(press1) - 20. Mai 2020 - Was viele Unternehmen vor dem Hintergrund der Coronakrise vor große Herausforderungen stellt, ist bei uns schon lange Normalzustand. Seit sieben Jahren arbeiten viele Mitarbeiterinnen und Mitarbeiter in unserem Unternehmen im Homeoffice, und räumen dabei täglich mit gängigen Vorurteilen zum Thema Disziplin und Fleiß auf. Im Gegenteil, aus eigener Erfahrung kann ich bestätigen, dass man im Home-Office sehr diszipliniert und zielgerichtet arbeitet. Wenn die Arbeit gut organisiert ist, können die Mitarbeiter sogar intensiver und effizienter eingesetzt werden als das im Büro möglich wäre.



Mitarbeiter mit Remote-Zugriff reagieren in der Regel schneller auf E-Mails und terminisieren Telefonkonferenzen oft gleich für den nächsten Tag und nicht erst in einer Woche. Außerdem bearbeiten sie Dokumente deutlich schneller. Meiner Auffassung nach liegt es unter anderem daran, dass diese Mitarbeiter ihren Kollegen beweisen wollen, dass sie nicht auf der faulen Haut liegen.



Die Stunden, die ein Mitarbeiter nicht für die Fahrt zur Arbeit und andere organisatorische Aufgaben aufwenden muss, sind gewonnen Zeit. Man hat die Möglichkeit, zu arbeiten, wenn andere ihren Arbeitstag noch nicht begonnen haben oder nachdem sie bereits Feierabend gemacht haben. Diese Möglichkeiten sind ein nicht zu unterschätzender Vorteil. Gleichzeitig bleibt mehr Zeit für die Familie und den Haushalt.



Bei all diesen offenkundigen Vorteilen stellt der Remote-Modus jedoch ein erhöhtes Sicherheitsrisiko für die IT dar und wirft Fragen hinsichtlich der Kontrolle der Mitarbeiter auf. Im Folgenden werden wir daher nicht über die organisatorischen Aspekte der Remote-Arbeit sprechen, sondern über geeignete Programme und Apps, mit denen die genannten Probleme gelöst werden können. Wir behaupten nicht, dass die hier vorgestellte Auswahl optimal ist, aber wir haben einige Erfahrungen gesammelt (und aus einigen Fehlern gelernt), die wir in dieser schwierigen Zeit gern teilen.



Wer kein Freund der langen Worte ist, findet hier einen Link zur Übersicht der hier beschriebenen Programme und ihrer Alternativen.



Die Cloud ist unser Ein und Alles



Aufgrund unserer vielen Niederlassungen in verschiedenen Ländern und der hohen Kosten für Server-Support und -Verwaltung in den einzelnen Regionen haben wir unmittelbar nach der Krise im Jahr 2008 E-Mail, ERP, CRM, Telefonie und Videokonferenzen in die Cloud verlagert.



Damals beschränkte sich unsere Auswahl für die Cloud-basierte Vertriebsautomatisierung auf NetSuite und Salesforce. Mittlerweile geht die Zahl der Cloud-basierten CRM- und ERP-Systeme in die Hunderte. Damals haben wir Salesforce sogar teilweise für uns selbst lokalisiert. Letztendlich fiel die Wahl aber auf NetSuite und zwar allein deshalb, weil es über ERP, CRM und ein Partnerportal verfügte. Obwohl das System in der Anschaffung teuer ist und der Support sowie die Implementierung nicht einfach sind, wird NetSuite von uns allen bereits nicht mehr als Programm (was jedem immer als etwas umständliches erscheint), sondern als eine Technologie betrachtet.



In Sachen E-Mail gab es keine Zweifel: Gmail Business hat mit einem Schlag Probleme der Dokumentenablage, der elementaren Sicherheit wie Zwei-Faktor-Authentifizierung und der Spam-Abwehr sowie der Archivierung gelöst.



Davor haben wir zehn Jahre lang MS Exchange genutzt. Zu meiner großen Überraschung sind sogar die leidenschaftlichsten Fans von Outlook-Exchange auf die Weboberfläche von Gmail umgestiegen. Ich denke, die Schnelligkeit der Suche und die praktischen Tastenkombinationen haben dazu beigetragen.



Unsere Kollegen haben von Anfang an die Möglichkeiten von Google Drive für die Speicherung von Dokumenten und die gemeinsame Nutzung von Dateien geschätzt, und Hangouts für unkomplizierte Kommunikation genutzt.



