Compliance & Governance

Mitarbeiter als Hindernis?

31.10.2019 von Holger Fleck

Tools für Compliance, Governance und Sicherheit führen zu neuen Arbeitsabläufen. Werden Mitarbeiter nicht zeitnah eingebunden sind sie eher hinderlich als hilfreich.

In der Cloud wachsen Unternehmen kontinuierlich enger zusammen, sodass geschäftliche sowie private Daten deutlich einfacher übermittelt werden können. Tools zur Einhaltung von Sicherheits-, Governance- und Compliance-Richtlinien gibt es bereits und sie etablieren sich zunehmend. Dennoch zeigen insbesondere die immer wieder auftretenden Datenskandale, die nicht selten auf Nutzerfehler zurückzuführen sind, dass eine Diskrepanz zwischen den Möglichkeiten und der Nutzung der Tools - beziehungsweise der Umsetzung der Regeln in den Unternehmen - besteht. Häufig werden die Bedürfnisse der Mitarbeiter bei der Implementierung der Richtlinien zu wenig berücksichtigt, so dass diese versucht sind, eben jene "hinderlichen" Richtlinien zu umgehen. Dies geschieht jedoch keinesfalls aus böser Absicht - viel mehr versuchen sie so, ihre Arbeit möglichst schnell und unkompliziert zu erledigen.

Nur wer den Faktor Mensch nicht vergisst, kann Sicherheit und Compliance dauerhaft gewährleisten.
Foto: TierneyMJ - shutterstock.com

Um diesem Verhalten entgegenzuwirken, ist es wichtig, bereits bei der Konzeption und der Einführung von Governance-Regeln den Faktor Mensch zu berücksichtigen. Die Regeln sollten die Arbeit der Mitarbeiter unterstützen und nicht behindern. Nur dann können Mitarbeiter den Sinn und Zweck der Maßnahmen verstehen und mittragen, die Vorgaben umsetzen und durch Vorschläge aktiv optimieren.

Governance - Integrative Security

Ein großes Risiko besteht dann, wenn Daten auf unsicheren Datenspeichern abgelegt werden. Dateien in einer Cloud oder auf einem zentral verwalteten Server hingegen sind viel einfacher zu sichern als auf lokalen Datenträgern wie USB-Sticks, die leicht zu verlieren sind und im Normalfall keinen Schutz beinhalten. Damit Mitarbeiter diese auch nutzen, müssen die Ablageorte jedoch einfach zu erreichen sein. Das Standard-Verzeichnis jedes Mitarbeiters sollte ein Netzlaufwerk sein. In Office 365 können OneDrive for Business beziehungsweise SharePoint-Bibliotheken als Favoriten in dem Windows Explorer genutzt werden und die speziellen Windows-Verzeichnisse (Download, Desktop) auf Server oder Cloud-Speicherorte gemappt sein.

Eine weitere Sicherheitslücke entsteht oft durch Anmeldevorgänge an den unterschiedlichen Diensten. Die Wahl des richtigen Passwortes fällt vielen schwer, deswegen nutzen Mitarbeiter häufig einfache und sehr ähnliche Passwörter. Bei der Einführung von Diensten sollte daher darauf geachtet werden, dass die Systeme mittels Single Sign-On erreicht werden können. Besonders kritische Systeme sollten über eine Multi-Faktor-Authentifizierung abgesichert sein. Auch wenn die erstmalige Anmeldung dadurch komplexer wird, muss der Anmeldeprozess nur einmal durchlaufen werden.

Compliance trifft Askese

Bei der Benutzung von Werkzeugen und Services ist die Performance ein nicht zu unterschätzender Faktor. Ist diese nicht zufriedenstellend, werden Mitarbeiter mitunter kreativ, um lästigen Mehraufwand oder Zeitverzögerungen zu vermeiden. In Einzelfällen ist es sinnvoller, IT-Anwendungen und Vorschriften wie die Compliance-Regeln auf das Wesentliche zu reduzieren.

