Security

Was sicheres Arbeiten in der Cloud bedeutet

Remote und Hybrid Work haben sich nach COVID etabliert und die Arbeitswelt nachhaltig geprägt. Vernetztes Arbeiten von überall aus mit unterschiedlichsten Parteien – innerhalb und ausserhalb der Organisation – und über verschiedenste Geräte ist das Modell der Zukunft.  

Möglich macht es die Cloud. Die Migration ist in vielen Unternehmen bereits im Gange oder nur noch eine Frage des Zeitpunkts. Cloudnutzer profitieren bereits von den Vorteilen gegenüber On-Premise-Systemen, erleben aber gleichzeitig auch die Zentralität von Security, Compliance, Kontrolle, Datenschutz. Diese in den Griff zu bekommen und in Einklang zu bringen, ist eine echte Herausforderung.  

Viele der Themen können nicht allein von der IT, allein vom CISO oder allein von der Legal-Abteilung bestritten werden, sondern nur im interdisziplinären Zusammenspiel. Nehmen wir beispielsweise das wichtigste Thema "Security". 

 

Oberste Priorität: sicheres Arbeiten in der Cloud 

Früher galten robuste Datensicherheit und „9 to 5“-Büroarbeit als Standard. Die Basis bildeten separate Best-of-Breed-Systeme. Heute wird von überall aus gearbeitet, mit unterschiedlichsten Geräten. Lieferanten und Partner gehen mit Fremdgeräten ins Netzwerk, Mitarbeitende über ihre privaten, teils nicht verwalteten Devices – zum Beispiel private Mobiles, die geschäftlich eingesetzt werden. Die zunehmende Vielfalt unterschiedlichster Geräte von unterschiedlichsten Nutzern muss gemanagt werden, um Risiken zu minimieren und eine sichere moderne Arbeitsweise zu gewährleisten.  

Das Leben in der Cloud ist wie der Eintritt in einen neuen Markt. Das Terrain ist anders, die Spielregeln ebenso. Es lohnt sich, auf erprobte Frameworks zu setzen – angefangen beim Zero-Trust- und „Best-Practice“-Ansatz, der unter anderem folgende Prinzipien verfolgt: 

  • Secure Productivity on any Network 

  • Secure Browsing on any Device 

  • Never Trust, always Verify 

Heute wird von überall aus gearbeitet, mit unterschiedlichsten Geräten. Das muss gemanagt werden, um Risiken zu minimieren und eine sichere moderne Arbeitsweise zu gewährleisten. 



Die gleichen Fehler treten häufig auf 

In vielen Unternehmen passieren jedoch immer wieder die gleichen Fehler bei der Sicherheit. Typisch sind zum Beispiel: 

  1. Vernachlässigung grundlegender Wartung: Backups, Disaster-Recovery-Übungen und Software-Updates oder Patching von Assets werden vernachlässigt. 

  2. Gleiche Absicherung der Cloud wie vor Ort: On-Premises-Kontrollen und -Praktiken werden 1:1 auf die Cloud übertragen, anstatt ein regelbasiertes Sicherheitssystem aufzubauen. Dabei sind die Geräte und Nutzer die Hauptfaktoren für den Entscheid, was erlaubt wird und was nicht.  

  3. Artisan Security: Der Schwerpunkt liegt auf massgeschneiderten manuellen Lösungen anstelle von Automatisierung und standardisierten Tools. 

  4. «Disconnect» im Sicherheitsansatz: Sicherheitsteams, Strategien, Technologien und Prozesse für Netzwerke, Geräte und Identity arbeiten getrennt voneinander. 

  5. Mangelnde Verpflichtung zum Lifecycle: Sicherheitskontrollen und -prozesse werden als Momentaufnahmen behandelt, anstatt sie als Teil eines kontinuierlichen Lebenszyklus zu sehen. 

 

Security by Design: Sicherheit ganzheitlich gedacht 

Security ist aber kein rein technisches Thema und auch keine Eintagsfliege. Sicherheit muss in einen grösseren Kontext gestellt werden. Rechtliche Fragen, Schulungen, Sensibilisierung der Mitarbeitenden, angepasste Abläufe und ein Adoption-Programm sind ebenso entscheidend.  

Neue Prozesse müssen etabliert und im Arbeitsalltag verankert werden, um die Weichen für ein sicheres Arbeiten in der Cloud zu stellen. Dazu gehören zum Beispiel das Monitoring neuer Cloud-Funktionalitäten, Veränderungen in der Bedienung oder Administration von Funktionalitäten, neue Einstellungen, aktualisierte Regulatorien oder Vertragsbedingungen. 

