Compliance & Governance

Mitarbeiter als Hindernis?

31.10.2019
Von 


Holger Fleck ist Principal SharePoint Consultant bei Axians IT Solutions. In den 20 Jahren IT-Berufserfahrung hat er verschiedene Projekten in den Bereichen Entwicklung, Collaboration- und Prozessautomatisierung realisiert und begleitet. Als aktuelle Schwerpunkte beschäftigt sich Holger Fleck mit den Themen Daten-Governance und PaaS-Systeme.
Tools für Compliance, Governance und Sicherheit führen zu neuen Arbeitsabläufen. Werden Mitarbeiter nicht zeitnah eingebunden sind sie eher hinderlich als hilfreich.

In der Cloud wachsen Unternehmen kontinuierlich enger zusammen, sodass geschäftliche sowie private Daten deutlich einfacher übermittelt werden können. Tools zur Einhaltung von Sicherheits-, Governance- und Compliance-Richtlinien gibt es bereits und sie etablieren sich zunehmend. Dennoch zeigen insbesondere die immer wieder auftretenden Datenskandale, die nicht selten auf Nutzerfehler zurückzuführen sind, dass eine Diskrepanz zwischen den Möglichkeiten und der Nutzung der Tools - beziehungsweise der Umsetzung der Regeln in den Unternehmen - besteht. Häufig werden die Bedürfnisse der Mitarbeiter bei der Implementierung der Richtlinien zu wenig berücksichtigt, so dass diese versucht sind, eben jene "hinderlichen" Richtlinien zu umgehen. Dies geschieht jedoch keinesfalls aus böser Absicht - viel mehr versuchen sie so, ihre Arbeit möglichst schnell und unkompliziert zu erledigen.

Nur wer den Faktor Mensch nicht vergisst, kann Sicherheit und Compliance dauerhaft gewährleisten.
Nur wer den Faktor Mensch nicht vergisst, kann Sicherheit und Compliance dauerhaft gewährleisten.
Foto: TierneyMJ - shutterstock.com

Um diesem Verhalten entgegenzuwirken, ist es wichtig, bereits bei der Konzeption und der Einführung von Governance-Regeln den Faktor Mensch zu berücksichtigen. Die Regeln sollten die Arbeit der Mitarbeiter unterstützen und nicht behindern. Nur dann können Mitarbeiter den Sinn und Zweck der Maßnahmen verstehen und mittragen, die Vorgaben umsetzen und durch Vorschläge aktiv optimieren.

Governance - Integrative Security

Ein großes Risiko besteht dann, wenn Daten auf unsicheren Datenspeichern abgelegt werden. Dateien in einer Cloud oder auf einem zentral verwalteten Server hingegen sind viel einfacher zu sichern als auf lokalen Datenträgern wie USB-Sticks, die leicht zu verlieren sind und im Normalfall keinen Schutz beinhalten. Damit Mitarbeiter diese auch nutzen, müssen die Ablageorte jedoch einfach zu erreichen sein. Das Standard-Verzeichnis jedes Mitarbeiters sollte ein Netzlaufwerk sein. In Office 365 können OneDrive for Business beziehungsweise SharePoint-Bibliotheken als Favoriten in dem Windows Explorer genutzt werden und die speziellen Windows-Verzeichnisse (Download, Desktop) auf Server oder Cloud-Speicherorte gemappt sein.

Eine weitere Sicherheitslücke entsteht oft durch Anmeldevorgänge an den unterschiedlichen Diensten. Die Wahl des richtigen Passwortes fällt vielen schwer, deswegen nutzen Mitarbeiter häufig einfache und sehr ähnliche Passwörter. Bei der Einführung von Diensten sollte daher darauf geachtet werden, dass die Systeme mittels Single Sign-On erreicht werden können. Besonders kritische Systeme sollten über eine Multi-Faktor-Authentifizierung abgesichert sein. Auch wenn die erstmalige Anmeldung dadurch komplexer wird, muss der Anmeldeprozess nur einmal durchlaufen werden.

Compliance trifft Askese

Bei der Benutzung von Werkzeugen und Services ist die Performance ein nicht zu unterschätzender Faktor. Ist diese nicht zufriedenstellend, werden Mitarbeiter mitunter kreativ, um lästigen Mehraufwand oder Zeitverzögerungen zu vermeiden. In Einzelfällen ist es sinnvoller, IT-Anwendungen und Vorschriften wie die Compliance-Regeln auf das Wesentliche zu reduzieren.

Selfservices, mit deren Hilfe Mitarbeiter beispielsweise einen Projektraum beantragen können, stellen kein großes Hindernis dar, wenn sie ein schnell auszufüllendes Formular besitzen. Derartige Selfservices lassen sich mit wenig Aufwand erstellen und bieten einen großen Mehrwert gegenüber der Ablage solcher Dateien in einem einfachen Ordner in einem Netzlaufwerk. So können beispielsweise für einen verwalteten Projektraum eine flexible Zugriffsverwaltung, Backup und eine Archivierung eingerichtet werden. Ein Ablaufdatum für diesen Projektraum führt dazu, dass dessen Notwendigkeit immer wieder geprüft werden muss. Nicht mehr genutzte Räume werden dadurch erkannt und es sind keine unnötigen Ressourcen belegt. Zudem vereinfacht eine angepasste Übersicht oder Suchseite den Zugriff auf die Dateien: Das lästige Durchklicken in tief verschachtelte Ordner entfällt.