Selfservices, mit deren Hilfe Mitarbeiter beispielsweise einen Projektraum beantragen können, stellen kein großes Hindernis dar, wenn sie ein schnell auszufüllendes Formular besitzen. Derartige Selfservices lassen sich mit wenig Aufwand erstellen und bieten einen großen Mehrwert gegenüber der Ablage solcher Dateien in einem einfachen Ordner in einem Netzlaufwerk. So können beispielsweise für einen verwalteten Projektraum eine flexible Zugriffsverwaltung, Backup und eine Archivierung eingerichtet werden. Ein Ablaufdatum für diesen Projektraum führt dazu, dass dessen Notwendigkeit immer wieder geprüft werden muss. Nicht mehr genutzte Räume werden dadurch erkannt und es sind keine unnötigen Ressourcen belegt. Zudem vereinfacht eine angepasste Übersicht oder Suchseite den Zugriff auf die Dateien: Das lästige Durchklicken in tief verschachtelte Ordner entfällt.

Governance ist gut - Kontrolle ist besser

Unabhängig davon, ob die Mitarbeiter über alle Maßnahmen wie Sicherheits-, Governance- und Compliance-Richtlinien in Kenntnis gesetzt wurden, sind Sicherungs- und Kontrollmechanismen unerlässlich. Eine Maßnahme, die in jedem Fall eingerichtet werden sollte, ist das Protokollieren von Dateizugriffen und anderen Ereignissen nach zuvor festgelegten Kriterien. Dabei ist eine Prüfung, welche Ereignisse beispielsweise aus sicherheitsrelevanten Aspekten wirklich festgehalten werden sollten, anzuraten. Die Protokollierung arbeitet im Hintergrund und beeinträchtigt nicht die Arbeitsweise der Mitarbeiter. Da über dieses Dokument jedoch das Verhalten der einzelnen Mitarbeiter detailliert analysiert werden kann, ist es wichtig, die entsprechenden Gremien für Sicherheit im Unternehmen und insbesondere den Betriebsrat aus Datenschutz- und Transparenzgründen bereits von Anfang an mit einzubeziehen.

Schreibende Zugriffe auf kritische Daten sollten in jedem Fall protokolliert werden. Falls Mitarbeiter von extern Zugriff auf solche Daten erhalten, kann es sinnvoll sein, das Protokoll mit allen An- und Abmeldevorgängen und sämtlichen lesenden und schreibenden Zugriffen intensiver im Blick zu behalten. Denn wenn Zugriffe von außerhalb des Netzwerks erlaubt sind, bietet das ein Einfallstor für Angriffe und unerlaubte Zugriffe. Dadurch können Daten leichter abfließen und in falsche Hände geraten. Auch administrative Änderungen von Systemeinstellungen und Protokollzugriffe sollten deswegen immer untersucht werden.

Während es für On-Premises-Systeme geeignete Applikationen zur Überwachung und Dokumentation von Änderungen gibt, sind bei in der Cloud agierenden Systemen diese Sicherheitsstrukturen bereits integriert. Letztere erlauben nicht nur das regelmäßige Auswerten der Protokolle, sondern werden auch automatisch aktiv, wenn bestimmte Ereignisse erfolgen. So können zum Beispiel Administratoren oder Compliance-Verantwortliche per Mail über wichtige Ereignisse - beispielsweise unerlaubte Zugriffe von Hackern - informiert werden. So können umgehend entsprechende Maßnahmen nach einem zuvor festgelegten Reaktionsplan ergriffen werden. Ferner sollten Auswertungen zu definierten Themen automatisch generiert und von verantwortlichen Personen kontrolliert werden.

Roundtable Endpoint Security Management

Roundtable Endpoint Security Management
Diverse Experten aus der Industrie debattierten beim COMPUTERWOCHE-Roundtable "Endpoint Security Management" über Trends in diesem Umfeld. Im Folgenden lesen Sie die wichtigsten Kernaussagen der Diskussionsteilnehmer...