Die Nutzung der Google-Dienste geht noch weiter: Auf Google Sites haben wir ein Wiki eingerichtet, um Mitarbeiter zu informieren und interne Dokumente zugänglich zu machen. Was den Dokumentenfluss und die Archivierung von Dokumenten betrifft, so gibt es heute viele verschiedene Möglichkeiten. Wir dabei bewusste auf eine einfache Lösung gesetzt: Docflow. Da GoogleDrive bereits vorhanden ist, setzen wir diese Lösung ein und haben sie mit dem Plugin von aodocs kombiniert.



Zum Signieren von digitalen Dokumenten wurde Docusign angeschafft. Im Moment reicht jedoch das kostenlose Signatursystem in Adobe Acrobat für die interne Nutzung aus.



Nach verschiedenen Berichten scheint China nach dem Corona-Shotdown die Hardwareproduktion fast wieder gänzlich wiederhergestellt zu haben. Ich denke aber, dass AWS, GCP und Azure nun zu den Verkaufsschlagern gehören werden, da sich in naher Zukunft niemand auf den Faktor Mensch als Nothelfer im Serverraum verlassen will oder kann.



Wir haben AWS als zentralen Standard gewählt, wobei wir alle Server, einschließlich der bisherigen 1C-Buchhaltung und der Asterisk-Telefonie, migriert haben. Einiges wurde aber auch auf Azure verlagert. Wir verwenden Google Anatyitcs nur zur Analyse unserer Websites, aber laden die gewonnen Daten nicht in Google BigQuery, da wir ansonsten die Google Cloud Plattform einsetzen müssten. AWS ist nicht gerade billig. Aber das Angebot ist sein Geld wert: Wir müssen uns keine Gedanken über Load-Balancing, rechtzeitige Ressourcenzuweisung bei Bedarf, DDoS und so weiter machen.



Um die Cloud-Kosten zu optimieren, verwenden wir Standard-AWS-Tools. Wenn Sie jedoch Services verschiedener Cloud-Anbieter in Ihrer Umgebung haben, empfehlen wir CloudHealth von VMware. Obwohl wir derzeit mit der AWS-eigenen Optimierung unser Auslangen finden, haben wir CloudHealth implementiert um für mögliche zukünftige Erweiterungen gerüstet zu sein.



Remote-Mitarbeiter - Remote-Zugriff



Bei uns gilt das BYOD-Prinzip: Die Mitarbeiter des Unternehmens arbeiten nach dem Konzept Bring-Your-Own-Device mit ihren eigenen PCs und Smartphones. Die Bereitstellung von Desktops und Anwendungen für Endbenutzergeräte, einschließlich mobiler Geräte, erfolgt über den Citrix Workspace für AWS (Infrastruktur virtueller Desktops, VDI). Darüber hinaus testen wir IGEL Thin Clients und VDI von VMware. Zur Lösung von Problemen der User mittels Fernwartung wird TeamViewer eingesetzt.



Gruppeninteraktion



Inzwischen erfolgt fast die gesamte Kommunikation per E-Mail. Allerdings sind wir uns darüber im Klaren, dass dies in erster Linie ein Mittel zur Kommunikation mit externen Auftragnehmern und für Vereinbarungen ist, da die Korrespondenz auch vor Gericht Bestand hat. Die interne Kommunikation haben wir von E-Mail auf Slack umgestellt. Sämtliche Standarddokumente, Arbeitsabläufe und Geschäftsprozesse fließen in das ERP-System ein.



Obwohl NetSuite über Module für das Projektmanagement verfügt, arbeitet die Abteilung für Software und Services beim Projektmanagement mit Trello. Zuvor hatten wir für ein anderes Projekt noch Asana, Wiki, Basecamp und schließlich Jira in Betracht gezogen, aber letztendlich fiel die Wahl auf die aktuelle Option.



Obwohl NetSuite über ein HRM-Modul verfügt, verwendet unser Unternehmen derzeit kein Personalinformationssystem (wir sind der Meinung, dass Linkedin ausreicht).



Das Kundenportal von Oracle NetSuite nutzen wir nur in der Grundversion. Das erweiterte Modul, das sogar von internationalen Softwareanbietern für den Verkauf elektronischer Lizenzen verwendet wird, übersteigt unsere Bedürfnisse.



Videokonferenzen



In Ermangelung persönlicher Besprechungen und Geschäftsreisen sind Videokonferenzen das Hauptinstrument bei der Zusammenarbeit mit Partnern.



