Wie lassen sich moderne, benutzerfreundliche und trotzdem sichere Arbeitsumgebungen für Mitarbeiter, Kunden und Partner im Internet realisieren? Unsere 10 Best Practices zeigen, wie jede IT-Abteilung an Agilität gewinnt und mit Web-Anwendungen und Portalen einen flexiblen und sicheren Informationszugang für Kunden und Mitarbeiter bietet.
Web Anwendungen und Portale sind ein Dauerthema in vielen IT-Abteilungen weil sie flexibles und mobiles Arbeiten ermöglichen. Mitarbeiter fordern für die Erledigung ihrer Aufgaben einen zeit- und ortsunabhängigen Zugang zu benötigten Informationen. Kunden und Partner möchten ihre Geschäfte statt per Telefon, Post und E-Mail direkt via Webbrowser abwickeln. Viele Geschäftsbereiche möchten ihre Abläufe mit Web Services automatisieren.
Anforderungen an Web-Anwendungen in digitalen Geschäftsprozessen
Bei dieser Fülle an Erwartungen liegt auf der Hand, dass sich die IT heute an die Anforderungen des Business anpassen muss. Nur so kann sie eine effiziente Zusammenarbeit und eine sinnvolle Automatisierung unterstützen und die Flexibilität, die Benutzerfreundlichkeit und die Effizienz des Unternehmens erhöhen.
Bei der Umsetzung der digitalen Geschäftsprozesse im oben geschilderten Sinne stellen sich drei wesentliche Anforderungen: Sicherheit, Benutzerfreundlichkeit und Interoperabilität. Nur dann erreichen Unternehmen die notwendige Flexibilität und halten sich die Türen für zukünftige Geschäftschancen offen.
Ohne Benutzerfreundlichkeit geht nichts
Die heutige Gesellschaft ist stark auf Commodity fokussiert. Für die IT bedeutet dies, dass sie die Akzeptanz der User nur dann erlangt, wenn man ihnen ein hohes Mass an Benutzerfreundlichkeit bietet. So muss bei der Digitalisierung jederzeit ein Augenmerk auf die Einfachheit gesetzt werden. Wer das Credo der Usability unterschätzt, hat in den Zeiten des Internets viel zu verlieren. Zu rasch schauen sich gestresste Mitarbeiter, überforderte Kunden oder Partner nach einer einfacheren Alternative um.
Interoperabilität wird immer wichtiger
Leider gehen viele Hersteller auch heute noch davon aus, dass Unternehmen ihre Prozesse an die zur Verfügung gestellte Technologie anpassen. Doch moderne Unternehmen lassen sich durch Technologie nicht mehr in die Schranken weisen und fordern, zu Recht, dass sich die Technologie an heutige und zukünftige Anforderungen ihrer Geschäftsprozesse flexibel adaptieren lässt. Der Faktor der Interoperabilität ist hier ausschlaggebend und ermöglicht trotz breitgefächerter Technologie-Landschaft volle Flexibilität.
IT-Sicherheit – das Fundament für unternehmerischen Erfolg
Der Grossteil der Unternehmen befindet sich längst auf dem Weg zur Digitalisierung ihrer Geschäftsprozesse. Sie haben ihre Kernanwendungen über das Internet erreichbar gemacht, ohne sich von der IT-Sicherheit aufhalten zu lassen. Doch spätestens wenn Audits vor der Tür stehen oder Hacker ihr Spiel treiben, müssen sie sich um die Sicherheitslücken kümmern um die IT-Sicherheitsziele weiterhin aufrecht zu erhalten.
Nicht nur Grossunternehmen wie Ebay, RSA oder Adobe kämpften bereits mit Sicherheitsvorfällen, die ein immenses Schadensausmass nach sich ziehen. Die heutige Bedrohungslage macht auch vor den KMU und Start-ups nicht halt, und gerade sie treffen Vermögenseinbussen oder Reputationsverlust noch viel härter als die Grosskonzerne.
Hacker machen sich mittels Zufalls-Attacken Applikationen zu nutze, die ohne den erforderlichen Schutz via Internet erreichbar sind; Untersuchungen von WhiteHat (2013) zeigen, dass davon mehr als 86% aller Web-Anwendungen betroffen sind. Sogenannte „Targets of Choice“ – bekannte Unternehmen, wertvolle Markennamen – müssen sich zusätzlich vor gezielten Angriffen schützen, hinter denen eine spezifische Absicht steckt. Dabei wird ein viel höherer Aufwand betrieben und die Wahrscheinlichkeit eines erfolgreichen Angriffs ist dadurch deutlich erhöht.