Governance ist gut - Kontrolle ist besser

Unabhängig davon, ob die Mitarbeiter über alle Maßnahmen wie Sicherheits-, Governance- und Compliance-Richtlinien in Kenntnis gesetzt wurden, sind Sicherungs- und Kontrollmechanismen unerlässlich. Eine Maßnahme, die in jedem Fall eingerichtet werden sollte, ist das Protokollieren von Dateizugriffen und anderen Ereignissen nach zuvor festgelegten Kriterien. Dabei ist eine Prüfung, welche Ereignisse beispielsweise aus sicherheitsrelevanten Aspekten wirklich festgehalten werden sollten, anzuraten. Die Protokollierung arbeitet im Hintergrund und beeinträchtigt nicht die Arbeitsweise der Mitarbeiter. Da über dieses Dokument jedoch das Verhalten der einzelnen Mitarbeiter detailliert analysiert werden kann, ist es wichtig, die entsprechenden Gremien für Sicherheit im Unternehmen und insbesondere den Betriebsrat aus Datenschutz- und Transparenzgründen bereits von Anfang an mit einzubeziehen.

Schreibende Zugriffe auf kritische Daten sollten in jedem Fall protokolliert werden. Falls Mitarbeiter von extern Zugriff auf solche Daten erhalten, kann es sinnvoll sein, das Protokoll mit allen An- und Abmeldevorgängen und sämtlichen lesenden und schreibenden Zugriffen intensiver im Blick zu behalten. Denn wenn Zugriffe von außerhalb des Netzwerks erlaubt sind, bietet das ein Einfallstor für Angriffe und unerlaubte Zugriffe. Dadurch können Daten leichter abfließen und in falsche Hände geraten. Auch administrative Änderungen von Systemeinstellungen und Protokollzugriffe sollten deswegen immer untersucht werden.

Während es für On-Premises-Systeme geeignete Applikationen zur Überwachung und Dokumentation von Änderungen gibt, sind bei in der Cloud agierenden Systemen diese Sicherheitsstrukturen bereits integriert. Letztere erlauben nicht nur das regelmäßige Auswerten der Protokolle, sondern werden auch automatisch aktiv, wenn bestimmte Ereignisse erfolgen. So können zum Beispiel Administratoren oder Compliance-Verantwortliche per Mail über wichtige Ereignisse - beispielsweise unerlaubte Zugriffe von Hackern - informiert werden. So können umgehend entsprechende Maßnahmen nach einem zuvor festgelegten Reaktionsplan ergriffen werden. Ferner sollten Auswertungen zu definierten Themen automatisch generiert und von verantwortlichen Personen kontrolliert werden.

Dokumentation für mehr Sicherheit

Natürlich verhindern Protokolle nicht unerlaubte Arbeitsschritte. Sie schaffen jedoch ein Sicherheitsbewusstsein und machen das Thema Compliance für Mitarbeiter greifbarer - unüberlegte Handlungen werden dadurch minimiert. Über das Protokollieren hinaus wird empfohlen, einige regulierende Sicherungsmaßnahmen einzurichten:

  • Passwörter, Freigaben und Projekträume sollten automatisch auslaufen und somit regelmäßig aktualisiert sowie die weitere Verwendung geprüft werden.

  • Vor dem Verändern und Löschen von wichtigen Daten oder Informationen, wie der Buchung eines Projektraumes, sollten separate Sicherheitsabfragen in Form einer Bestätigung per Mail eingerichtet werden.

Im Microsoft-Umfeld können hier mittels Data Loss Prevention oder auch Azure Information Protection Policies flexibel Regeln definiert werden, um unbeabsichtigtes oder mutwilliges Fehlverhalten zu verhindern.

Zentraler Ansatz bei der sicheren Dokumentation von Daten ist immer, dass Dateien und Informationen klassifiziert werden. Das kann automatisch durch definierte Regeln oder auch manuell durch Zuordnung eines Labels an ein Dokument erfolgen. Diese Kennzeichnung ist dauerhaft bei Daten wie Word-Dokumenten oder E-Mails als Meta-Information gespeichert und zeigt unabhängig vom Ablageort die Schutzbedürftigkeit der Daten an. Bei einer manuellen Klassifizierung müssen die Labelnamen einfach und ansprechend sein und die Bedeutung muss von Beginn an klar definiert werden. In einem regelmäßigen Turnus sollte die Nutzung der Labels geprüft werden, damit diese gegebenenfalls angepasst werden können.

Governance & Compliance - Mitarbeiter mitnehmen

Ganz ohne Änderungen der Arbeitsabläufe lässt sich die Sicherheit der Daten in keinem Unternehmen erhöhen. Zudem sind immer Regeln und Vorgaben vorhanden, die sich nicht über Dienste automatisieren lassen. Damit Mitarbeiter diese Vorschriften schnell in Ihren Arbeitsalltag integrieren können, ist ein Verständnis sowohl für die Maßnahmen als auch für den Hintergrund wichtig.

Daher sollten diese nicht nur in den Mitarbeiterrichtlinien veröffentlicht, sondern bei der Einführung transparent kommuniziert werden. Je nach Unternehmenskultur kommen unterschiedliche Optionen in Frage, beispielsweise durch Aushänge und Plakate, über Ankündigungen im Intranet in Form von Neuigkeiten oder Tipps des Tages mit Text oder Videos. Auch Team-Meetings oder Info-Veranstaltungen eignen sich gut. Besonders wichtige Aspekte lassen sich in Workshops, einmaligen oder regelmäßigen Online Trainings gut vermitteln. Insbesondere bei umfangreichen Veränderungen im Unternehmen, sei es durch die Einführung neuer Tools zur Datensicherheit oder Systemüberwachung, empfiehlt es sich, die Marketing-/Kommunikationsabteilung einzubeziehen und bereits frühzeitig vor Inkrafttreten der neuen Richtlinien klar und transparent über die Planungsstände zu berichten. Ein Hin- und Her von Anweisungen wäre kontraproduktiv. (fm)