Die Cyberrisiken nehmen für Unternehmen stetig zu: Ransomware-Kampagnen, Datenlecks und Angriffe auf kritische Infrastrukturen sind heute fast schon an der Tagesordnung. Entsprechend ist das Bewusstsein für die Notwendigkeit einer robusten Sicherheitsstrategie gestiegen.
In den letzten Jahren hat sich SASE als Sicherheitsarchitektur der Zukunft herauskristallisiert. Die Umsetzung gelingt jedoch noch nicht überall, auch aufgrund des undurchsichtigen Angebots. Warum der Blick auf die Erwartungen zukünftiger Mitarbeiter helfen kann, erklärt Saša Petrovic, Digital Strategy Director, bei Citrix.
Die Gefahr, Opfer eines Cyberangriffs zu werden, steigt für Unternehmen kontinuierlich: In den vergangenen zwei Jahren waren in Deutschland laut einer Bitkom-Studie fast neun von zehn Unternehmen (88 Prozent) betroffen. Das ist nochmal ein erheblicher Anstieg gegenüber den Jahren 2018/19, wo es immerhin bereits drei Viertel der Unternehmen (75 Prozent) waren. Insgesamt beläuft sich der Schaden für die deutsche Wirtschaft auf 223 Millionen Euro.
Daher verwundert es nicht, dass Unternehmen die Notwendigkeit erkannt haben, ihre Digitalisierungsstrategie mit einer durchdachten Sicherheitsstrategie zu ergänzen. Doch angesichts der immer komplexeren Bedrohungslandschaft und einer ebenso facettenreichen Landschaft von Lösungsanbietern, herrscht vielerorts Unsicherheit, wie diese Sicherheitsstrategie aussehen soll. Mit Secure Access Service Edge (SASE) ist jedoch ein Architektur-Ansatz entstanden, der das benötigte Maß an Sicherheit gewährleisten kann – insbesondere im Hinblick auf zunehmend verteilt arbeitende Belegschaften. SASE kombiniert WAN-Services und Sicherheitsfunktionen in einer einheitlichen Cloud-nativen Lösung, wobei die Sicherheitsfunktionen am Netzwerkrand wirken.
Herausforderungen bei SASE
Unternehmen tun sich jedoch noch schwer mit der Implementation von SASE. Das liegt zum einen daran, dass SASE eine sehr breite Palette an Technologien umfasst, die sowohl auf der Netz- als auch der Sicherheitsebene berücksichtigt werden müssen. Das bedeutet für Führungskräfte: Sie müssen mehrere Netzwerkthemen und Sicherheitstechnologien gleichzeitig angehen. Dies erschwert allerdings die Priorisierung – welche Technologien sollen zuerst aktualisiert werden?
Zum anderen wird SASE als Mechanismus begriffen, mit dem Unternehmen ihre Sicherheitslandschaft konsolidieren können. Die Idee dahinter: Mehrere Einzellösungen werden durch den Wechsel zu einem SASE-Anbieter mit umfassender Funktionsabdeckung ersetzt. Während sich zwar zahlreiche Anbieter im Bereich SASE positionieren, unterscheiden sich Umfang und Tiefe ihres Portfolios jedoch erheblich. Aus dieser großen und weiter anwachsenden Auswahl das richtige Angebot zu identifizieren, ist eine Herausforderung für Führungskräfte.
Die Mitarbeiter stehen im Zentrum
Deshalb sollten sie zunächst die individuellen Bedürfnisse ihres Unternehmens genau erfassen – und zwar nicht nur die heutigen, sondern vor allem auch die zukünftigen. Dafür muss sich der Blick auf die Mitarbeiter richten. In Cybersecurity-Diskussionen kommen diese in der Regel nur als Ziele von Social-Engineering-Kampagnen, die Kriminellen Tür und Tor ins Unternehmensnetzwerk öffnen, oder als böse Insider, die sensible Daten ausspionieren, zur Sprache. Dabei spielen sie eine zentrale Rolle, um die sich eigentlich alle anderen Aspekte drehen müssten. Schließlich sind es die Mitarbeiter, die mit geschäftskritischen Anwendungen und sensiblen Datenbeständen arbeiten und die das Geschäft vorantreiben.
Je mehr ein Unternehmen seine Prozesse digitalisiert, desto größer ist auch seine Angriffsfläche. In naher Zukunft werden Arbeitnehmer noch viel digitaler arbeiten, als dies heute bereits der Fall ist. Das betrifft auch Arbeitskräfte in Bereichen, die traditionell weniger geeignet für die Digitalisierung erscheinen, wie die Landwirtschaft, Fabriken oder kommunale Dienste. Und auch für Büroarbeiter gilt: der Trend zu flexiblen, hybriden Arbeitsmodellen, den die COVID-19-Pandemie verstärkt hat, wird sich noch weiter ausbreiten.
Digital-arbeitende Angestellte – insbesondere die hochqualifizierten – werden künftig schlicht erwarten, dass sie effizient, bequem und sicher arbeiten können, und das an jedem Ort und zu jeder Zeit. Einige werden dafür unternehmenseigene, andere private Geräte verwenden, wieder andere eine Mischung aus beidem. Gleichzeitig werden Cloud-Dienste immer häufiger zum Einsatz kommen und zu einer zunehmend komplexen Anwendungslandschaft führen, bestehend aus lokalen Legacy-Technologien, modernen lokalen und Cloud-basierten Anwendungen, mobilen Anwendungen und einer dynamischen Auswahl an Cloud-Services.
Ausgehend von den Arbeits-, Kollaborations- und Nutzungsbedürfnissen ihrer zukünftigen Mitarbeiter können Führungskräfte bewerten, was die wahrscheinlichsten – und kritischsten – Sicherheitsrisiken für diese sein werden. Nachdem das Risikoprofil feststeht, folgen verschiedene weitere Überlegungen: Was werden die dringlichsten Bedürfnisse der Mitarbeiter sein, wenn sie jederzeit, überall, mit dem Gerät ihrer Wahl und den von ihnen bevorzugten Anwendungen und Diensten sicher arbeiten wollen? Wie flexibel und skalierbar muss die Sicherheitsarchitektur sein, um der Dynamik hybrider Multi-Cloud-Infrastrukturen gerecht zu werden? Wie kann die IT-Sicherheit mit einem reibungslosen Benutzererlebnis in Einklang gebracht werden? Und wie kann die Sicherheitsumgebung kontinuierlich überwacht werden, ohne dabei die Produktivität und Motivation der Mitarbeiter zu beeinträchtigen?
Fazit: Bei der Sicherheit den Blick in die Zukunft richten
Schon in naher Zukunft werden die flexiblen, hybriden Arbeitsweisen, die derzeit noch als „neue Normalität“ bezeichnet werden, einfach nur noch die Normalität sein. Mitarbeiter müssen orts-, zeit- und geräteunabhängig auf die Daten und Anwendungen zugreifen können, die sie für ihre täglichen Aufgaben benötigen. Dafür müssen ihnen die Hardware, Software und Cloud-Dienste zur Verfügung stehen, die zu ihrem Arbeitsstil und ihren Tätigkeiten am besten passen. Auf Basis der Bedürfnisse und Anforderungen ihrer künftigen Mitarbeiter können Unternehmen heute schon eine SASE-Sicherheitsarchitektur schaffen, die diese Arbeitsweisen unterstützt.