Sie sind hier: Home » Fachartikel » Entscheidungshilfen

Compliance am digitalen Arbeitsplatz


Sechs Kompetenzen für produktive Compliance in Hybrid-Working-Umgebungen
Die nachweisbare Einhaltung von Sicherheits- und Compliance-Regelungen hat nicht nur für Unternehmen aus finanziellen und strategischen Gründen oberste Priorität



Von Henning Ermert, Senior Solution Consultant, Nexthink

Die Anforderungen an Sicherheit und Compliance bekommen mit Remote Working bzw. Home-Office eine neue Qualität. Gesetzliche Vorgaben und unternehmensspezifische Regelungen lückenlos durchzusetzen, ist nicht nur nach außen gegenüber Behörden, Kunden und Partnern relevant. Auch Mitarbeiter haben den Anspruch, dass Arbeitgeber digitale Arbeitsplätze ebenso produktiv wie auch sicher gestalten.

Die nachweisbare Einhaltung von Sicherheits- und Compliance-Regelungen hat nicht nur für Unternehmen aus finanziellen und strategischen Gründen oberste Priorität. Mitarbeiter erwarten gleichermaßen maximale Unterstützung dafür, sicherheitskritische Aktionen oder Fehler an digitalen Arbeitsplätzen zu vermeiden – sei es aus Versehen oder aufgrund zu komplexer Anforderungen.

So hat auch eine IDC Studie-gezeigt, dass es aktuell nach der reinen Bereitstellung hybrider Arbeitsplätze mit grundlegenden Sicherheitsvorkehrungen darum geht, Compliance mit Gesamtsicht auf digitale Arbeitsumgebungen zu gewährleisten.

Die IT ist gefordert, aus technischer und aus Anwenderperspektive Risiken und Fehlerquellen zu erkennen und zu beseitigen – im Idealfall vorausschauend und mit hoher Automatisierung. Dafür gilt es, sich Plattformen für Digital Employee Experience (DEX) mit ihrer zentralen Sicht auf digitale Arbeitsplätze zunutze zu machen. Dies betrifft nach der Projekterfahrung von Nexthink die folgenden sechs Bereiche bzw. Kompetenzen:

1. Keine blinden Passagiere – Inventar-Informationen und Zuordnung aller Endgeräte des Unternehmens
Im Rahmen von hybriden Arbeitsmodellen erfordern es insbesondere Roaming Clients – also solche, die häufig über einen längeren Zeitraum vom Unternehmensnetzwerk getrennt sind – stets aktuelle Informationen zu autorisierten Endgeräten verfügbar zu haben. Roaming Clients senden kritische Ereignisse häufig nur zeitverzögert. Verbunden mit dem Internet-Zugriff von verschiedenen Orten bedeutet ein erhöhtes Risiko. Hier gilt es, Informationen über die tatsächliche Nutzung von Endgeräten mit weiteren Datenpunkten in Verbindung zu bringen, zum Beispiel:
• >> Wo befinden sich die Geräte?
• >> Sind die Geräte auf dem neuesten Sicherheitsstand?
• >> Wie greifen die Clients auf interne oder SaaS-Lösungen zu?
• >> Wird ein VPN oder Cloud-Proxy genutzt?
• >> Reicht die Netzwerkverbindung eines Gerätes auch im Homeoffice aus?
Die Korrelation dieser Art von Daten ermöglicht es, Lücken bestehender Sicherheitskonzepte zu erkennen oder neue Schutzmaßnahmen gezielt einzuführen.

2. Keine verborgenen Pfade – Check von Client- und Applikations-Aktivitäten
Durch den Wegfall vom klassischen Perimeterschutz ist es wichtig, den Fokus auf die Clients zu legen mithilfe einer kontinuierlichen Erfassung von Applikationsaktivitäten. So sind verdächtige oder unerwünschte Anwendungen oder Software-as-a-Service (SaaS)-Dienste in nahezu Echtzeit identifizierbar, um diese zu blockieren oder grundlegende Gegenmaßnahmen zu etablieren.