Microsoft-Cloud-Kunden erhalten monatlich zwischen 100 und 300 Benachrichtigungen ausschliesslich über technische Anpassungen. Neben diesen Updates gibt es auch einseitige Änderungen in den Verträgen und Sicherheitsdokumentationen sowie gesetzliche und regulatorische Neuerungen, die die Cloud betreffen. Den Überblick zu behalten und sich richtig zu verhalten, ist zeitintensiv und erfordert das Zusammenspiel unterschiedlichster Disziplinen. Wir vereinfachen Unternehmen diese Aufgabe und unterstützen sie dabei, mit der Cloud Schritt zu halten (mehr erfahren).  

Neue Prozesse müssen etabliert und im Arbeitsalltag verankert werden, um die Weichen für ein sicheres Arbeiten in der Cloud zu stellen.

   

Für klare Sicht in der Cloud 

Moderne Zusammenarbeit funktioniert nur, wenn sie sicher ist. Sicherheit kann man aber nur verstehen, wenn man die Collaboration-Szenarien und die unterschiedlichsten Arbeitsweisen kennt. Wir sind mit der Microsoft Cloud gross geworden, haben langjährige Erfahrung im Bereich Zero Trust für M365 und etablieren seit über 20 Jahren als Collaboration-Spezialisten moderne Arbeitsweisen in Unternehmen. Collaboration und Security denken wir als eine Einheit und vollumfassend. Wir kennen die Herausforderungen und typischen Fehler und wissen, wo man anfangen sollte und wie man das interdisziplinäre Zusammenspiel meistert.  

Sicher zusammenarbeiten mit Microsoft Teams: Insights für Ihr Business

Secure+Remote+Work+-+Business.gif

Mit der steigenden Anzahl von Microsoft-Teams-Nutzenden im Home-Office und unterwegs nehmen gleichzeitig die Fragen nach Datenschutz und Sicherheit zu. Auch bei unserer Kundschaft können wir das beobachten. Dabei kommen auf Management-Ebene immer wieder die gleichen Fragen auf. Unser CTO, Thomas Peyer, gibt Antworten.

Was versteht man heute eigentlich unter «sicher» im Umgang mit Informationen? 

Informationssicherheit ist tatsächlich eine recht komplizierte Angelegenheit, und nicht jeder stellt sich dasselbe darunter vor. Experten und Expertinnen sprechen von den folgenden drei «Schutzzielen», die zur Informationssicherheit beitragen – z. B. auch im Zusammenhang mit der DSGVO (GDPR): 

  • Vertraulichkeit, d. h. die Verhinderung der unbefugten Offenlegung von Informationen (beabsichtigt oder nicht)  

  • Integrität, d. h. die Verhinderung, dass Informationen durch Unbefugte verändert werden können (z. B. Phishing, Cyber Extortion etc.), und  

  • Verfügbarkeit, d. h. die Sicherstellung, dass die Informationen immer verfügbar sind. 

Jedes dieser Schutzziele enthält weitere Unterziele, die von unzähligen Sicherheitsmassnahmen umgesetzt werden. Ohne weiter ins Detail zu gehen, lässt sich zusammenfassen: Es ist keine triviale Aufgabe, eine hohe Informationssicherheit zu erlangen. 


Sind meine Daten mit MS Teams denn sicher? Sind sie genauso sicher wie auf dem Server in meinem Unternehmen?  

Die kurze Antwort ist: Ja! Mit der Verwendung von MS Teams sind Ihre Daten deutlich sicherer als mit einer Datenspeicherung auf Ihrem eigenen Server vor Ort. 

Gleichzeitig ist zu betonen, dass wir zwei recht unterschiedliche Dinge vergleichen. Der On-Premises-Server war in der Zeit vor dem allzeit verfügbaren Cloud-Computing ziemlich sicher – vor allem bei grösseren Unternehmen, die hohe Geldsummen in spezialisierte Sicherheitslösungen investiert hatten. Gleichzeitig ging man davon aus, dass die Arbeit zu 90 % innerhalb der Büroräumlichkeiten und innerhalb eines firmeneignen Netzwerks stattfand. Bei zahlreichen kleineren Unternehmen hingegen war die Datensicherheit eher prekär, wenn man genauer hinschaute. 

