Data Security

Was sicheres Arbeiten in der Cloud bedeutet

Remote und Hybrid Work haben sich nach COVID etabliert und die Arbeitswelt nachhaltig geprägt. Vernetztes Arbeiten von überall aus mit unterschiedlichsten Parteien – innerhalb und ausserhalb der Organisation – und über verschiedenste Geräte ist das Modell der Zukunft.  

Möglich macht es die Cloud. Die Migration ist in vielen Unternehmen bereits im Gange oder nur noch eine Frage des Zeitpunkts. Cloudnutzer profitieren bereits von den Vorteilen gegenüber On-Premise-Systemen, erleben aber gleichzeitig auch die Zentralität von Security, Compliance, Kontrolle, Datenschutz. Diese in den Griff zu bekommen und in Einklang zu bringen, ist eine echte Herausforderung.  

Viele der Themen können nicht allein von der IT, allein vom CISO oder allein von der Legal-Abteilung bestritten werden, sondern nur im interdisziplinären Zusammenspiel. Nehmen wir beispielsweise das wichtigste Thema "Security". 

 

Oberste Priorität: sicheres Arbeiten in der Cloud 

Früher galten robuste Datensicherheit und „9 to 5“-Büroarbeit als Standard. Die Basis bildeten separate Best-of-Breed-Systeme. Heute wird von überall aus gearbeitet, mit unterschiedlichsten Geräten. Lieferanten und Partner gehen mit Fremdgeräten ins Netzwerk, Mitarbeitende über ihre privaten, teils nicht verwalteten Devices – zum Beispiel private Mobiles, die geschäftlich eingesetzt werden. Die zunehmende Vielfalt unterschiedlichster Geräte von unterschiedlichsten Nutzern muss gemanagt werden, um Risiken zu minimieren und eine sichere moderne Arbeitsweise zu gewährleisten.  

Das Leben in der Cloud ist wie der Eintritt in einen neuen Markt. Das Terrain ist anders, die Spielregeln ebenso. Es lohnt sich, auf erprobte Frameworks zu setzen – angefangen beim Zero-Trust- und „Best-Practice“-Ansatz, der unter anderem folgende Prinzipien verfolgt: 

  • Secure Productivity on any Network 

  • Secure Browsing on any Device 

  • Never Trust, always Verify 

Heute wird von überall aus gearbeitet, mit unterschiedlichsten Geräten. Das muss gemanagt werden, um Risiken zu minimieren und eine sichere moderne Arbeitsweise zu gewährleisten. 



Die gleichen Fehler treten häufig auf 

In vielen Unternehmen passieren jedoch immer wieder die gleichen Fehler bei der Sicherheit. Typisch sind zum Beispiel: 

  1. Vernachlässigung grundlegender Wartung: Backups, Disaster-Recovery-Übungen und Software-Updates oder Patching von Assets werden vernachlässigt. 

  2. Gleiche Absicherung der Cloud wie vor Ort: On-Premises-Kontrollen und -Praktiken werden 1:1 auf die Cloud übertragen, anstatt ein regelbasiertes Sicherheitssystem aufzubauen. Dabei sind die Geräte und Nutzer die Hauptfaktoren für den Entscheid, was erlaubt wird und was nicht.  

  3. Artisan Security: Der Schwerpunkt liegt auf massgeschneiderten manuellen Lösungen anstelle von Automatisierung und standardisierten Tools. 

  4. «Disconnect» im Sicherheitsansatz: Sicherheitsteams, Strategien, Technologien und Prozesse für Netzwerke, Geräte und Identity arbeiten getrennt voneinander. 

  5. Mangelnde Verpflichtung zum Lifecycle: Sicherheitskontrollen und -prozesse werden als Momentaufnahmen behandelt, anstatt sie als Teil eines kontinuierlichen Lebenszyklus zu sehen. 

 

Security by Design: Sicherheit ganzheitlich gedacht 

Security ist aber kein rein technisches Thema und auch keine Eintagsfliege. Sicherheit muss in einen grösseren Kontext gestellt werden. Rechtliche Fragen, Schulungen, Sensibilisierung der Mitarbeitenden, angepasste Abläufe und ein Adoption-Programm sind ebenso entscheidend.  

