Sicherheit ist das A und O bei Softwarelösungen von Unternehmen. Dies gilt im Besonderen, wenn diese dazu dienen, die Kommunikation jederzeit über alle Mitarbeitenden hinweg zuverlässig aufrechtzuerhalten. Zeit, die Tools auf Sicherheit zu checken.
IT-Verantwortliche sehen sich heutzutage mit unterschiedlichen Szenarien konfrontiert, die jeweils andere Anforderungen an die IT-Umgebung und deren Sicherheit stellen. Zum einen wird sich Studien zufolge das hybride Arbeiten – da, wo es möglich ist – weiter ausbreiten. Zum anderen stellen die Kommunikation und Kollaboration innerhalb von vorwiegend aus mobilen Arbeitskräften – sogenannten Frontline-Workers – bestehenden Teams die IT-Abteilungen vor Herausforderungen. Nicht selten ist sogar ein organisationsübergreifender Informationsaustausch erforderlich, was die Anforderungen noch erhöht. All diesen Szenarien gemeinsam ist der Bedarf an einer sicheren und ortsunabhängigen Kommunikation zwischen unterschiedlichen Teammitgliedern.
Die Grenzen von WhatsApp und MS Teams
IT-Abteilungen müssen daher Software-Lösungen implementieren, die den Informationsfluss über alle Mitarbeitenden und Endgeräte hinweg zuverlässig gewährleisten. Hierbei stoßen selbst moderne Unified Communication & Collaboration Tools an Grenzen, weil sie oftmals nicht für typische Anwendungsfälle von Frontline-Workers ausgelegt sind: Funktionen wie etwa Alarmierung, Push-to-Talk, Fotobearbeitung und Geolokalisierung fehlen gänzlich und zudem benötigen mobile Arbeitskräfte sehr einfach und intuitive zu nutzende Apps. Hinzu kommt, dass selbst bei einem punktuellen Ausfall, wie es im Januar 2023 bei Microsoft 365 weltweit der Fall war, der Informationsaustausch im Unternehmen zum Erliegen kommen kann. Die IT-Abteilung ist in derartigen Fällen meist machtlos, wenn es keinen MS Teams & Co. ergänzenden Zweitkanal für die mobile Kommunikation gibt. Ob als Kommunikationsweg für mobile und hybride Arbeitskräfte oder lediglich als sekundärer Kommunikationskanal – auf einen privaten Messenger wie WhatsApp zu setzen, kann für Unternehmen schwerwiegende rechtliche Konsequenzen haben. Denn für den DSGVO-konformen und sicheren Informationsaustausch im geschäftlichen Umfeld sind WhatsApp & Co. nicht geeignet. Was IT-Verantwortliche zu tun haben, um einen solchen langfristig und zuverlässig zu etablieren, und welche Sicherheits-Kriterien die entsprechende Kommunikationslösung erfüllen muss, wird im Folgenden erklärt.
- To-do: Betriebssicherheit gewährleisten
Nur wenn Informationsflüsse stets unterbrechungsfrei gewährleistet sind, bleiben Unternehmen in jeder Situation handlungsfähig, egal, was geschieht. Folglich sollte auch ein Zweitkanal durch skalierbare, redundante Server-Architekturen und Cluster-Setups eine hohe Verfügbarkeit und Ausfallsicherheit garantieren sowie Lastspitzen durch entsprechende Verteilung auffangen können – und zwar ressourceneffizient. Dazu ist es wichtig – und das wird die IT-Abteilung freuen –, dass die Kommunikationslösung möglichst wenig Ansprüche an die Infrastruktur und Hardware stellt. Dazu gehört aber ebenso, dass sich das Tool vollautomatisiert und sicher ausrollen lässt, um mit wenig Aufwand schnell einsatzfähig zu sein. Damit sich neue Nutzer:innen schnell einbinden und alle bestehenden effizient verwalten lassen, ist ein Import oder die Synchronisation eines Lightweight Directory Access Protocoll (LDAP) beziehungsweise Active Directory (AD) von Vorteil.
- To-do: Datensouveränität herstellen
Datensouveränität beschreibt die größtmögliche Hoheit und Kontrolle über (eigene) Daten des Unternehmens ohne Zugriff oder Beschränkung durch Dritte. Ansonsten bestünde vor allem die Gefahr, dass einerseits unternehmenseigene Daten auch von Software-Anbietern zu eigenen Zwecken genutzt werden und andererseits eine irgendwann nötige Migration zu alternativen Anbietern nicht ohne Weiteres möglich ist. Hier müssen IT-Verantwortliche prüfen, welche Einfluss-, Zugriff- und Kontrollmöglichkeiten die IT-Abteilung hat. Dazu gehören Aspekte, wie eine freie Hostingwahl beim Anbieter, der Serverstandort Deutschland, der Verzicht auf Metadatenerhebung und -analyse durch den Tool-Anbieter sowie die sichere Anbindung von Drittsystemen. Ebenso sollte die Lösung sichere, steuerbare App-Container, ein Whitelisting von Anwender:innen, ein Nutzerpooling sowie die Möglichkeit bieten, Datenspeicherungsfristen und Fernlöschung zentral im Unternehmen selbst zu regeln.
- To-do: Cyberattacken vorbeugen
Der BSI-Lagebericht 2022 hat bereits verdeutlicht, dass die Zahl der Hackerangriffe und Cybersicherheitsvorfälle rasant zunimmt. Cybersicherheit ist damit das Top-Thema auf der IT-Agenda. Demzufolge muss auch eine sekundäre Kommunikationslösung entsprechende Sicherheitsanforderungen erfüllen, wie etwa die Umsetzung eines Zero-Trust-Prinzips, mit der sich unberechtigte Zugriffe durch Identifizierungs- und Authentifizierungsprozesse (z. B. Zwei-Faktor-Verfahren) abwehren lassen. Der Nachweis, dass höchste Sicherheitsstandards gelten – etwa durch eine ISO-27001-Zertifizierung des Rechenzentrums – zählt ebenso dazu wie der dortige Einsatz modernster Schutzmechanismen (z. B. Firewalls, Brandschutz und Sicherheitssoftware). Genauso relevant sind die Durchführung regelmäßiger Sicherheitsanalysen durch den Tool-Anbieter, die die dauerhafte Funktionsfähigkeit von Schutzmaßnahmen gewährleisten, die Verschlüsselung von Nachrichten, Inhalten und Metadaten sowie Datenspeicherungs- und Übertragungsverschlüsselung. Obendrein sollte eine Autorisierung von Endgeräten via Mobile Device Management (MDM) und Enterprise Mobility Management (EMM) erfolgen.
- To-do: Datenschutz einhalten
Besondere Anforderungen bestehen im Hinblick auf den Schutz von personenbezogenen Daten, die in Deutschland durch strenge Gesetze geregelt sind. Die IT-Abteilung sollte gemeinsam mit dem Datenschutzbeauftragten überprüfen, dass sich der Tool-Anbieter daran hält und beispielsweise die Grundsätze der Datensparsamkeit und -vermeidung in der Software abbildet. Es sollte keine komplizierten Datenschutzeinstellungen geben, sodass die Anonymisierung von Personendaten und weitere Schutzmaßnahmen gewährleistet sind. Prüfen sollten die IT-Verantwortlichen auch, wie die Authentifizierung der Nutzer:innen abläuft, wie die Datenspeicherung auf Endgeräten gelöst ist und wie sich Daten auch zuverlässig sichern oder löschen lassen. Selbst der Auftragsverarbeitungsvertrag (AVV), den das Unternehmen mit einem Kommunikationstool-Anbieter zu schließen verpflichtet ist, muss DSGVO-konform sein.
- To-do: Compliance & Co. berücksichtigen
In bestimmten Branchen können weitere rechtliche Anforderungen eine Rolle spielen – wie etwa die Verschwiegenheitspflicht, notwendige Risikobeurteilungen oder die Archivierung von Daten. So ist es beispielweise notwendig, dass das Tool Berechtigungskonzepte und Sicherheitsrichtlinien des Unternehmens optimal abbilden kann. Ebenso sind Archivierungs- und Protokollierungsfunktionen gefragt oder die Möglichkeit, Revisoren und externen Prüfern Zugang zu dokumentierten Daten zu gewähren. Wichtig dabei ist, dass sich Revisor-Zugänge entsprechend auf die dafür nötigen Rechte beschränken lassen. Dies unterstützt ein revisionssicheres Arbeiten und die Compliance, ohne dass damit unnötig Daten verteilt werden müssen.
Fazit: Worauf IT-Verantwortliche achten sollten
Für Administratoren und IT-Abteilungen in Unternehmen zählen längst nicht mehr nur funktionale Aspekte einer Software. Insbesondere im Bereich mobiler Kollaboration und Kommunikation gilt es für IT-Verantwortliche, umfassende Anforderungen zu berücksichtigen: von Compliance und Revisionssicherheit über Datensouveränität und Cybersicherheit bis hin zum Datenschutz. Geht es darum, eine passende Lösung – ob als primäres Tool oder als Zweitkanal – zu finden, sind die genannten To-dos unumgänglich.
Tobias Stepan ist Gründer und Geschäftsführer der Teamwire GmbH (teamwire.eu), die sich auf die sichere Kommunikation und mobile Zusammenarbeit von Unternehmen, Behörden und im Gesundheitswesen spezialisiert hat. Zuvor setzte er als Berater Wachstums- und Sanierungsprojekte bei Hightech-Unternehmen um und baute das Europa-Geschäft des amerikanischen IT-Start-ups Servo bis zum Exit an die japanische Kii Corporation auf. Tobias Stepan engagiert sich für die mobile Digitalisierung, innere Sicherheit und ein starkes, europäisches IT-Ökosystem.