Die nachfolgenden Best Practices zeigen auf, wie jedes Unternehmen einen wirkungsvollen Schutz für seine Web-Anwendungen und Portale herstellt und dabei gleichzeitig die hohen Anforderungen an die Benutzerfreundlichkeit und an die Interoperabilität erfüllt.
Die 10 Best Practices
1. Vereinfache Deine Infrastruktur, reduziere Komplexität
In digitalen Geschäftsprozessen kommen typischerweise eine Vielzahl unterschiedlicher Anwendungen zum Einsatz. In einer komplexen Applikationslandschaft kann der Aufwand für die interne IT für die Sicherheit aller Anwendungen explodieren: Das Einspielen der neusten Sicherheitspatches, die laufende Wartung und ein funktionierendes Access Management für jede Applikation sind nebst einer sauberen Dokumentation nur einige Beispiele dafür.
Zentralisiere die Sicherheitsinfrastruktur
Der wirksamste Schritt zur Vereinfachung der Sicherheit ist die Auslagerung der Zugriffs- und der Zugangskontrolle in eine spezialisierte Lösung. Auf diese Weise ist für die Sicherheit der in den Geschäftsprozessen eingesetzten Anwendungen an einer einzigen Stelle zentral gesorgt.
Dies bedeutet für die IT, dass Securitypatches nur noch ein einziges Mal eingespielt werden, die Wartung vereinfacht wird und das Access Management der Benutzer für alle Anwendungen zentral erfolgen kann. Das Konzept der Zentralisierung der Sicherheitsinfrastruktur vereinfacht die Wartung der Applikationen. Dadurch und durch die verbesserte Verfügbarkeit ihrer Anwendungen sparen Sie Kosten. Zudem bildet die Entkoppelung der Sicherheitsinfrastruktur und das dadurch erhöhte Sicherheitsniveau die Basis für die einfache Erfüllung vieler weiterer Best Practices.
2. Sei besser als der Durchschnitt
Gelegenheit macht Diebe, das gilt auch für Hacker. Sie merken schnell, wo sie einfaches Spiel haben und wo sie sich die Zähne ausbeissen werden. Deshalb lohnt es sich, Anwendungen, die via Internet zugänglich sind, zuverlässig vor Attacken zu schützen.
Schütze Web-Applikationen und andere via Internet erreichbare Services
Da meist nicht nur eine, sondern gleich mehrere Anwendungen über das Web erreichbar sind, schützen sie die Anwendungen am besten mit einer Web Application Firewall. Diese steht zentral vor den Anwendungen und nimmt alle Anfragen von den Clients entgegen und überprüft diese. Ungültige Anfragen werden erkannt und gefiltert, Attacken blockiert. Nur gültige Anfragen werden an die Anwendungen weitergeschickt. Auf diese Weise bleiben diese vor den gängigen Zufallsattacken geschützt und verfügen über einen soliden Basisschutz gegen gezielte Attacken.
3. Kommuniziere verschlüsselt
Zwischen der Web-Anwendung und dem Benutzer steht das Internet. Die übermittelten Daten sind bei der Übertragung für jeden lesbar. Es sei denn, sie sind verschlüsselt.
SSL-Verschlüsselung auf der Höhe der Zeit
Schützen Sie alle Daten vor unberechtigten Mitlesern und vor Veränderung, indem diese bei der Übertragung zwischen Anwendung und Nutzer verschlüsseln.
Definieren Sie abhängig von der Anwendung, respektive der Vertraulichkeit der ausgetauschten Daten, Mindestanforderungen an die zu verwendenden Verschlüsselungsverfahren. Unterstützt der Browser des Clients die geforderte Verschlüsselung nicht, kommt die Verbindung gar nicht erst zustande.
Verschlüsselung ist das A und O und SSL der State-of-the-Art. Für besonders vertrauliche Daten sollte bei der Verschlüsselung Perfect Forward Secrecy zum Einsatz kommen. Im Gegensatz zur herkömmlichen Verschlüsselung bleiben mit Perfect Forward Secrecy verschlüsselt übermittelte Informationen auch dann geschützt, wenn der Datenverkehr abgefangen wird und Spione später – sei es aufgrund neu entdeckter Sicherheitslücken wie kürzlich Heartbleed – in den Besitz der privaten Schlüssel der Server kommen.
Michael Liebi ist Gründer und nun als Board Member bei United Security Providers tätig.