Mit dem Homeoffice kam die Collaboration: Um die Produktivität und Zusammenarbeit auch bei verstreuten Mitarbeitern zu gewährleisten, setzen Unternehmen verstärkt auf Kollaborationslösungen wie Slack oder Microsoft Teams. So hat sich nach Angaben von Microsoft die tägliche Nutzung von Microsoft Teams im Zeitraum von November 2019 bis März 2020 von 20 Millionen auf 44 Millionen Benutzer mehr als verdoppelt. Und auch bei der Slack-Nutzung sieht es ganz ähnlich aus. Doch mit dieser sprunghaften Verbreitung steigen auch die Risiken für die Cybersicherheit, die nun dringend adressiert werden müssen.
Im Hinblick auf den sicheren Einsatz der Collaboration-Tools sollten Unternehmen vor allem drei Aspekte ins Blickfeld nehmen:

Zugangskontrolle:

• Es muss sichergestellt werden, dass die Nutzer Zugriff auf zugelassene Anwendungen haben, während der Zugriff auf nicht zugelassene Applikationen und Instanzen kontrolliert wird.
• Die Anwendungen müssen so konfiguriert sein, dass sie die erforderlichen Funktionen zur Einhaltung der Unternehmensrichtlinien (etwa in Hinblick auf Compliance-Anforderungen oder Archivierung) nutzen.
• Richtlinien für die Verwendung privater Geräte (BYOD) müssen erstellt und durchgesetzt werden. So kann der Zugriff über solche Geräte grundsätzlich blockiert oder aber ein (eingeschränkter) Zugriff mit spezifischen Kontrollen zum Schutz der Daten zugelassen werden.
• Für den Zugriff durch Dritte, also beispielsweise autorisierte Partner, sollten strenge Regeln gelten, während ein Gastzugriff auf Collaboration-Nachrichten und -Dateien blockiert werden sollte.

Datensicherheit

• Es muss sichergestellt werden, dass Daten nicht versehentlich oder absichtlich mit anderen Nutzern, etwa globalen Nutzergruppen, ausgetauscht werden. Sämtliche Berechtigungen müssen auf bestimmte, genau definierte Nutzer und Gruppen beschränkt werden.
• Die Kollaborationslösung muss die Verschlüsselung ordnungsgemäß und in Übereinstimmung mit den Richtlinien des Unternehmens einsetzen.
• Besonders wichtig ist die Identifizierung sensibler Daten, die in den Collaboration-Anwendungen gespeichert sind, basierend auf für das Unternehmen und/oder die Branche relevanten Kriterien.
• Sämtliche Sicherheitsmaßnahmen müssen sich sowohl für innerhalb der Kollaborationsplattform oder des Cloud-Speichers abgelegte Daten (also Daten im Ruhezustand) als auch für Daten in Bewegung gelten.

Schutz vor Malware

• Inhalte müssen sowohl in den Kanälen der Anwendung als auch in direkten Person-zu-Person-Nachrichten auf Malware untersucht werden.
• Ebenso muss der Bedrohungsschutz sowohl inline (zum Echtzeitschutz von Inhalten) als auch durch Scannen nach in der Anwendung gespeicherter Malware sichergestellt werden.

Statische und dynamische Daten

Daten in der Cloud kann man grundsätzlich in zwei unterschiedliche Kategorien aufteilen: Zum einen die innerhalb der Kollaborationsplattform oder des Cloud-Speichers gespeicherten, abgelegten Daten (data at rest), zum anderen Daten, die in Bewegung sind (data in motion). Um die abgelegten Daten wirkungsvoll zu schützen, benötigen Sicherheitsverantwortliche eine tiefgreifende Transparenz und einen umfassenden Überblick über die Kollaborationsplattformen und eine präzise Bewertung des Sicherheitsstatus bei der gemeinsamen Nutzung von Daten. Diese muss sich über die Kollaborationslösung und die angeschlossenen Cloud-Speicher erstrecken. Um die Daten wirkungsvoll zu schützen sowie effektive Data Loss Prevention (DLP) umzusetzen und damit Datendiebstähle zu verhindern, müssen sämtliche Dateien sowohl in privaten und öffentlichen Teams oder Kanälen als auch in privaten Nachrichten auf sensible Inhalte gescannt werden. Dabei kommen folgende Kriterien in Betracht:

• PCI-Daten, also Zahlungs- und Bankinformationen wie Kreditkarten- oder Kontonummern
• Personenbezogene Daten wie Ausweisnummern, Adressen oder Geburtsdaten
• Vertrauliche Unternehmensdaten, die entweder mit einem Datenklassifizierungstool explizit klassifiziert oder mit einer leistungsstarken und flexiblen Datenidentifizierungsbibliothek dynamisch erkannt werden
• Sensible und vertrauliche Daten mit speziellem Wert für das Unternehmen, also etwa in Bezug auf geistiges Eigentum und proprietäre Daten

Nach einer Klassifizierung der Daten müssen entsprechende (abgestufte) Richtlinien zum Schutz vertraulicher Daten eingerichtet und vor allem auch durchgesetzt werden. So kann etwa bei sensiblen Daten eine gemeinsame Nutzung mit Mitgliedern einer bestimmten Gruppe erlaubt sein, ein Teilen mit anderen Gruppen oder externen Partnern jedoch nicht.

Die Cloud zeichnet sich durch eine enorme Dynamik auch und insbesondere bei der Nutzung von Daten aus. Insofern muss auch der Inline-Schutz zu jeder Zeit gewährleistet sein. Der Cloud & Threat Report 2020[1] hat gezeigt, dass ein Fünftel der Benutzer Daten lateral zwischen Cloud-Anwendungen bewegt und beispielsweise Dokumente von OneDrive auf Google Drive kopiert oder sie über Slack teilt. Die Daten überschreiten dabei mehrere Grenzen: Sie bewegen sich zwischen Cloud-App-Suites, zwischen verwalteten und nicht verwalteten Anwendungen, zwischen unterschiedlichen App-Kategorien und zwischen den unterschiedlichen Anwendungs-Risikostufen. Entsprechend muss ein wirkungsvoller Schutz den Zugriff auf Anwendungen identifizieren und Instanz-bezogene Richtlinien durchsetzen können, damit die Daten auch dort verbleiben, wo sie hingehören. Dabei können verschiedene Ansätze verfolgt werden: So lassen sich beispielsweise grundsätzlich Anmeldungen bei nicht autorisierten Instanzen von Cloud SaaS-Anwendungen verbieten. Dadurch wird sichergestellt, dass die Benutzer nur die genehmigte Anwendungsinstanz verwenden und nicht auf nicht autorisierte Instanzen (etwa das private Dropbox-Konto) zugreifen können. Ein alternativer Ansatz besteht darin, eine Richtlinie zu verwenden, die es den Benutzern erlaubt, sich bei jeder Instanz der Anwendung anzumelden, während gleichzeitig DLP-Profile zum Schutz der Daten durchgesetzt werden. Dieser Ansatz verhindert, dass sensiblen Unternehmensdateien in eine nicht zugelassene Instanz der Kollaborationsanwendung hochgeladen werden. Darüber hinaus schützt dieselbe Richtlinie Daten, wenn ein Benutzer versehentlich oder absichtlich versucht, sie von seinem Endpunkt in riskante File-Sharing-Anwendungen wie WeTransfer, persönliche Cloud-Speicheranwendungen wie Dropbox oder über einen E-Mail-Dienst (wie das persönliche Google Mail-Konto) zu exfiltrieren.

Gerade im Homeoffice werden oftmals private, also nicht von der IT-Abteilung gemanagte Rechner verwendet. Sicherheitsverantwortliche sollten dann in der Lage sein, die Verwendung dieser Geräte zu kontrollieren und zu steuern, wie sie auf die zugelassenen Cloud-Collaboration-Anwendungen wie Slack oder Microsoft Teams zugreifen. Dies kann durch die Integration einer Identitätsmanagement-Lösung (z. B. Okta) erreicht werden. Auf diese Weise kann man separate Zugriffs- und DLP-Richtlinien auf Benutzer mit nicht verwalteten Geräten anwenden und verhindern, dass sie sensible oder proprietäre Daten herunterladen.

Tools für die Zusammenarbeit sind gerade im Homeoffice unerlässlich und bieten zahlreiche Vorteile. Allerdings darf deren Einsatz nicht auf Kosten der Sicherheit gehen. Nur wenn man beides verbindet, lässt sich der volle Nutzen realisieren. Entsprechend müssen sich Unternehmen der Risiken (etwa im Hinblick auf Zugriffsrechte, Datenschutz und Malware) bewusst sein und diese gezielt adressieren. Nur so lässt sich der kooperativen Austausch mit anderen Mitarbeitern und Partnern aufrechterhalten und die Betriebskontinuität sicherstellen.

Quellen und Referenzen:

[1]https://resources.netskope.com/cloud-reports/cloud-and-threat-report-de