Neue Prozesse müssen etabliert und im Arbeitsalltag verankert werden, um die Weichen für ein sicheres Arbeiten in der Cloud zu stellen. Dazu gehören zum Beispiel das Monitoring neuer Cloud-Funktionalitäten, Veränderungen in der Bedienung oder Administration von Funktionalitäten, neue Einstellungen, aktualisierte Regulatorien oder Vertragsbedingungen. 

Microsoft-Cloud-Kunden erhalten monatlich zwischen 100 und 300 Benachrichtigungen ausschliesslich über technische Anpassungen. Neben diesen Updates gibt es auch einseitige Änderungen in den Verträgen und Sicherheitsdokumentationen sowie gesetzliche und regulatorische Neuerungen, die die Cloud betreffen. Den Überblick zu behalten und sich richtig zu verhalten, ist zeitintensiv und erfordert das Zusammenspiel unterschiedlichster Disziplinen. Wir vereinfachen Unternehmen diese Aufgabe und unterstützen sie dabei, mit der Cloud Schritt zu halten (mehr erfahren).  

Neue Prozesse müssen etabliert und im Arbeitsalltag verankert werden, um die Weichen für ein sicheres Arbeiten in der Cloud zu stellen.

   

Für klare Sicht in der Cloud 

Moderne Zusammenarbeit funktioniert nur, wenn sie sicher ist. Sicherheit kann man aber nur verstehen, wenn man die Collaboration-Szenarien und die unterschiedlichsten Arbeitsweisen kennt. Wir sind mit der Microsoft Cloud gross geworden, haben langjährige Erfahrung im Bereich Zero Trust für M365 und etablieren seit über 20 Jahren als Collaboration-Spezialisten moderne Arbeitsweisen in Unternehmen. Collaboration und Security denken wir als eine Einheit und vollumfassend. Wir kennen die Herausforderungen und typischen Fehler und wissen, wo man anfangen sollte und wie man das interdisziplinäre Zusammenspiel meistert.  

​​Reguliert in der Cloud: Chancen und Grenzen​ 

Cloudbasierte Services und vernetztes Arbeiten gehören in vielen Unternehmen schon lange zur Routine. Auch in regulierten Branchen schlägt der neue Arbeitsmodus immer höhere Wellen. Dahinter steht die Hoffnung, durch die neuen Chancen effektiver zu arbeiten und Marktveränderungen besser gewachsen zu sein. Ohne die Compliance zu gefährden.  All das ist möglich – mit etwas Geduld, dem richtigen Ansatz und realistischen Erwartungen. Ein Interview mit Joachim Marte, Director Sales & Strategic Business Development.  

Joachim Marte, Director Sales & Strategic Business Development

Die Cloud-Nutzung im regulierten Umfeld – ein begehrtes Thema. Was hat sich in den vergangenen Jahren getan und wo stehen wir aktuell?  

Joachim Marte (JM): Begehrt, aber auch gescheut – viele Firmen haben immer noch grossen Respekt vor der Migration. Die Bankenwelt hat sich in den letzten Jahren massiv verändert. Institute mussten sich schneller als je zuvor an die neuen Marktbedingungen anpassen und für sich und ihre Kunden neue Geschäftsmodelle erarbeiten. Dabei waren Kryptowährungen, volatilere Aktienmärkte, instabile Wirtschaftsmärkte und vor allem die Corona-Pandemie Treiber der digitalen Innovation in Bezug auf Arbeitsmittel.  

An vielen Orten entstanden neue Herausforderungen. Die bis zu diesem Zeitpunkt sehr starren Prozesse – die gut funktioniert haben und zur Wahrung von Identität, Vermögen und Persönlichkeitsrechten notwendig sind – nun mit neuen Medien, einer neuen Art der Kommunikation und den Cloud-Komponenten anzureichern. Kunden, Mitarbeiter, Partner – alle waren auf einmal im Homeoffice und mussten auf physische Präsenz verzichten. Es musste also schnell gehen. Sehr schnell.  

Viele Banken haben sich auf die Reise in Richtung Cloud begeben, um ihre Abläufe zu verbessern, Mitarbeitenden entgegenzukommen und effizienter zu arbeiten.

Viele Banken haben sich auf die Reise in Richtung Cloud begeben, um ihre Abläufe zu verbessern, Mitarbeitenden entgegenzukommen und effizienter zu arbeiten.

  

Welche Ansätze haben sich bewährt?  

