rückkehr ist der Rechner auf dem neuesten Stand und damit gleich sicherer, denn ein paar Schwachstellen in Software XYZ wurden durch das Update behoben.
Macht ein solcher Start des Arbeitstages Arbeitnehmer glücklich? Wohl eher nicht, denn die ersten Minuten haben nicht unbedingt das Gefühl hinterlassen, etwas zum Erfolg meiner Firma beigetragen zu haben.
Die vielen Facetten der Sicherheit
Der Umkehrschluss “Wir lassen all das weg und jede/r ist sofort produktiv?” ist natürlich ebenfalls nicht dienlich. Dem Chaos wären Tür und Tor geöffnet und es wäre nicht nur die für viele Anwender doch häufig abstrakte IT-Sicherheit gefährdet, sondern konkret genau auch jene Produktivität, die sie gern liefern würden. Und dabei geht es keineswegs nur um die vermeintliche E-Mail des Prinzen aus Nigeria, der im Katzenfoto oder via Link irgendwelche Malware auf dem Rechner platzieren will.
Es geht beispielsweise auch um Zugriffsrechte: Viele Daten im Unternehmen sind sensible Daten, die besonders schützenswert sind. Schließlich gehen meine privaten Arbeitnehmerdaten nicht alle Kollegen etwas an und auch nicht jede/r Mitarbeiter/in des Unternehmens benötigt Einblick in die Finanzen oder in geistiges Eigentum wie Patente.
Vom mobilen Arbeiten bis hin zum Intellectual-Property-Schutz
Darüber hinaus spielen auch die veränderten Formen des Arbeitens heute eine wichtige Rolle – vom Homeoffice bis hin zur mobilen Einbindung von Außendienstmitarbeitern. Wie lasse ich als Unternehmen meinen Angestellten also auch unter solchen “Remote”-Bedingungen sicheren technischen Support zukommen?
Fehlen alle diese Mechanismen, ist die scheinbar durch weniger Sicherheitsadministration gewonnene Produktivität in höchstem Maße gefährdet. Dass nicht blockierte Malware komplette IT-Infrastrukturen über Tage und Wochen lahmlegt ist traurigerweise längst keine Theorie mehr, sondern der Alltag der SecOps, man denke nur an WannaCry, Non Petya und andere Attacken.
Das gilt genauso für den Diebstahl vertraulicher Daten und geistigen Eigentums. Das gefährdet das gesamte Unternehmen. Es liegt also auf der Hand, dass die heutzutage vielfach hochkomplex vernetzten Unternehmen besonders intelligenter Maßnahmen bedürfen, um diese und viele andere Risiken zu minimieren. Am besten also strenge Direktiven an alle Arbeitnehmer ausgeben, dass alle Attachements von E-Mails gelöscht, alle Links in selbigen entfernt und E-Mails nur noch als Nur-Text gesendet und empfangen werden müssen/dürfen? Nun, das entspricht dem Status, der vielleicht Ende der 80er/Anfang der 90er Jahre des vergangenen Jahrtausends noch gereicht hätte.
Heute müssen Unternehmen vielmehr darüber nachdenken, wie sie für ausreichende Sicherheit auf allen Ebenen sorgen können und ihre Anwender/innen dennoch gleichzeitig weitestgehend unterbrechungs- und einschränkungsfrei arbeiten können. Moderne Software wie unsere Lösungen für die IT-Sicherheit und die OT-Sicherheit ermöglichen genau das und bieten eine zuverlässige Balance zwischen ungestörter Produktivität und höchster Sicherheit. Den risikoreichen Spagat zwischen beiden Polen brauchen Unternehmen mit den heutigen Optionen tatsächlich nicht mehr zu fürchten.