Experten sehen eine vertrauensvolle Kooperation der CISOs mit ihren Usern im Homeoffice notwendig. Technik kann dabei bis zu einem gewissen Grad unterstützen.

»Technologie verändert seit vielen Jahren unsere Arbeitsplätze – bislang allerdings nicht zuhause«, sagt Wendy Nather, Global Head of Advisory CISOs bei Cisco Security. Der rasante Anstieg des Homeoffice in der Pandemie bringe nun auch Veränderungen für die IT-Sicherheit. Hierarchien in der Weitergabe von Compliance-Anforderungen und Sicherheitsregeln würden vielorts nicht mehr funktionieren und auch Technologie sei nicht immer die richtige Antwort auf Bedrohungen. »Die NutzerInnen können nicht immer auf Anweisungen ihres Unternehmens warten, was in IT-Sicherheitsfragen zu tun ist«, appelliert sie am mehr Eigenverantwortung, aber auch trotzdem weiterhin klaren Regeln. Es gelte prinzipiell das Modell der Kontrolle in Unternehmen zu hinterfragen. »Kontrolle kostet prinzipiell einmal Geld«, sagt Nather.

Können Teile der Sicherheit auch an Nutzer, Partner und Enduser ausgelagert werden? Sie weiß: Ein Zuviel an Bevormundung lässt Menschen auch unvorsichtig werden. Wer das Thema Sicherheit nicht ständig lebt und achtsam ist, läuft in Gefahr auf Attacken hereinzufallen – auch in vermeintlich technisch sicheren Umgebungen. Ist die Kontrollschraube zu stark eingestellt, werden User auch kreativ, diese zu umgehen – etwa in der Nutzung externer Anwendungen, die an der IT-Abteilung vorbei von der Fachabteilung mit der Kreditkarte bezahlt werden.

CISOs verlieren schon länger die Kontrolle über die genutzten Geräte ihrer User, beobachtet auch Nathers Cisco-Kollege Richard Archdeacon. Sicherheitsverantwortliche würden heute mit den Fachabteilungen eng zusammenarbeiten, für sinnvolle und auch leistbare Sicherheitsstrategien. »Security ist eine Frage des Business geworden«, betont der Experte.

Cisco will auf diesen Trend bei seinen Lösungen Bedacht nehmen. »Wir gehen weg von dem Bild einem zentralen Kon­trollpunkt, vom dem aus Policies, Monitoring-Aufgaben und Aktivitäten gesteuert werden. In Zukunft werden wir verschiedenste Punkte dieser Art in den Netzwerken haben – sowohl innerhalb einer Unternehmensorganisation als auch außerhalb«, beschreibt es Nather. Außerhalb, das kann Cloud-Anbieter bedeuten und auch die Technik bei den Usern selbst.

Viele haben in der Pandemie mangels Firmengeräten ihre Arbeitsplatzausrüstung selbst in die Hand genommen. Doch gängige Sicherheitsmechanismen aus dem Unternehmensumfeld taugen nicht im privaten Bereich. Wer will schon Zugriff der IT-Abteilung auf sein Gerät und damit auf seine private Fotosammlung – auch wenn es nur Sicherheitsscans sind? Die Cisco-Expertin sieht eine vertrauensvolle Zusammenarbeit zwischen Unternehmen und User nötig, zumal der Zugriff auf den privaten Laptop auch »False Positives« bei der lokal installierten Security-Software auslösen kann.

CISOs können sehr wohl vorschreiben, dass bei einem Zugang zum Unternehmensnetzwerk zumindest alle Systemupdates eingespielt sowie Bildschirmsperren und Verschlüsselung aktiv sind. »Es braucht diese Balance«, fasst Nather zusammen. Und weiterhin kann Technik unterstützen – etwa mit einer Multifaktor-Authentifizierung für starkes Identitätsmanagement oder VPN-Sicherheit für den Datenverkehr. Spätestens mit dem Ende der Passwort-Ära – SchreibtischkriegerInnen haben durchschnittlich 191 Passwörter im Einsatz – sollte die Mühsal des Anmeldens und Autorisierens Vergangenheit sein. Die Branche engagiert sich dazu in der FIDO Alliance, um passwortfreie Lösungen schrittweise in Systeme und Anwendungen zu integrieren.

Arbeitszukunft in Europa
Laut einer aktuellen Studie von Cisco in Europa wollen ArbeitnehmerInnen an vielen positiven Aspekten festhalten, die sich aus der neuen Arbeitsweise durch Corona ergeben. Nur 8 % der Befragten möchten wieder jeden Tag im Büro arbeiten – dagegen 30 % ausschließlich remote. Vor der Krise haben lediglich 5 % ihre Arbeit größtenteils aus dem Homeoffice verrichtet. Nun wünschen sich 87 % der MitarbeiterInnen mehr Eigenverantwortung bei der Festlegung, wie und wann sie arbeiten – auch wenn die Büros wieder öffnen.