Klassische Beispiele sind die Nutzung von Web-Diensten sowie die Auslagerung sensibler Unternehmensdaten auf Cloud-Speicher oder andere Datenträger, die nicht als sichere Speicher- und Austauschplattformen autorisiert sind.
Solche Risiken zu erkennen, gepaart mit der Möglichkeit, den User direkt und automatisiert zu informieren, ist ein großer Vorteil von Digital Experience Management Lösungen.

3. Keine weißen Flecken auf der Landkarte – Betriebssysteme im Blick
Eine der Voraussetzungen für proaktive Maßnahmen ist die automatische Erkennung derjenigen Clients, die von einer vordefinierten Sicherheitskonfiguration abweichen.

Neben einem Überblick über den gesamten Compliance-Status – wichtig für Compliance-Manager und Verantwortliche für End-User-Computing – braucht es dafür auch Dashboards, die Software, Dienste, Dateien und Registrierungseinträge auf jedem Gerät im Unternehmensnetz erfassen. Dabei muss insbesondere die Kompatibilität, Stabilität und Versionierung von Betriebssystem-Patches und -Updates verschiedener Hersteller miteinbezogen werden. So kann die Ursache von Abweichungen in der Konfiguration genau ermittelt und anhand hinterlegter Prozeduren im Idealfall automatisiert auf allen betroffenen Endgeräten korrigiert werden.

Dies ist insbesondere hilfreich bei der Verwaltung mehrerer Betriebssysteme im Unternehmen. Sie erfordern kontinuierliche Betriebssystem-Updates, Geräte-Migrationen und System-Patches für Tausende von Geräten. Dafür werden zwar verschiedene Management-Tools (Intune, MECM, JAMF usw.) eingesetzt, mit denen es allerdings zu viele "blinde Flecken" durch fehlerhafte Agenten oder zu lange Erfassungszeiträume gibt. Die Folge: Geräte erhalten keine kritischen Updates oder Patches oder zu spät, nachdem bereits die Performance, Kompatibilität oder die Sicherheit beeinträchtigt wurde.

4. Keine Doppelagenten – Compliance von Schutzsoftware
Stichwort Agenten: Compliance auf Endgeräte-Ebene sicherzustellen bedeutet auch, detaillierte Informationen zum "Gesundheitszustand" der Security Agenten zu erfassen, Aktionen auszulösen oder diese zu reparieren, auch wenn keine Verbindung zur Management-Konsole besteht. Dafür braucht es statt Doppelagenten ein doppeltes Netz für Antworten auf Fragen wie:
• >> Funktioniert die Sicherheitslösung wie erwartet?
• >> Kann der Agent sein Management-Backend erreichen, um Signaturen herunterzuladen oder verdächtige Dateien zur Analyse zu senden?
• >> Ist die Client Firewall aktiv?

Antworten auf diese Fragen liefern geeignete DEX-Plattformen in Echtzeit und fungieren somit als weiteres Sicherheitsnetz.
Oft stellt sich zudem die Frage, inwieweit die Sicherheitslösung die Leistung des Endgerätes beeinträchtigt. Performance Metriken der Agenten wie z.B. CPU/RAM-Nutzung erlauben es, die Konfiguration der Sicherheitslösung anzupassen und damit sicherzustellen, dass der Nutzer ein stabiles und performantes Endgerät mit maximaler Sicherheit nutzt.

5. Kein blindes Technikvertrauen – Realitätscheck durch engmaschige Anwenderkommunikation
Ob es um eine funktionierende VPN-Lösung geht, das Auslösen einer Passwort-Änderung oder die Kontrolle ablaufender Zertifikate – für eine durchgängige Compliance auch für Remote Working benötigt die IT ein breites Spektrum an Tools, um den aktuellen Zustand der gesamten Workplace-Landschaft zu verstehen und proaktiv zu schützen.