Lange Zeit hat unser Unternehmen auf Adobe Connect und GoToMeeting gesetzt. Vor zwei Jahren haben wir jedoch einen unabhängigen Vergleich von Videokonferenz-Lösungen in Auftrag gegeben. Nach Auswertung der Ergebnisse und trotz der Tatsache, dass wir partnerschaftliche Beziehungen zu allen Herstellern haben, einschließlich des damals populärsten Anbieters Cisco/Webex, sind wir zu dem Schluss gekommen, dass Zoom in unserem Fall am besten geeignet ist. Ich habe die Entscheidung nie bereut. Lediglich die Tatsache, dass es notwendig ist, sorgfältig darauf zu achten, dass die Videokonferenzen der verschiedenen Mitarbeiter nicht zusammenfallen, stört ein wenig. Dies ist übrigens eine weitere Bestätigung für die These, dass Remote-Arbeit mehr Disziplin erfordert. Außerdem zeichnen wir Videos oft auf und laden sie auf unsere YouTube-Kanäle hoch, um sie später interessierten Kunden und Partnern zur Verfügung stellen zu können.



Unseren Mitarbeitern steht es darüber hinaus frei, bei Bedarf auch Google Hangout, Amazon Chime und Skype zur Kommunikation mit Kunden und Partnern zu nutzen.



Vertrauliche Kommunikation



Durch die aktuelle Corona-Krise ist es nicht mehr möglich, Meetings in einem Konferenzraum zu organisieren. Viele Geschäftspartner haben zudem Zweifel an der Vertraulichkeit von Handy-Gesprächen. Ich weiß zwar nicht, wer als ungebetener Gast "mithört" und wer nicht. Aber Schweizer Produkte wie Threema und Wire genießen nicht ohne Grund das größte Vertrauen in der Geschäftswelt. Dies löst jedoch nicht das Problem bei der Kommunikation mit Ländern außerhalb Europas. Zum Beispiel funktionieren Skype, WhatsApp, Viber oder Telegram nicht in China, dafür verwendet man dort IMO oder WeChat. Wir setzen große Hoffnungen in den Schweizer Hersteller Adeya, der Verschlüsselung in Militärqualität anbietet (bzw. eigene Verschlüsselungsbibliothek entwickelt) und es Kunden ermöglicht, das System in ihrer Firma oder Cloud bereitzustellen. Die Adeya-Cloud wird in der Schweiz gehostet und ist durch die Schweizer Datenschutzgesetze und natürlich die DSGVO geschützt.



Kontrolle der Mitarbeiter



Ungeachtet der Motivation der Mitarbeiter muss man manchmal herausfinden, was der jeweilige Mitarbeiter zu einem bestimmten Zeitpunkt getan hat. Wer die genaue Stundenzahl der Mitarbeiter verfolgen will, wenn auch nicht zur Überwachung, sondern z. B. für die Weiterverrechnung mit Kunden, stehen zahlreiche Produkte wie Time Doctor, Hubstaff, Harvest, Toggl, TSheets usw. zur Verfügung.



In einer Reihe von Ländern ist es gesetzlich verboten, Mitarbeiter zu überwachen. Als Unternehmer können und sollten Sie jedoch sicherheitsrelevante Vorfälle untersuchen. Folgende Produkte eignen sich für die Aufzeichnung von Sitzungen: Cyber Ark, Observer, Ekran Systems, Netwrix, Balabit (One Identity) usw. Wir verwenden CyberArk, weil dieses System auch eine Reihe anderer IT-Sicherheitsprobleme löst.



VPN und Zwei-Faktor-Authentifizierung als Grundlage der digitalen Hygiene



Wenn sich Benutzer außerhalb des geschützten Bereichs befinden und sich in der Regel über ihr heimisches WLAN ins Internet gehen, müssen Mindestanforderungen an die Sicherheit erfüllt werden. Zusätzlich zu regelmäßig geänderten komplexen Passwörtern sollte jeder VPN verwenden. Wir verwenden Lösungen von Barracuda Network und Forcepoint/Stonesoft sowie die freien Lösungen OpenVPN und ProtonVPN.



Diese Lösungen setzen wir auch für Smartphones ein und fordern unsere Mitarbeiter auf, die automatische Verbindung zu bekannten WLAN-Netzwerken zu deaktivieren, um sich vor Wardriving zu schützen.



Wir haben mittlerweile alle Cloud-Dienste auf Zwei-Faktor-Authentifizierung umgestellt, da unser E-Mail-System in regelmäßigen Abständen Ziel von Hackerangriffen war.



Auf Antivirenprogramme und Firewalls auf jedem PC muss ich nicht extra hinweisen. Für einen Remote-Mitarbeiter ist beides obligatorisch, und die Liste der verfügbaren Programme würde den Rahmen sprengen.



