Sich auf hybrides Arbeiten und die Veränderungen der Unternehmensorganisation einzustellen, ist eine der nächsten großen Aufgaben für Unternehmen – jetzt, wo die Verpflichtung zum Arbeiten im Homeoffice dem Angebot weicht, frei zwischen Office, Homeoffice und mobilen Arbeitsplätzen zu wählen. Hybrides Arbeiten ist gekommen, um zu bleiben, denn die vollständige Rückkehr ins Büro ist aus unserer und der Sicht der meisten Mitarbeitenden weder nötig noch sinnvoll. Damit das sicher funktioniert, benötigen Unternehmen ein wirksames Risikomanagement.
Anders als zu Beginn der Pandemie, als es vor allem um Business Continuity ging, geht es heute nicht mehr nur einfach darum, die Geschäftstätigkeit unter erschwerten Bedingungen aufrechtzuerhalten. Jetzt steht die aktive Gestaltung der hybriden Arbeitswelt auf der Tagesordnung. IT-Sicherheit, Compliance und Datenschutz gehören unbedingt dazu. Einer der Schwerpunkte dieser Arbeit ist das sogenannte Insider Risk Management, der Umgang mit internen Risiken. Das ist in der hybriden Arbeitswelt noch wichtiger als früher.
Interne Sicherheitsmängel sind die größte Gefahr für Unternehmen
Es gibt zwar immer wieder und immer häufiger Berichte über spektakuläre Angriffe von Cyber-Kriminellen, bei denen Daten gestohlen oder verschlüsselt werden, so dass die Unternehmen keinen Zugriff mehr auf ihre geschäftskritischen Daten haben. Der Schaden ist groß – insbesondere dann, wenn die Angreifenden Lösegelder für die Freischaltung der Daten verlangen.
Tatsächlich sind Datenverluste durch Insider-Risiken aber das größere Problem für Unternehmen, weil sie – ob durch Fahrlässigkeit oder Vorsatz der Mitarbeitenden oder weil Unternehmen ihre Daten selbst zu wenig schützen – sehr viel häufiger vorkommen. 93 von 100 Unternehmen sind einem Report von Microsoft Market Research über Insider Risk Management zufolge über die internen Risiken für ihre Daten besorgt, zwei Drittel sogar „sehr“. Die Analyse Best Practices: Mitigation Insider Threat von Forrester aus 2021 zeigt, dass die Sorgen berechtigt sind: Immerhin jeder dritte Angriff kommt tatsächlich von innen. Zudem nehmen 59 Prozent der Mitarbeitenden einer Analyse von Deloitte zufolge nach ihrer Kündigung sensible Daten mit. Auch das kann einem Unternehmen massiv schaden. Bei IT-Mitarbeitenden, die naturgemäß oft uneingeschränkten Zugriff auch auf sensible Daten haben, liegt dieser Anteil gar bei 90 Prozent.
Böswillige Insider-Angriffe sind also wahrscheinlicher als externe Angriffe. Aber auch versehentliche Datenschutzverletzungen geben Unternehmen berechtigten Anlass zu Sorgen: In den halb-privaten Umgebungen, wie sie in Homeoffices und auf Reisen mittlerweile sehr oft anzutreffen sind, passieren Datenverluste häufiger, weil diese Arbeitsorte in der Regel weniger geschützt sind als Firmennetzwerke. Deshalb es ist wichtig, sich um den Schutz dieser Umgebungen vorrangig zu kümmern – etwa über Richtlinien und Maßnahmen, die Datenverluste verhindern. Dabei unterstützt sie das Insider-Risikomanagement in Microsoft 365, das sowohl über die weltweite Cloud als auch über lokale Cloud-Angebote von Microsoft verfügbar ist.
Gutes Risikomanagement beginnt mit der Analyse der Risikofaktoren
Das Management und die Minimierung von Risiken beginnt mit einer umfassenden Kenntnis der Arten von Risiken, die am modernen Arbeitsplatz auftreten. Für diese Analyse nutzt das Insider-Risikomanagement in Microsoft 365 künstliche Intelligenz und maschinelles Lernen, um aus der Vielzahl von Signalen innerhalb des Unternehmens die Risiken für Datenmissbrauch oder Datenverluste zu erkennen. Es ist dann auch in der Lage, automatisiert auf Basis von firmenweiten Richtlinien Maßnahmen zum Schutz der Daten zu ergreifen. Zudem gibt es den Risikoanalyst*innen in Unternehmen – unter Beachtung der Privatsphäre der Mitarbeiter*innen und des Datenschutzes – Empfehlungen für geeignete Maßnahmen, mit denen sie manuell sicherstellen, dass sich die Unternehmensnutzer*innen entsprechend den Compliance-Standards ihrer Organisation verhalten. Der Betrieb in der Cloud macht es möglich, die Multi-Tenant-Lösung beliebig zu skalieren, um derzeit täglich bis zu zwei Milliarden Audit-Ereignisse und E-Mails verarbeiten zu können.
Microsoft Purview: Neue Produktfamilie für Datenschutz und Compliance
Im April 2022 haben wir eine neue Produktfamilie angekündigt, die im Grunde genommen ein umfassendes Lösungspaket für die Bereiche Informationsschutz, Data Governance, Risikomanagement und Compliance bietet. Microsoft Purview unterstützt Unternehmen bei der Verwaltung und dem Schutz von Daten in Multi-Cloud- und Multi-Plattform-Datenumgebungen und hilft ihnen gleichzeitig dabei, ihre Compliance-Anforderungen zu erfüllen – in einer einheitlichen Plattform und über den gesamten Datenbestand hinweg. Das Paket integriert die früheren Lösungen Azure Purview für eine einheitliche Data Governance und Microsoft 365 Compliance für das Risikomanagement, denn Governance und Compliance gehören unserer Meinung nach zusammen. Die Anforderungen an das Management von Daten und Geschäftsanforderungen sollten daher auch auf einheitliche Weise behandelt werden.
Guter Datenschutz gibt Mitarbeiter*innen mehr Freiheit, nicht weniger
Gutes Risikomanagement schränkt die Mitarbeiter*innen in einem Unternehmen nicht ein, denn es geht für sie nicht darum, noch mehr Regeln zu befolgen oder Einschränkungen in ihrem Umgang mit Daten zu formulieren, denn das wäre weder produktiv noch effizient. Regelwerke und ihre automatisierte Kontrolle sorgen im Gegenteil für mehr Freiheiten, weil sich die Mitarbeitenden auf ihre eigentlichen Aufgaben konzentrieren können und ihre Zeit nicht mit der Kontrolle von Regeln verbringen müssen. Dieses Gleichgewicht von Vertrauen und Kontrolle ist für einen wirksamen Schutz von geschäftskritischen Daten von entscheidender Bedeutung und sorgt zugleich für eine Kultur, in der hybrides Arbeiten nicht nur möglich, sondern erwünscht ist und von den Mitarbeiter*innen gerne angenommen wird.
Ein Beitrag von Isabel Vogel
Business Lead M365 Compliance & Risk Management bei Microsoft Deutschland