Dies erfordert zum einen umfassende granulare technische Telemetrie-Daten, die anhand von Metriken analysiert und über Dashboards visualisiert werden. Wesentlich, aber oft vernachlässigt, ist dabei der Kontext-bezogene Austausch mit Anwendern, um sie im Hinblick auf Compliance-relevante Anforderungen auf dem Laufenden zu halten und deren Sicht zu berücksichtigen, etwa: Stimmt die Balance aus Sicherheit und Produktivität? Braucht es mehr Unterstützung oder Informationen?

Benötigen bestimmte Anwendergruppen mehr Freiheitsgrade?
Gerade im Hinblick auf Compliance sollte eine aktive Kommunikation zwischen der IT und Anwendern gefördert werden. Denn Mitarbeiter zögen zum einen häufig, sich bei Problemen gleich an den Helpdesk zu wenden, zum anderen geben sie Verhaltensweisen der "digitale Eigensabotage" nur ungern zu.

6. Keine Fallstricke zulassen – Kontrolle der Gruppenrichtlinien
Active-Directory-Gruppenrichtlinien werden im Windows-Bereich oft für sicherheitsrelevante Konfigurationen verwendet – etwa um Nutzern Rechte zu erteilen oder zu entziehen. Ob diese auch wirklich erfolgreich ausgeführt werden und welchen Einfluss sie auf die Client-Performance haben, muss überprüft werden können.

Da Gruppenrichtlinien so viele Bereiche des Systems beeinflussen, gibt es auch zahlreiche verschiedene Ansatzpunkte, wenn sie nicht wie gewünscht funktionieren. Informationen über die Zeit, die für die Anwendung von Benutzer- und Computergruppenrichtlinien (GPO: Group Policy Objects) benötigt wird, können bei der Untersuchung von Performance Problemen (wie z.B. lange Log-on Zeiten) von Bedeutung sein. Eine falsch konfigurierte Gruppen-Richtlinie kann den Anmeldevorgang erheblich verzögern oder die Sicherheit eines Gerätes beeinflussen, wenn sie auf die falsche User- oder Gerätegruppe ausgeführt oder eben nicht angewendet wird.

Diese Informationen sind nicht ohne weiteres an einem Ort verfügbar und ohne geeignete Tools mühsam zu finden. Eine DEX-Management-Lösung kann hier Transparenz schaffen, indem für alle Windows Geräte ermittelt wird, welche Richtlinien auf einem Client angewendet werden und wie lange die Abarbeitung der Richtline gedauert hat.

Fazit:
Produktivität und Compliance am digitalen Arbeitsplatz sind eng miteinander verknüpft. Damit sie sich nicht gegenseitig unterlaufen, ist ein integriertes Management beider Anforderungen erforderlich. Dabei die richtige Balance auf effiziente Weise zu finden, braucht Plattformen, die die jeweiligen Tools verbindet, Zusammenhänge und Auswirkungen auf Anwenderseite sichtbar macht und dabei mit der nötigen Automatisierung die Reaktionsgeschwindigkeit der IT erhöht – sonst bleibt immer ein Aspekt auf der Strecke. (Nexthink: ra)

eingetragen: 16.03.23
Newsletterlauf: 23.06.23

Nexthink: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Administration

  • Erfüllung der hohen Compliance-Anforderungen

    Die Implementierung von IT-Compliance-Vorgaben kann sich als wahre Mammutaufgabe erweisen. Dell erläutert fünf Best Practices, mit denen die Umsetzung gelingt. Die Einhaltung gesetzlicher Bestimmungen, regulatorischer Vorschriften, Standards und nicht zuletzt interner Regeln ist heute für alle Unternehmen ein zentrales Thema - seien es Behörden, Organisationen im Gesundheitswesen, Automobil- oder Maschinenbauer, Finanzdienstleister oder Einzelhändler. Eine wichtige Rolle spielen dabei Maßnahmen wie die Förderung eines Sicherheitsbewusstseins unter den Mitarbeitern inklusive fortlaufender Schulungen, klarer Regeln für die Zugriffe auf Daten sowie eine regelmäßiger Überprüfung und Anpassung der Sicherheitsregeln. Der folgende Fünf-Stufen-Plan von Dell ebnet Unternehmen den Weg zur Erfüllung der hohen Compliance-Anforderungen.