Mitarbeiter im Homeoffice sind anfälliger für Betrug



Im Jahr 2018 wurde der Markt für Cybersicherheit auf 248 Milliarden US-Dollar geschätzt. Er wird in den nächsten 3 Jahren jährlich um 10 bis 13 % wachsen. Der Teil des Marktes, der sich auf die Betrugsbekämpfung bezieht, beläuft sich zwar "nur" auf 20 Milliarden US-Dollar, wächst aber um 25 bis 30 % pro Jahr. Und ein Teil des Marktes - für die Ausprägung von Sicherheitsbewusstsein und Schulungen - wächst jährlich um 40 bis 50 %. Das ist darauf zurückzuführen, dass das schwächste Glied in der Sicherheitskette der Mensch ist. Die Mitarbeiter müssen ständig geschult werden um aus ihren Fehlern zu lernen. Wir nutzen CybeReady, um unseren Kollegen zu zeigen, wie man Phishing erkennung kann. Solche Lösungen werden auch von Cofense (Phishme), Dcoya, Barracuda Network und anderen angeboten.



Es kann nie genug Sicherheit geben



Wir unterhalten eine gemischte Computer-Umgebung mit unterschiedlichen Betriebssystemen. Wir müssen regelmäßig dafür sorgen, dass auf jedem Rechner die Browser und Betriebssysteme aktualisiert und Patches eingespielt werden. Als Patch-Management-Plattform kommt Ivanti zum Einsatz. Zum Management von Schwachstellen werden Rapid7-Produkte eingesetzt. Es gibt auch geeignete Lösungen von Tenable und Qualys. Um den Zugriff privilegierter Benutzer zu steuern, verwenden wir CyberArk.



In einigen Ländern werden Websites vom Staat blockiert. Es gibt eine elegante Lösung, die ohne Tor-Browser und andere Hilfsmittel auskommt: Sie nennt sich isolierter Remote-Browser. Diese Lösung erübrigt die Sorge um die Web-Sicherheit und löst das Problem der Zensur. Ähnliche Lösungen bieten Ericom, Symantec, mcafee und Menlo an.



Wenn Ihr Unternehmen eher klein ist, werden Sie SIEM - Security Information and Event Management - wahrscheinlich nicht benötigen. Abhängig von den Besonderheiten Ihres Unternehmens benötigen Sie möglicherweise DLP, SWG, Verschlüsselung, OTP usw. Für einen Wechsel in die Cloud benötigen Sie einen CASB, Cloud Access Security Broker. Wenn Sie Ihr eigenes SOC haben oder Security as a Service auslagern, dann benötigen Sie unseren Rat wahrscheinlich nicht.



Lösungen für Unternehmen aus der Fertigungsindustrie und kritischen Infrastruktur



Softprom konzentriert sich in den Ländern der EU verstärkt auf die Sicherheit von Industrie-Netzwerken und kritischen Infrastrukturen. Eine der unverzichtbaren Optionen für die SCADA-Sicherheit ist eine Datendiode - ein Gerät, das die Übertragung von Signalen an ein industrielles Netzwerk physikalisch nicht zulässt, sondern nur das Lesen erlaubt, damit Angreifer oder böswillige Insider keine Schäden anrichten können. Wir selbst betreuen keine Produktionsanlagen, aber WaterFall, der Marktführer in diesem Bereich, bietet für seine Kunden seine kostenlose Remote-Management Option "Remote Screen View" für Krisenzeitung in der Fertigung an, wenn den Mitarbeitern vor Ort der Zutritt nicht gestattet ist.





Pläne für die Krise



Wir planen für die Zeit des "Shutdowns" in vielen Ländern unter anderem, alle Anbieter um vorübergehenden kostenlosen oder ermäßigten Zugang zur Unterstützung unserer Kunden zu bitten.



Langfristig gesehen wollten wir schon länger eine Schulung mit Coursera für Remote-Benutzer einführen. Dass jetzt viele Menschen unter Quarantäne gestellt werden, beschleunigt den Prozess nur noch.



Dazu müssen wir nun DocuSign für externe Vertragspartner implementieren, da wir sie lange Zeit nicht live bzw. nur in Videokonferenzen sehen werden.



Wir stellen fest, dass Mitarbeiter häufig vertrauliche Informationen auf Smartphones nutzen. Also gibt es einen klaren Bedarf, eine MDM-/EMM-Lösung bereitzustellen. Diese kommt höchstwahrscheinlich von MobileIron, einem Spezialisten auf diesem Gebiet (eine Alternative zu Vmware AirWatch, Citrix MDM).



Die letzte Krise im Jahr 2008 hat uns in die Cloud geschickt. Die jetzige Situation zwingt uns vielleicht dazu, einen Schritt in Richtung moderne KI zu gehen. Wir denken über digitale Verkaufsassistenten und einen Omnichannel nach, aber das ist noch Zukunftsmusik.