JM: Die Banken haben sich zunächst darauf konzentriert, ein Fundament für die Cloud-Nutzung zu schaffen. Eine Basis, wie die Umgebung Microsoft 365 parametrisiert werden muss, damit sie schrittweise an Anwendungsfällen der Banken angepasst und geöffnet werden kann. Sie haben sich intern und mithilfe von Fachberatungsstellen juristisch und technologisch unterstützen lassen, Konzepte ausgearbeitet und die Entscheidungsgrundlagen für die Geschäftsleitung ermöglicht.  

Anbieter wie Microsoft haben mit ihren Cloud-Diensten eine Opportunität eröffnet, diesen raschen Bewegungen und Veränderungen Herr zu werden. Dabei bildeten sich Communities zwischen Kantonalbanken, Privatbanken und anderen regulierten Unternehmen, um sich gegenseitig darin zu unterstützen, mit den neuen Themen der Cloud richtig umzugehen. 

Wo stiess man an Grenzen oder wo traf nach der Begeisterung Ernüchterung ein?  

JM: Knifflig wird’s beim Thema Kontrolle, Sicherheit und Compliance. Banken waren auf einmal damit konfrontiert, dass sie Kontrolle abgeben, externen Anbietern wie Microsoft Vertrauen schenken, ihre Türen einen Spalt öffnen und für neue Weisungen, Regelwerke und Kontrollstellen sorgen mussten.  

Das erforderte ein Umdenken und Umlernen. In der vertrauten Informatikwelt wurde auf dem klassischen Perimeter-Schutz aufgebaut, dem Prinzip der Burg: Ich baue hohe Mauern, mache es besonders schwer einzutreten, verriegle alle Zugänge oder stelle Wachposten auf. Die Bewohner der Burg empfanden dies als ausreichend, da potenzielle Angriffe eher von aussen kamen.  

Mit der Cloud-Nutzung verlängerten sich die Prinzipien des Schutzwalles hin zu Microsoft. Schützenswerte Dokumente waren auf einmal von überall auf der Welt einsehbar. Das musste unter den Bedingungen und Vorgaben der Aufsichtsorgane passieren, sicher und kontrolliert. 

Es stellte sich also die Frage: Wie genau kann ich die Vorgaben der Regulierungsbehörden einhalten, wenn ich doch Kontrolle verliere, oder sogar Dienste beanspruche, bei denen eine Gewährleistung von Business Continuity eine neue Risikobewertung mit sich bringt? Genau an dieser Stelle befinden sich die meisten der Banken aktuell. 

Die Cloud-Nutzung erfordert ein Umdenken und Umlernen.

Womit beginnt das Arbeiten in der Cloud – und welche Use Cases haben sich etabliert?  

JM: Zuerst haben sich die meisten Banken in unserem Kundenportfolio damit beschäftigt, das Fundament zu legen, Grundlagen zu erarbeiten, welche Inhalte und Informationen besonders schützenswert sind, und eine Compliance- und Governance-Strategie der Cloud adaptiert.  

Aufbauend auf diesem Fundament wurden dann einzelne Use Cases entwickelt. Simpel ausgedrückt: Ich möchte modern mittels Microsoft Teams zusammenarbeiten, Dateien sicher austauschen und gemeinsam an Lösungen arbeiten, nahtlos Homeoffice ermöglichen etc. 

Da jeder Dienst auf Basis von Use Cases dann an die ursprünglichen Schutzgedanken adaptiert werden muss, konnte man dann sehr schnell fokussiert auf dem Anwendungsfall die betroffenen Dienste diskutieren, eine Risikoanalyse abhalten und Entscheidungsgrundlagen erarbeiten. All das muss auf juristischen Abklärungen beteiligter Cloud-Datenschutzexperten gestützt sein. 

Was kann man von Vorreitern wie der St. Galler Kantonalbank lernen?  

JM: Die kurze Antwort: mutig sein, ausprobieren und dranbleiben.  

Als Vorreiterin in Sachen Modern Work arbeitet die St. Galler Kantonalbank seit 2019 mit Microsoft 365, 2022 kam Teams dazu. Damit ist sie eine der ersten Banken, die das MS-Tool für die Kommunikation nutzt. Natürlich gab es anfangs Bedenken. Die Technik war das eine, Compliance und Datenschutz das andere.  