  • Schritthalten mit der Compliance

    Wir möchten alle glauben, dass unsere Netzwerke vollständig sicher sind und unsere Verfahren und Richtlinien voll und ganz den Vorschriften entsprechen, die unsere Branche regeln. Doch die Sicherheitslandschaft verändert sich viel zu schnell, als dass Organisationen jederzeit gegen alle Bedrohungen geschützt sein könnten. Im Jahr 2012 führten wir eingehende Sicherheitsprüfungen bei Netzwerken von 900 Organisationen weltweit durch und fanden heraus, dass 63 Prozent mit Bots infiziert waren, von denen sie nichts wussten. Diese kommunizierten mindestens alle zwei Stunden mit ihren externen Steuerungszentren - und zogen dabei aktiv Daten von den infizierten Netzwerken der Unternehmen ab.

  • PIM-Lösung: Fluch oder Segen?

    Die Vorteile einer zentralen Lösung zur automatischen Verwaltung privilegierter Accounts sind umfassend. Für das Unternehmen reichen sie von der Prozessoptimierung über die Einhaltung von Compliance-Anforderungen bis hin zu einer generellen Erhöhung der Sicherheit. Auch der einzelne Administrator profitiert von einer deutlichen Reduzierung seines Verwaltungsaufwandes.

  • Compliance bei der Softwarelizenzierung

    Erfolgreiche Geschäftsbeziehungen beruhen auf dem Vertrauen zwischen Käufern und Verkäufern. Für die Softwarebranche sind die Themen Vertrauen und faire Gegenleistungen traditionell eher schwierige Themen. Denn viele Unternehmen verstoßen trotz bester Absichten immer wieder gegen geltende Nutzungsbestimmungen. Anwendungshersteller stellen ihren Kunden Anwendungen im Rahmen bestimmter Berechtigungen zur Verfügung. Dieser Rahmen gibt vor, wie das Produkt unternehmensweit genutzt werden darf. Diese Nutzungsberechtigungen werden üblicherweise mit einem Lizenzierungsmodell durchgesetzt, das das geistige Eigentum der Softwareapplikationsshersteller gleichzeitig schützt und monetarisiert. Im Laufe der Zeit und je nach avisierten Märkten und Segmenten stellt der Hersteller bisweilen auf ein anderes Lizenzierungsmodell um, das den geänderten Kundenanforderungen besser gerecht wird. Möglicherweise werden auch mehrere Lizenzierungsmodelle zur Wahl gestellt. Diese Dynamik erschwert ein einwandfreies Compliance-Management erheblich.

  • Compliance und Software-Audits

    Software-Audits gelten seit langem als notwendiges "Übel", um sicherzustellen, dass Endkunden nicht gegen Lizenzrechte verstoßen. Denn Softwarehersteller setzen nach wie vor hauptsächlich auf diese Methode, damit Kunden nicht irrtümlich oder vorsätzlich mehr Softwarelizenzen nutzen, als sie erworben haben. In manchen Marktsegmenten werden Kunden von den jeweiligen Herstellern allerdings stärker geprüft als von anderen. Schon die Vorstellung, sich einem Audit unterziehen zu müssen, veranlasst die meisten Endkunden dazu, angemessene Vorkehrungen zur Einhaltung der Lizenzbestimmungen zu treffen.

Unterlagen revisionssicher speichern Daten in virtuellen Datenräumen

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen