Sicheres Coworking in Zeiten Von Corona
Total Page:16
File Type:pdf, Size:1020Kb
Sicheres Coworking in Zeiten von Corona Ein Leitfaden von PwC Cyber Security & Privacy 20. März 2020 Herausforderungen Pandemie Sicherheit Viele Unternehmen stehen auf Grund der aktuellen Ad-hoc aufgebaute Strukturen sind anders als die etablierten Strukturen Bedrohungslage von Covid-19 vor der Herausforderung, nicht auf Sicherheitslücken getestet und bergen damit nicht zu ihre Mitarbeiter remote anzubinden. unterschätzende Risiken in Bezug auf Datenschutz und Datensicherheit. Infrastruktur Lösung Üblicherweise sind die Infrastrukturen von Firmen nicht auf die Dieser Leitfaden soll Sie Anbindung aller Mitarbeiter an das Firmennetz ausgelegt. unterstützen, die richtige Eine Möglichkeit zur Fortführung der Tätigkeiten der Mitarbeiter Coworking Lösung für Ihr muss schnellstmöglich zur Verfügung gestellt werden. Unternehmen zu finden. Sicheres Coworking in Zeiten von Corona 20. März 2020 PwC Cyber Security & Privacy 2 Risiken, Prioritäten und Compliance Risiken bei der Bereitstellung von Ad-hoc Lösungen Auslastung Monitoring Nachvollziehbarkeit Evtl. sehr hohe Auslastung Verlagerung der Prioritäten Fehlende Koordination und von IT-Services, IT-Infrastruktur, innerhalb der IT-Organisation mangelhafte Kommunikationswege. Bandbreiten durch vermehrte und dadurch fehlendes oder Fehlender Fokus auf die Remote-Zugriffe auf das unzureichendes Monitoring von Dokumentation der Implementierung Unternehmensnetzwerk. Sicherheitsvorfällen. von Ad-hoc Lösungen. Fokus auf der Bereitstellung von Services, nicht auf Funktions- und Sicherheitstests vor Inbetriebnahme. Sicheres Coworking in Zeiten von Corona 20. März 2020 PwC Cyber Security & Privacy 4 Welche Prozesse sind essentiell für den Fortbestand des Unternehmens? Kernprozesse Welche Unternehmensbereiche bzw. Prozesse sind auf Ad-hoc Lösungen angewiesen (und geeignet)? Welche Prozesse erbringen für das Unternehmen bzw. dessen Kunden essentielle Leistungen? Personal Welche MitarbeiterInnen bzw. Benutzerzugänge sind für die Aufrechterhaltung dieser Prozesse zwingend erforderlich? Priorisierung Welche Bereiche und Prozesse werden priorisiert für Coworking freigeschaltet? Priorisierung dafür notwendiger IT-Services und ggf. Entlastung dieser, durch Sperrung nicht benötigter Services und Benutzerzugänge? Sicheres Coworking in Zeiten von Corona 20. März 2020 PwC Cyber Security & Privacy 5 Compliance Abgleich der Lösungsansätze mit Sicherheitsrichtlinien innerhalb der Organisation. Einhaltung geltender Gesetze (z.B. Datenschutz) und vertraglicher Regelungen zur Cyber Security (z.B. Kundenverträge). Berücksichtigung von Sicherheitsstandards bei der Beschaffung von Lösungen für den Notfallbetrieb. Sicheres Coworking in Zeiten von Corona 20. März 2020 PwC Cyber Security & Privacy 6 Leitfaden Sind Coworking Möglichkeiten vorhanden? JA NEIN Ausbau und Verwendung Auswahl und Implementierung Dinge, auf die Sie nun achten müssen: Dinge, auf die Sie nun achten müssen: • Systemressourcen • Auswahl der richtigen Produkte/Lösungen • Beschränkungen • Geeignete Skalierung • Lizenzen • Lizenzen und Vertragslaufzeiten • Information der Mitarbeiter • Implementierungsaufwand • Einhaltung der Richtlinien • Information der Mitarbeiter • Sicherheitsrisiken durch Last • Sicherheitsaspekte und Risiken • Eventueller Rückbau der Lösung Sicheres Coworking in Zeiten von Corona 20. März 2020 PwC Cyber Security & Privacy 8 Upscaling von vorhandenen Möglichkeiten des Remote-Arbeitens. Eine Coworking Möglichkeit EXISTIERT. Implementierung Richtlinien Sind genügend Systemressourcen Werden die vorhandenen Richtlinien (WAN, LAN, CPU, RAM) (Umgang mit Firmeninformationen, etc.) Dinge, auf die Sie nun achten müssen: für alle nötigen Mitarbeiter vorhanden? eingehalten? Wo sind die Bottlenecks der Lösung? Müssen Richtlinien angepasst werden? • Systemressourcen Last als Sicherheitsrisiko? • Beschränkungen Risiken Lizenzen • Lizenzen Welche Risiken entstehen? Wo werden Lizenzen benötigt? Wie können Risiken vermieden werden? • Information der Mitarbeiter Sind genügend Lizenzen vorhanden? • Einhaltung der Richtlinien Wer benötigt Lizenzen? Mitarbeiter Werden neue Lizenzen benötigt? Wie werden die Mitarbeiter über • Sicherheitsrisiken durch Last Wer beschafft die Lizenzen? die Möglichkeiten informiert? Welche Informationen benötigen die Mitarbeiter Monitoring (Handout, Anleitung)? Wie werden die Anforderungen der Nutzer bedient? Wie werden die Lösungen überwacht? Sicheres Coworking in Zeiten von Corona 20. März 2020 PwC Cyber Security & Privacy 9 Planung Welche Anforderungen existieren? Welche Produkte kommen in Frage? Eine Coworking Möglichkeit Systemressourcen Richtlinien EXISTIERT NICHT. On Premise vs. Cloud Werden die vorhandenen Richtlinien Wie schnell lässt sich die Lösung bereitstellen? (Umgang mit Firmeninformationen, etc.) eingehalten? Dinge, auf die Sie nun achten müssen: Kann die Lösung remote ausgerollt werden? Müssen Richtlinien angepasst werden? • Auswahl des richtigen Produkts Lizenzen Risiken • Geeignete Skalierung Kommerziell vs. Open Source Wo werden Lizenzen benötigt? Welche Risiken entstehen? • Lizenzen und Vertragslaufzeiten Sind genügend Lizenzen vorhanden? Wie können Risiken vermieden werden? • Implementierungsaufwand Wer benötigt Lizenzen? Werden neue Lizenzen benötigt? Mitarbeiter • Information der Mitarbeiter Wer beschafft die Lizenzen? Wie werden die Mitarbeiter über die Möglichkeiten informiert? • Sicherheitsaspekte und Risiken Monitoring Welche Informationen benötigen die Mitarbeiter • Eventueller Rückbau der Lösung (Handout, Anleitung)? Wie werden die Anforderungen der Nutzer bedient? Wie werden die Lösungen überwacht? Sicheres Coworking in Zeiten von Corona 20. März 2020 PwC Cyber Security & Privacy 10 Mögliche Lösungen In der Regel fallen für die gewerbliche Nutzung der genannten Lösungen Lizenzkosten an. Bei der Auswahl der Lösung sollte stets geprüft werden, welche Versionen im gewerblichen Kontext eingesetzt werden dürfen. Da einige Lösungen bzw. Dienste nicht in Einklang mit den Anforderungen der DSGVO stehen, sollte darüber hinaus geprüft werden, ob im Anwendungsfall personenbezogene Daten verarbeitet werden. Die hier aufgeführten Angaben zum Datenschutz beziehen sich auf die Angaben der Hersteller und wurden nicht explizit durch PwC geprüft. Collaboration – Voice and Video Lösung Sicherheit Risiko Implementierung Sicherheitsaspekte / Best