 Teams und Microsoft 365 in Kombination enthalten bereits zahlreiche Mechanismen, um die Informationssicherheit wirksam abzudecken. 


william-iven-SpVHcbuKi6E-unsplash.jpg

Heute leben wir hingegen in einer völlig anderen Realität – und diese ist durch die COVID-Pandemie noch befeuert worden. Heute können nur wenige Unternehmen davon ausgehen, dass alle Mitarbeitenden grundsätzlich nur innerhalb des Unternehmens auf Daten zugreifen. Stattdessen wollen Mitarbeitende jederzeit und auch von zuhause aus mit beliebigen Endgeräten arbeiten können. Diese immer wichtiger werdenden hybriden Arbeitsmodelle – d. h. die Kombination aus Büroarbeit mit «Remote Work» – erfordern einen besonderen Massnahmen-Mix, um Informationssicherheit zu erreichen. Teams und Microsoft 365 in Kombination enthalten bereits zahlreiche Mechanismen, um die Informationssicherheit wirksam abzudecken. 

Führt die Arbeit in MS Teams nicht zu einem viel einfacheren Abfluss von schützenswerten Daten? 

Nein, das ist nicht der Fall. Natürlich sollte man sich jederzeit seiner Aktionen bewusst sein, aber mittels gezielter Konfigurationen lässt sich ein Sicherheitsniveau erreichen, das sich noch vor wenigen Jahren nur einzelne Grossbanken leisten konnten. Davon können heute Unternehmen jeglicher Grösse profitieren. Teams ist auch deswegen eine sichere Plattform, weil alle Inhalte «an einem Ort», in einem integrierten System basierend auf Microsoft 365 liegen. Man kämpft also nicht wie früher mit unabhängigen Systemen, die alle separat geschützt werden mussten (z. B. Server, Netzwerk, Firewalls, Betriebssysteme, Identitäten, etc.). Gleichzeitig reduziert diese Integration die Komplexität und die Kosten – und erhöht die Transparenz, wenn diese benötigt wird. 

Teams ist eine sichere Plattform, weil alle Inhalte «an einem Ort», in einem integrierten System basierend auf Microsoft 365 liegen.

Wo fange ich also an, um Microsoft Teams sicher einzusetzen? 

Es gibt zwar keine Einzelmassnahme, welche absolute Sicherheit garantiert, aber manche Massnahmen haben eine besonders grosse Wirkung. So würde ich mich als Erstes um den Schutz der Benutzeraccounts und der Profile der Mitarbeitenden kümmern, um sicherzustellen, dass diese nicht missbraucht werden können (z. B. durch Multi-Factor-Schutz mit dem Mobiltelefon). 

Ein Blog-Beitrag von Thomas Peyer, CTO MondayCoffee

Ein Blog-Beitrag von Thomas Peyer, CTO MondayCoffee

Darauf folgen mehrere weitere Schritte, die konzeptionell mit der Geschäftsstrategie und den bereits bestehenden technischen Rahmenbedingungen abgestimmt sein müssen. Es braucht also eine geführte Diskussion, um die für ein Unternehmen richtige Lösung umzusetzen.  

Wie geht man aus Sicht der IT mit diesen Anforderungen um? Auch hier gibt unser CTO, Thomas Peyer Antworten: Zum Interview

Data Security: Sicher - immer und überall

unsplash.jpg

Sichere Daten immer und überall – geht das denn? Diese Frage hören wir nur allzu oft, denn viele Unternehmen haben in Zeiten der Digitalisierung Sorge, wenn es um das Thema Data Security geht. Diesem Thema möchten wir uns in diesem Blog Beitrag widmen – ausgehend von einer kurzen Geschichte. 

Thomas unglückliche Geschäftsreise 

Für Thomas steht die nächste Geschäftsreise an. In Gedanken versunken steigt er aus dem Zug, geht gelassen die Treppen vom Bahnsteig runter bis ihm auffällt, dass sein Laptop noch gemütlich im Zug auf seinem verlassenen Sitz liegt. Er springt die Treppen wieder hoch, doch vom Zug und seinem Laptop ist keine Spur mehr. Was präsentiert er nun dem Kunden? Wie kann er nun die Reise rechtfertigen? Und was ist mit den Firmendaten und Informationen, die auf dem Laptop sind? Was wenn sich jemand Zugriff verschafft?! So erwarten ihn nicht nur ein unangenehmes Gespräch mit dem Kunden, auch seinem Chef sein Missgeschick zu gestehen, wird ziemlich unschön…  

Alles verloren? Die Authenticator App als Helfer in der Not 

Man würde erwarten, dass sich Thomas genau solche Gedanken und Sorgen macht. Bei ihm war es anders. Er zückte sein Mobile, erklärte dem IT-Support seine Situation und sein Laptop wurde gesperrt.  Im nächsten Geschäft kaufte Thomas ein neues Gerät, ging ins nächste Café und verschaffte sich über das WLAN Zugang zu der digitalen Arbeitsumgebung CoffeeNet 365. Da es sich um ein fremdes Gerät handelte, musste sich Thomas bei der Anmeldung identifizieren. Der Prozess der Identifikation läuft über eine sogenannte Authenticator App, welche einen Code auf den gewünschten Kanal sendet und den sicheren Zugriff in Sekunden ermöglicht. 