Die Crux liegt in der sorgfältigen Prüfung und Umsetzung aller Compliance- und Datenschutz-Themen. Mit MondayCoffee hatte die Kantonalbank einen Partner, der mit technischem Knowhow, Cloud-Wissen und Best-Practices im regulierten Bereich unterstützt – bis zum Erreichen der gesetzten Ziele. 

Ausserdem müssen die Geschäftsleitung und die Mitarbeitenden von der Veränderung überzeugt sein. Die Nutzerinnen und Nutzer brauchen ausreichend Zeit für die Umstellung und sollten in einer sicheren Testumgebung alles ausprobieren können. Dann arbeiten die meisten auch effizient und vor allem gern im neuen Umfeld. 

Geschäftsleitung und Mitarbeitende müssen von der Veränderung überzeugt sein.

Wie geht die Reise weiter? Eine Zukunftsprognose.  

JM: Da die Cloud-Welt in rasantem Tempo voranschreitet, ist eine Organisation im regulierten Umfeld neu damit konfrontiert, stetig Änderungen der Cloud und Auswirkungen auf bestehende Verträge, Sicherheitseinstellungen und Schnittstellen zu verfolgen. Das mag herausfordernd klingen – gerade mit Blick auf die klassische Informatik, bei der man den Server gewartet hat und ausrechnen konnte, wie lange die Investition für eine vollständige Abschreibung in Betrieb sein musste.  

Die Vorteile der neuen Welt überwiegen mehr als je zuvor. Mit der effizienten Nutzung der Cloud kann von heute auf morgen ein komplett neuer Geschäftszweig aufgebaut werden. Die Organisation erfährt eine neue Agilität, kann von überall arbeiten und dennoch immer den Anforderungen an Compliance und Security gerecht werden.  

 

DR. WIESELHUBER & PARTNER: Die Weichen für einen effizienten, digitalen Wandel legen

WS+4.jpg
W&P Logo Vektor transparent.png
 

Dr. Wieselhuber & Partner GmbH ist ein führendes Unternehmensberatungshaus für Familienunternehmen und Tochtergesellschaften von Konzernen in München. Sie ist spezialisiert auf die unternehmerischen Gestaltungsfelder Strategie, Digitale Transformation, Business Performance sowie Restructuring und Finance.

Ausgangslage

Vor dem Hintergrund der Digitalisierung wuchs bei Dr. Wieselhuber & Partner der Wunsch, die Zusammenarbeit im täglichen Projektgeschäft auf einen modernen und aktuellen Standard zu heben. Zugunsten der Effizienz und Qualität der Prozesse sollte die bestehende Arbeitsweise in die neue Cloud-Struktur transformiert werden.

Vorgehen

Unter dem Namen WE-Net wurde die Out-of-the-Box-Lösung CoffeeNet 365 eingeführt. Zur finalen Definition der Anforderungen veranstaltete MondayCoffee Konzept- und Pilot-Workshops. Damit konnte WE-Net entlang der Anforderungen und Kenntnisse der Key User mit dem Projektfortschritt wachsen.

Resultate

Mit WE-Net ist bei Dr. Wieselhuber & Partner heute kollaboratives Arbeiten in Multi-Projektmanagement-Strukturen möglich – sowohl standort- als auch teamübergreifend. Die interne Kommunikation und der Austausch von Information ist deutlich transparenter und erfolgt in Echtzeit über einen ansprechenden Kanal, der auch gerne genutzt wird.

Data Security: Sicher - immer und überall

unsplash.jpg

Sichere Daten immer und überall – geht das denn? Diese Frage hören wir nur allzu oft, denn viele Unternehmen haben in Zeiten der Digitalisierung Sorge, wenn es um das Thema Data Security geht. Diesem Thema möchten wir uns in diesem Blog Beitrag widmen – ausgehend von einer kurzen Geschichte. 