Practice Niedrig Mittel Hoch Lizenzierung Deployment Standards Website (GSM-)Telefonie Kommunikation erfolgt unverschlüsselt Nicht notwendig Bereits Offen - × vorhanden Microsoft Skype P2P-Kommunikation, verschlüsselt, MFA 2 $/Nutzer/Monat, kostenlos Installation/ Proprietär .skype.com (for Business) × enthalten in Office 365 schnell Google Hangouts Nur Transport-Verschlüsselung, MFA Ab 4,68 €/Monat, Browser/ WebRTC hangouts.google.com (Meet)/Chats × Lizenzierung über GSuite schnell Cisco Webex Ende-zu-Ende Verschlüsselung, MFA Ab 12,85 €/Monat/Gastgeber Browser/ WebRTC/proprietär webex.com × Installation Zoom Transport-Verschlüsselung, Ende-zu-Ende Für kurze Meetings mit Installation Proprietär zoom.us Verschlüsselung(optional) × wenig Teilnehmern kostenlos Slack Nur Transport-Verschlüsselung, MFA Ab 6,25 € für Teams Installation WebRTC slack.com × bis 15 Mitglieder Microsoft Teams Nur Transport-Verschlüsselung, MFA Ab 4,20 €/Monat/Nutzer Browser/ Proprietär products.office.com/de- × für Office 365 Installation DE/microsoft-teams Jitsi Ende zu Ende Verschlüsselung, selbst gehostet Open Source Server- Offen www.jitsi.org × installation In der Regel fallen für die gewerbliche Nutzung der genannten Lösungen Lizenzkosten an. Bei der Auswahl der Lösung sollte stets geprüft werden, welche Versionen im gewerblichen Kontext eingesetzt werden dürfen. Da einige Lösungen bzw. Dienste nicht in Einklang mit den Anforderungen der DSGVO stehen, sollte darüber hinaus geprüft werden ob im Anwendungsfall personenbezogenen Daten verarbeitet werden. Die hier aufgeführten Angaben zum Datenschutz beziehen sich auf die Angaben der Hersteller und wurden nicht explizit durch PwC geprüft. Sicheres Coworking in Zeiten von Corona 20. März 2020 PwC Cyber Security & Privacy 12 Collaboration – Voice and Video – Aktuelle Empfehlungen Wegen der aktuellen Situation bieten zahlreiche Hersteller ihre Software für einen begrenzten Zeitraum kostenlos an. So darf beispielsweise TeamViewer aktuell auch ohne Lizenz unbegrenzt kommerziell genutzt werden, CISCO bietet eine vollwertige Testversion kostenlos für 90 Tage an. Mit der Open Source Lösung jitsi.org bietet sich die Möglichkeit, Videokonferenzen selbst zu hosten. Weitere Lösungen sind Google Hangouts und In der Regel fallen für die gewerbliche Nutzung der genannten Lösungen Lizenzkosten an. Bei der Auswahl der Lösung sollte stets geprüft werden, welche Versionen im gewerblichen Kontext eingesetzt werden dürfen. Da einige Lösungen bzw. Dienste nicht in Einklang mit den Anforderungen der DSGVO stehen, sollte darüber hinaus geprüft werden ob im Anwendungsfall personenbezogenen Daten verarbeitet werden. Die hier aufgeführten Angaben zum Datenschutz beziehen sich auf die Angaben der Hersteller und wurden nicht explizit durch PwC geprüft. Sicheres Coworking in Zeiten von Corona 20. März 2020 PwC Cyber Security & Privacy 13 Collaboration – Data Exchange Lösung Sicherheit Risiko Implementierung Sicherheitsaspekte / Best Practice Niedrig Mittel Hoch Lizenzierung Deployment Risiken Partner Email (On Premise) • Webzugang zum Emailpostfach Es sind normalerweise keine Schnell • Angriffe von Außen OWA (Enduser / Technical Staff) ist von extern erreichbar zusätzlichen