Die Präsentation von Thomas war, wie auch alle anderen Dokumente, an denen er arbeitete, in einem entsprechenden Projektraum abgelegt. So konnte er ohne Probleme und wie geplant mit der aktuellsten Version beim Kunden seine Präsentation abhalten.  

Schrittweiser Ausbau von integrierter Sicherheit 

Auch in Zeiten der modernen und mobilen Arbeit, kann mit den richtigen Tools ein geschützter Zugriff auf firmeninterne Daten ermöglicht werden, immer und überall. Wie geht man als Unternehmen am besten vor? Unser Lösungsansatz: Schrittweiser Ausbau der integrierten Sicherheit: 

  1. Sicherung der Benutzer-Identität  

    Der Fokus sollte heute in der Sicherung der Benutzer-Identität liegen. Die grundlegende Infrastruktur sollte grundsätzlich für jedermann mit den minimalsten Berechtigungen offen sein. Die Sicherung des einzelnen Benutzers wird durch Überprüfung dessen Identität hergestellt. Das kann über das richtige Passwort, die Multi-Factor Authentifizierung oder über biometrische Daten (z.B. Windows Hello) erfolgen. Interne Inhalte werden über einheitlich definierte und überwachte Berechtigungsgruppen gesichert. Dabei können Berechtigungen nicht-kritischer Inhalte durch Business-Teams anstatt durch IT verwaltet werden. Um die Sicherung der Benutzer-Devices zu generieren sollte für jedes Endgerät eine Passwort-Pflicht bestehen. 

  2. Integrierte Sicherheitsfunktionen 

    Mit Microsoft 365 ist es möglich, sämtliche Elemente in einer Sicherheitskette zu einem Gesamtsystem zu verbinden. Sicherheitsfunktionen werden in die einzelnen Anwendungen integriert, aus welches eine Steigerung der Convenience für hohe Sicherheit resultiert. So wird das Gerät nach der fünften Falsch-Eingabe des Passworts automatisch gesperrt. Oder kann in bestimmten Situationen auch direkt extern gesperrt werden. Aber auch die automatische Überwachung des Benutzerverhaltens, welche mittels AI funktioniert, kann zu einer höheren Sicherheit beitragen. 

  3. Automatische Überwachung des Benutzerverhaltens 

    Die automatische Muster Überwachung (Advanced Threat Protection) gehört zu den größten Stärken des integrierten Cloud-Ansatzes. Das funktioniert mittels AI, wie z.B. durch Überwachung von Physhing-E-Mails, das Öffnen und Downloaden von Daten und unplausiblen VPN-Verbindungen. Solche Muster können mit automatischen Workflows verbunden werden, die ohne großen Aufwand zu höherer Sicherheit führen, wie z.B. durch Sandboxing von externen E-Mails und deren Attachments oder automatische Alerts und Sperrungen.   

Für uns steht fest: Das Thema Data Security sollte von Unternehmen systematisch und schrittweise angegangen werden. Möchten Sie das Thema für Ihr Unternehmen vertiefen? Wir beraten Sie gerne und erarbeiten gemeinsam mit Ihnen eine Roadmap für die Implementierung einer nachhaltigen Cloud-Security-Strategie.

 Thomas Peyer ist Chief Technical Officer bei MondayCoffee AG  

 

MondayCoffee

About us DE / EN

Customers DE / EN

Career DE / EN

Blog DE / EN

Impressum

 

Solutions & Services

Modern Work Solutions DE / EN

Cloud Adoption DE / EN

Cloud Security DE / EN

Teams Calling DE / EN

Process & Task Automation DE / EN

RunTheCloud DE / EN

For more: Overview DE / EN

 

Headquarter Contact

MondayCoffee AG
Grossmattstrasse 9
8902 Urdorf, Switzerland

info@mondaycoffee.com

Phone CH: +41 44 712 30 70
Phone DE: +49 89 262 089 940