Mit unserer Expertise und unseren Einblicken in die aktuelle Unternehmenspraxis wollen wir Sie und Ihr Unternehmen dabei unterstützen, auch in dieser Ausnahmesituation produktiv und erfolgreich zu bleiben. Dafür beantworten wir in diesem Beitrag die häufigsten Fragen unserer Kunden zum Thema Remote Working Security – von Datensicherheit bis hin zu sicherer Kollaboration.

MITARBEITERSICHERHEIT

Frage: Wie skaliere ich Remote-Kapazitäten auf sichere Art und Weise?

Antwort: Durch den gestiegenen Bedarf an Remote-Zugängen zu Unternehmenssystemen sind Zugriffspunkte und VPN-Services größeren Belastungen ausgesetzt. Wie zufrieden die Nutzer dabei sind, und ob das Remote-Arbeiten funktioniert, hängt davon ab, wie gut Ihre Infrastruktur die Nachfrage decken kann.

Eine moderne Cloud native Application-Proxy-Lösung, die einen sicheren Remote-Zugriff auf interne Web-Anwendungen ermöglicht – mit zusätzlichen Sicherheitschecks über Conditional Access und Multi-Faktor-Authentifizierung (MFA) –, ist hochgradig skalierbar. Zudem unterstützt sie ein breites Spektrum an Authentifizierungsmöglichkeiten.

Auch vorhandene VPN-Technologie lässt sich mit neuen cloudbasierten Remote-Zugriffslösungen ergänzen. So erhöhen Sie die Sicherheit der Kollegen, die von zu Hause arbeiten, und senken gleichzeitig das Risiko, dass Ihre vorhandene VPN-Lösung an die Kapazitätsgrenzen stößt.

Wo immer möglich, richten Sie Split Tunneling ein. Dann erhalten Nutzer die schnellste Verbindung zu den Cloud-Diensten bei reduziertem Traffic zur zentralen VPN-Lösung. Gleichzeitig sollten Sie Ihre Kapazitäten für traditionelle Remote-Zugangslösungen wie VPN-Konzentratoren, Next Generation Layer 7 Firewalls und Netzwerkschaltungen überprüfen.

F: An welche weiteren Sicherheitsherausforderungen sollte ich denken, wenn ein Großteil der Belegschaft zu Hause arbeitet?

A: Helfen Sie Ihren Mitarbeitern mit Best Practices, das eigene Heimnetzwerk sicher zu gestalten. Denken Sie auch an die Kollegen, die besonders hohen Sicherheitsanforderungen unterliegen, weil sie beispielsweise mit sensiblen Daten arbeiten. Helfen Sie Ihren Angestellten beim bewussten Umgang mit der Frage, wo Daten liegen und wo sie verarbeitet werden, indem Sie die vorhandenen Sicherheitsrichtlinien auch auf unternehmenseigene und sogar private Devices ausweiten.

Passen Sie die Regeln für den Datenschutz so an, dass Sie sensible Unternehmensdaten (at rest und in motion) klassifizieren und verwalten können. Wenn Sie Mitarbeitern und Partnern erlauben, private Devices zu nutzen, kann dies höhere Sicherheits- und Compliance-Kontrollen für Ihr Netzwerk erforderlich machen. Das gelingt beispielsweise über eine Endpoint-Management-Lösung. Zudem sollten Sie Richtlinien überprüfen und Berechtigungen entsprechend zuweisen, um sicheres Verhalten zu gewährleisten und durchzusetzen. Das erreichen Sie, indem Sie Mitarbeitern klare und bindende Regeln für ein sicheres Arbeiten an jedem Ort geben.

SICHERE ZUSAMMENARBEIT

F: Wie kann ich meinen Mitarbeitern eine moderne und sichere Umgebung für Kollaboration zur Verfügung stellen?

A: Implementieren Sie eine zusätzliche Sicherheitsebene in Office 365, wie zum Beispiel Azure Information Protection, die es Ihnen erlaubt, Richtlinien zu konfigurieren und Ihre Unternehmensdaten vor Cyberangriffen zu schützen.

Wenn Microsoft Defender Advanced Threat Protection (ATP) auf den Geräten der Mitarbeiter installiert ist, zeigt Ihnen die Lösung Risiken an, bevor sie zum Problem werden. Sorgen Sie dafür, dass jeder Mitarbeiter ein privates oder firmeneigenes Smartphone oder ein vergleichbares Device (idealerweise mit biometrischer Authentifizierung) besitzt, um notwendige Codes für den Zugang zu Firmendaten (über Multi-Faktor-Authentifizierung) zu erhalten. Das erfordert ein Abonnement des P1- (Teil von Office 365 Business) oder P2-Plans (Teil von Office 365 E5, A5 und Microsoft 365).

F: Wie können Angestellte sicher mit externen Partnern zusammenarbeiten?

A: Setzen Sie eine externe Lösung für das Teilen von Inhalten (z. B. mit Microsoft Azure B2B) ein, damit Ihre Mitarbeiter die Geschäftskontinuität aufrechterhalten und mit externen Partnern, Klienten oder Lieferanten zusammenarbeiten können. So lassen sich die Office 365-Plattform-Dienste zudem besser überwachen und verwalten. Microsoft Azure B2B bietet die Möglichkeit, Identity-Lifecycle-Funktionen zu nutzen – zum Beispiel für das Onboarding von Gastnutzern, das Löschen von Azure-B2B-Konten, das Konfigurieren von Berechtigungen etc.

Dafür benötigen Sie eine aktive Office 365-Plattform und Azure Active Directory-Lizenzen (AAD Premium P1 oder P2).

INFORMATIONSSICHERHEIT

F: Wie schütze ich meine Daten, wenn sie das Unternehmensnetzwerk verlassen?

A: Unternehmensdaten, die sich von außerhalb aufrufen oder versenden lassen, können „containerisiert“ bleiben und sicher über Microsoft Intune, Information Protection und Azure AD abgewickelt werden.

So können Nutzer über ihren Laptop oder ihr Handy von zu Hause auf Office-Anwendungen zugreifen. Die dabei übertragenen Informationen sind über Microsoft Application Management (MAM) und Windows Information Protection (WIP) geschützt. Die benötigten Office 365-Daten werden in diesem Fall auf dem Office-Desktop und mobilen Apps gesichert.

Microsoft Information Protection sorgt dafür, dass Daten nicht verloren gehen, gestohlen oder verschoben werden können. Das Programm klassifiziert und schützt diese wertvollen Assets über eine Verschlüsselung auf Dokumentenebene und Zugangskontrolllisten – und das plattform- und geräteübergreifend.

ZUGÄNGE UND ANWENDUNGEN

F: Kann ich kontrollieren, wer Zugang zu Daten und Anwendungen hat, und sehen, was derjenige damit tut?

A: Wenn Sie befürchten, dass Mitarbeiter externe File-Sharing-Dienste nutzen, um interne IT-Beschränkungen zu umgehen, können Sie das mit dem Cloud App Security Broker überprüfen und auswerten; denn der Broker erkennt Cloud-Anwendungen, die in Ihrem Unternehmen zum Einsatz kommen. Des Weiteren entdeckt und bekämpft die Anwendung Cyberbedrohungen und erlaubt es Ihnen, Datenbewegungen zu verfolgen.

F: Wie stelle ich sicher, dass die richtigen Leute den Zugang zu den richtigen Ressourcen erhalten?

A: Alles beginnt mit der Verwaltung von Identitäten. Egal, ob sich Ihre Organisation in einer hybriden Umgebung befindet oder komplett in der Cloud – es können immer Kontrollmechanismen für die Identifizierung, Authentifizierung und Autorisierung und ein kontinuierliches Monitoring etabliert werden.

Leitlinien und Zugangsberechtigungen sorgen dafür, dass die richtigen Personen zur richtigen Zeit Zugriff auf die richtigen Ressourcen erhalten.

F: Wie stelle ich sichere Remote-Verbindungen zu meinen unternehmensinternen Anwendungen her?

A: Viele Organisationen betreiben diverse geschäftskritische Anwendungen im eigenen Rechenzentrum, die normalerweise außerhalb des Unternehmensnetzwerks nicht zugänglich sind. Azure AD Application Proxy ist ein simpler, ressourcensparender Agent, der den Internetzugriff auf eigene On-Premises-Anwendungen ermöglicht, ohne damit den Zugang auf Ihr komplettes Netzwerk zu öffnen. Sie können diese Funktion auch mit Ihren vorhandenen Azure AD-Authentifizierungs- und Conditional Access-Richtlinien kombinieren, um Ihre Nutzer und Daten zu schützen.

GERÄTE-MANAGEMENT

F: Wie ermögliche ich den Zugang zu Ressourcen über eigene Geräte der Mitarbeiter?

A: Wenn mehrere Mitarbeiter remote und mit verschiedenen Geräten arbeiten, ist es wichtig, auf Bring-Your-Own-Device(BYOD)-Szenarios vorbereitet zu sein. Sie können Usern erlauben, sich selbst schnell und einfach auf Azure AD zu registrieren und beim Microsoft Endpoint Manager (MEM) anzumelden, um Firmenressourcen nutzen zu können.

Sobald ein Mitarbeiter angemeldet ist, wendet der MEM die entsprechenden Richtlinien an. Er stellt beispielsweise sicher, dass ein Gerät durch ein starkes Passwort geschützt ist und Zertifikate für den Zugriff auf Virtual Private Networks (VPN) und Wi-Fi hat. MEM kann auch dafür sorgen, dass Geräte Richtlinien einhalten, indem er den Konformitätsstatus des Gerätes selbstständig bei Azure AD überprüft, während die Nutzer-Authentifizierung verarbeitet wird.

F: Wie kann ich die persönlichen mobilen Endgeräte meiner Mitarbeiter für den sicheren Zugriff auf Unternehmensanwendungen registrieren?

A: Wir empfehlen den Einsatz einer Enterprise-Verwaltungsplattform für mobile Geräte (Microsoft Intune), um Mitarbeitern einen sicheren Zugriff auf Unternehmensanwendungen zu ermöglichen. So lassen sich Unternehmensdaten von persönlichen Daten auf der Geräteebene trennen, ohne die Produktivität einzuschränken.

Dafür ist eine aktive Office 365-Plattform mit Azure Active Directory- und Microsoft Intune-Lizenzen (entweder einzeln oder als Teil von Enterprise Mobility + Security E3/E5) erforderlich.

Sollten Sie spezielle Remote-Working-Herausforderungen haben, wenden Sie sich gerne an uns. Schreiben Sie uns in den Kommentaren, per E-Mail oder erfahren Sie hier mehr über Remote Working.

Erfahren Sie mehr über die nächsten Schritte hin zu einer ganzheitlichen Security-Strategie.

Weitere Artikel zum Thema:

• In 3 Schritten zum sicheren Rollout von Remote-Arbeitsplätzen
• Remote Working: Wie das mobile Arbeiten zum Erfolgserlebnis wird – für Arbeitnehmer und Arbeitgeber
• Microsoft Teams einführen: Drei praxisbewährte Herangehensweisen
• Microsoft Teams: So findet man die Funktionen, die zu einem passen