Corona Lessons Learnt für IAM?

Zuhause arbeiten: Das war in vielen Firmen und öffentlichen Einrichtungen bislang kaum vorstellbar. Insbesondere für sicherheitsrelevante Tätigkeiten, zu denen das Arbeiten mit IAM-Systemen gehört. Während des Lockdowns wurden Projektarbeiten eingestellt oder es konnte nur unter sehr erschwerten Bedingungen weitergearbeitet werden. Das war vor allem bei einigen Banken und bei Sicherheitsbehörden der Fall

Vielen Unternehmen ist die persönliche Präsenz und Interaktion in den Projekten sehr wichtig – auch hier wurden Projektarbeiten zurückgefahren oder eingestellt. Für die «virtuelle Weiterführung» von Projekten war die IPG in den meisten Fällen in der Lage remote weiterzuarbeiten. Wir sind in der Fernzugriffs-Arbeit erprobt und verfügen über ein ausgereiftes Setup. Dabei haben wir IPG-seitig versucht, soweit möglich, tatsächlich auch per Video zu interagieren und uns per Videokonferenz persönlich abzustimmen, weil es einfach persönlicher ist, sich auch zu sehen.

1. Remote arbeiten funktioniert: Insbesondere, wenn sich das Projektteam persönlich kennt. Je länger desto besser. Trotzdem fehlt der informelle Austausch, die ad-hoc Abstimmung von Details oder die Klärung strategisch wichtiger Fragen „beim Kaffee“. Deshalb sollte das Zuhause Arbeiten kein Dauerzustand sein und werden, zumindest nicht für das gesamte Team. Der Start neuer Projekte ist und bleibt ohne persönliche Treffen allerdings schwierig.

2. Remote arbeiten geht auch technisch – aus IT Security Sicht. Dabei erweisen sich die klassischen Ansätze wie VPN und Multifaktorauthentisierung als vergleichsweise schwerfällig wenn man schnell agieren muss. 

3. Remote arbeiten MUSS gehen: Gerade bei kritischen Infrastrukturen ist es eben der falsche Weg zu fordern, dass administrative oder andere privilegierte Tätigkeiten ausschließlich vor Ort zu erbringen sind: Was macht man, wenn das nicht oder kaum mehr möglich ist? Wenn die betroffenen Mitarbeitenden beispielsweise unter häuslicher Quarantäne stehen, ansonsten aber handlungsfähig sind? Und wenn gleichzeitig die Anzahl und Intensität von Cyberangriffen wächst? Dann muss die klassische Perimetersicherheit ergänzt werden durch andere Sicherheitsmerkmale. Eine sehr gute Option bieten dafür PAM-Lösungen. Diese stellen nicht nur sicher, dass ausschließlich berechtigte Personen mit privilegierten Rechten auf kritischen Systemen arbeiten können. Sie sind auch in der Lage, die Sessions zu überwachen und nur die Aktivitäten zu erlauben, die im gegebenen Kontext zulässig sind. 

Interessant ist schließlich: Manche ansonsten sehr schwerfälligen Institutionen haben in der Krise eine erstaunliche Beweglichkeit bewiesen. Das funktioniert aber nur dort, wo es bislang „einsame Rufer in der Wüste“ gab, die längst eine Modernisierung oder Flexibilisierung der Arbeit gefordert haben und über mögliche Lösungen nachgedacht haben: Sie haben jetzt eine Stimme bekommen, um längst fällige Maßnahmen umsetzen zu können.