Thomas unglückliche Geschäftsreise 

Für Thomas steht die nächste Geschäftsreise an. In Gedanken versunken steigt er aus dem Zug, geht gelassen die Treppen vom Bahnsteig runter bis ihm auffällt, dass sein Laptop noch gemütlich im Zug auf seinem verlassenen Sitz liegt. Er springt die Treppen wieder hoch, doch vom Zug und seinem Laptop ist keine Spur mehr. Was präsentiert er nun dem Kunden? Wie kann er nun die Reise rechtfertigen? Und was ist mit den Firmendaten und Informationen, die auf dem Laptop sind? Was wenn sich jemand Zugriff verschafft?! So erwarten ihn nicht nur ein unangenehmes Gespräch mit dem Kunden, auch seinem Chef sein Missgeschick zu gestehen, wird ziemlich unschön…  

Alles verloren? Die Authenticator App als Helfer in der Not 

Man würde erwarten, dass sich Thomas genau solche Gedanken und Sorgen macht. Bei ihm war es anders. Er zückte sein Mobile, erklärte dem IT-Support seine Situation und sein Laptop wurde gesperrt.  Im nächsten Geschäft kaufte Thomas ein neues Gerät, ging ins nächste Café und verschaffte sich über das WLAN Zugang zu der digitalen Arbeitsumgebung CoffeeNet 365. Da es sich um ein fremdes Gerät handelte, musste sich Thomas bei der Anmeldung identifizieren. Der Prozess der Identifikation läuft über eine sogenannte Authenticator App, welche einen Code auf den gewünschten Kanal sendet und den sicheren Zugriff in Sekunden ermöglicht. 

Die Präsentation von Thomas war, wie auch alle anderen Dokumente, an denen er arbeitete, in einem entsprechenden Projektraum abgelegt. So konnte er ohne Probleme und wie geplant mit der aktuellsten Version beim Kunden seine Präsentation abhalten.  

Schrittweiser Ausbau von integrierter Sicherheit 

Auch in Zeiten der modernen und mobilen Arbeit, kann mit den richtigen Tools ein geschützter Zugriff auf firmeninterne Daten ermöglicht werden, immer und überall. Wie geht man als Unternehmen am besten vor? Unser Lösungsansatz: Schrittweiser Ausbau der integrierten Sicherheit: 

  1. Sicherung der Benutzer-Identität  

    Der Fokus sollte heute in der Sicherung der Benutzer-Identität liegen. Die grundlegende Infrastruktur sollte grundsätzlich für jedermann mit den minimalsten Berechtigungen offen sein. Die Sicherung des einzelnen Benutzers wird durch Überprüfung dessen Identität hergestellt. Das kann über das richtige Passwort, die Multi-Factor Authentifizierung oder über biometrische Daten (z.B. Windows Hello) erfolgen. Interne Inhalte werden über einheitlich definierte und überwachte Berechtigungsgruppen gesichert. Dabei können Berechtigungen nicht-kritischer Inhalte durch Business-Teams anstatt durch IT verwaltet werden. Um die Sicherung der Benutzer-Devices zu generieren sollte für jedes Endgerät eine Passwort-Pflicht bestehen. 

  2. Integrierte Sicherheitsfunktionen 

    Mit Microsoft 365 ist es möglich, sämtliche Elemente in einer Sicherheitskette zu einem Gesamtsystem zu verbinden. Sicherheitsfunktionen werden in die einzelnen Anwendungen integriert, aus welches eine Steigerung der Convenience für hohe Sicherheit resultiert. So wird das Gerät nach der fünften Falsch-Eingabe des Passworts automatisch gesperrt. Oder kann in bestimmten Situationen auch direkt extern gesperrt werden. Aber auch die automatische Überwachung des Benutzerverhaltens, welche mittels AI funktioniert, kann zu einer höheren Sicherheit beitragen. 

  3. Automatische Überwachung des Benutzerverhaltens 

    Die automatische Muster Überwachung (Advanced Threat Protection) gehört zu den größten Stärken des integrierten Cloud-Ansatzes. Das funktioniert mittels AI, wie z.B. durch Überwachung von Physhing-E-Mails, das Öffnen und Downloaden von Daten und unplausiblen VPN-Verbindungen. Solche Muster können mit automatischen Workflows verbunden werden, die ohne großen Aufwand zu höherer Sicherheit führen, wie z.B. durch Sandboxing von externen E-Mails und deren Attachments oder automatische Alerts und Sperrungen.   

Für uns steht fest: Das Thema Data Security sollte von Unternehmen systematisch und schrittweise angegangen werden. Möchten Sie das Thema für Ihr Unternehmen vertiefen? Wir beraten Sie gerne und erarbeiten gemeinsam mit Ihnen eine Roadmap für die Implementierung einer nachhaltigen Cloud-Security-Strategie.

 Thomas Peyer ist Chief Technical Officer bei MondayCoffee AG