Martin Weiß, Sophos
"Auf Endpoint-Ebene stellt der Faktor Mensch noch immer das größte Risiko dar. Sobald ein Mitarbeiter Neuerungen im Betrieb als störend identifiziert, wird die Nutzung dieser Technologie erst mal kritisch gesehen. Die Folge ist oft die Entstehung von Schatten-IT und damit von Endpunkten, die noch schwerer zu kontrollieren sind. Schließlich sind alle Geräte im System potenzielle Einfallstore. Eine Verbesserung der Sicherheit geht daher nur gemeinsam – Sensibilisierung ist hier das passende Schlagwort."

Maik Wetzel, ESET
"Der 'Security by Design'-Ansatz ist gerade in Zeiten wachsender Komplexität noch zu stark unterrepräsentiert. Viele Unternehmen setzen Systeme ein, bei denen Funktionalität und nicht Sicherheit im Fokus stand und die daher per se nicht sicher sind. Das bedeutet: Zuerst wird investiert und modernisiert und erst danach an die Sicherheit gedacht. In Zeiten von IoT, in denen sogar eine Leuchtdiode einen Endpoint darstellen kann, müssen aber entsprechend ganzheitliche Systeme von Anfang an mitgedacht werden. Das verlangt nach mehr Berücksichtigung von IT-Sicherheitsaspekten bei der Systemplanung und Forensik und einer offenen Herangehensweise an Themen wie KI und Machine Learning, um auf datengetriebene Prozesse auch mit datengetriebenen Security-Konzepten zu reagieren."

Matthias Canisius, SentinelOne
"Die Zukunft der Endpoint Security dreht sich vor allen Dingen um eine Frage: Wie sehr werden wir in der Lage sein, das Verhalten bisweilen unbekannter, neuer Bedrohungen auf Endpoints zu analysieren und dann auch entsprechend zu reagieren – bevor diese durchschlagen? Als Endpoint gilt dabei alles, was in irgendeiner Form kommuniziert, also Informationen sendet oder/und empfängt, vom kleinsten Endgerät bis hin zu jedem Menschen in einem Netzwerk. Das schafft eine gigantische Menge an potenziellen Einfallstoren, die wir nur mithilfe autonom agierender Systeme kontrollieren können."

Thomas Schmidt, Capgemini
"Das Security-Verständnis wandelt sich gerade deutlich – weg von der klassischen und hin zu einer holistischen Sichtweise. Wo es früher reichte, einfach Mauern um ein Gesamtsystem herum zu ziehen, besteht heute die Kunst eher darin, Anomalien aus unzähligen Daten zu erkennen und das Schließen einer Sicherheitslücke mit den Geschäftsprozessen eines Unternehmens in Einklang zu bringen. Das kann zu einem bestimmten Anteil durch KI-Technologien gelöst werden, in letzter Instanz wird es aber immer darauf ankommen, den Menschen mitzunehmen."

Udo Schneider, Trendmicro
"Alles, was in irgendeiner Form mit dem Gesamtsystem kommuniziert, kann als Endpoint betrachtet werden und hat einen entsprechenden Schutzbedarf. Absolute Sicherheit gibt es dabei nicht. Diese Erkenntnis führt gerade zu einem Bewusstseinswandel: weg von der reinen Prävention hin zur angemessenen Reaktion bei Vorfällen. Hier ist es vor allem wichtig, Nutzer nicht zu sanktionieren, sondern sie zu ermutigen, ein Fehlverhalten auch wirklich zu melden. Nur so können die notwendigen Erkenntnisse überhaupt erst generiert werden."

Rüdiger Weyrauch, FireEye
"Aktuell dauert es im Schnitt über 100 Tage, bis ein Sicherheitsvorfall überhaupt bemerkt wird! Um der wachsenden Komplexität von Bedrohungen gerecht zu werden, braucht es Ansätze, die den Endpoint verstärkt mit in den Blick nehmen. Damit kann dieses Zeitfenster im besten Falle verkürzt werden, und man hat zusätzlich die Möglichkeit, neben der schnelleren Erkennung auch investigative Untersuchungen und Forensik durchführen zu können."

Frank Limberger, Forcepoint
"Wer den Normalzustand nicht kennt, merkt auch nicht, wenn Anomalien auftreten. Diese mittels Behavior Analytics zu erkennen ist aber der Kern jeder wirkungsvollen Endpoint Security. Das Verhalten des Endpoints zu verstehen spielt die entscheidende Rolle. Denn wie unbekannt ein Schadcode auch sein mag, er erzeugt Anomalien dort, wo er ausgeführt wird. Der Einsatz Künstlicher Intelligenz bietet bei der Suche nach Verhaltensabweichungen die große Chance, aus Millionen einzelner Ereignisse die Anomalien mit dem höchsten Gefahrenpotenzial zu ermitteln. Die finale Entscheidung, wie mit einer Bedrohung umgegangen wird, liegt dennoch immer beim Menschen."

Dokumentation für mehr Sicherheit

Natürlich verhindern Protokolle nicht unerlaubte Arbeitsschritte. Sie schaffen jedoch ein Sicherheitsbewusstsein und machen das Thema Compliance für Mitarbeiter greifbarer - unüberlegte Handlungen werden dadurch minimiert. Über das Protokollieren hinaus wird empfohlen, einige regulierende Sicherungsmaßnahmen einzurichten:

Passwörter, Freigaben und Projekträume sollten automatisch auslaufen und somit regelmäßig aktualisiert sowie die weitere Verwendung geprüft werden.
Vor dem Verändern und Löschen von wichtigen Daten oder Informationen, wie der Buchung eines Projektraumes, sollten separate Sicherheitsabfragen in Form einer Bestätigung per Mail eingerichtet werden.

Im Microsoft-Umfeld können hier mittels Data Loss Prevention oder auch Azure Information Protection Policies flexibel Regeln definiert werden, um unbeabsichtigtes oder mutwilliges Fehlverhalten zu verhindern.

Zentraler Ansatz bei der sicheren Dokumentation von Daten ist immer, dass Dateien und Informationen klassifiziert werden. Das kann automatisch durch definierte Regeln oder auch manuell durch Zuordnung eines Labels an ein Dokument erfolgen. Diese Kennzeichnung ist dauerhaft bei Daten wie Word-Dokumenten oder E-Mails als Meta-Information gespeichert und zeigt unabhängig vom Ablageort die Schutzbedürftigkeit der Daten an. Bei einer manuellen Klassifizierung müssen die Labelnamen einfach und ansprechend sein und die Bedeutung muss von Beginn an klar definiert werden. In einem regelmäßigen Turnus sollte die Nutzung der Labels geprüft werden, damit diese gegebenenfalls angepasst werden können.

Governance & Compliance - Mitarbeiter mitnehmen

Ganz ohne Änderungen der Arbeitsabläufe lässt sich die Sicherheit der Daten in keinem Unternehmen erhöhen. Zudem sind immer Regeln und Vorgaben vorhanden, die sich nicht über Dienste automatisieren lassen. Damit Mitarbeiter diese Vorschriften schnell in Ihren Arbeitsalltag integrieren können, ist ein Verständnis sowohl für die Maßnahmen als auch für den Hintergrund wichtig.

Daher sollten diese nicht nur in den Mitarbeiterrichtlinien veröffentlicht, sondern bei der Einführung transparent kommuniziert werden. Je nach Unternehmenskultur kommen unterschiedliche Optionen in Frage, beispielsweise durch Aushänge und Plakate, über Ankündigungen im Intranet in Form von Neuigkeiten oder Tipps des Tages mit Text oder Videos. Auch Team-Meetings oder Info-Veranstaltungen eignen sich gut. Besonders wichtige Aspekte lassen sich in Workshops, einmaligen oder regelmäßigen Online Trainings gut vermitteln. Insbesondere bei umfangreichen Veränderungen im Unternehmen, sei es durch die Einführung neuer Tools zur Datensicherheit oder Systemüberwachung, empfiehlt es sich, die Marketing-/Kommunikationsabteilung einzubeziehen und bereits frühzeitig vor Inkrafttreten der neuen Richtlinien klar und transparent über die Planungsstände zu berichten. Ein Hin- und Her von Anweisungen wäre kontraproduktiv. (fm)