Früher gab es eine Zeit, in der risikoscheue Unternehmen die Fähigkeit ihrer Geschäftsanwender, kostspielige Fehler zu machen, stark einschränken konnten. Bei begrenztem technischem Know-how, strengen Berechtigungen und mangelndem Rückenwind wäre das Schlimmste, was ein Geschäftsanwender tun könnte, Malware herunterzuladen oder auf eine Phishing-Kampagne hereinzufallen. Diese Zeiten sind nun vorbei.
Heutzutage, Jede große Software-as-a-Service-Plattform (SaaS) wird im Paket geliefert mit Automatisierungs- und Anwendungsentwicklungsfunktionen, die für Geschäftsanwender entwickelt und direkt an diese vermarktet werden. SaaS-Plattformen wie Microsoft 365, Salesforce und ServiceNow werden integriert No-Code/Low-Code-Plattformen in ihre bestehenden Angebote integrieren und sie direkt in die Hände von Geschäftsanwendern legen, ohne die Zustimmung des Unternehmens einzuholen. Funktionen, die früher nur den IT- und Entwicklungsteams zur Verfügung standen, sind jetzt im gesamten Unternehmen verfügbar.
Power Platform, die Low-Code-Plattform von Microsoft, ist in Office 365 integriert und aufgrund der starken Präsenz von Microsoft im Unternehmen und der Geschwindigkeit, mit der sie von Geschäftsanwendern übernommen wird, ein hervorragendes Beispiel. Vielleicht ohne es zu merken, legen Unternehmen die Macht auf Entwicklerebene in die Hände von mehr Menschen als je zuvor, die über weitaus weniger Sicherheits- oder technische Kenntnisse verfügen. Was könnte möglicherweise falsch laufen?
Eigentlich ziemlich viel. Schauen wir uns einige Beispiele aus meiner Erfahrung aus der Praxis an. Die Informationen wurden anonymisiert und geschäftsspezifische Prozesse wurden weggelassen.
Situation 1: Neuer Anbieter? Tun Sie es einfach
Das Kundenbetreuungsteam eines multinationalen Einzelhandelsunternehmens wollte seine Kundendaten mit Verbrauchereinblicken anreichern. Sie erhofften sich vor allem mehr Informationen über Neukunden, um diese bereits beim Erstkauf besser betreuen zu können. Das Kundenbetreuungsteam entschied sich für einen Anbieter, mit dem es gerne zusammenarbeiten würde. Der Anbieter verlangte die Übermittlung von Daten zur Anreicherung, die dann von seinen Diensten abgerufen wurden.
Normalerweise kommt hier die IT ins Spiel. Die IT müsste eine Art Integration aufbauen, um Daten zum und vom Anbieter zu übertragen. Natürlich müsste auch das IT-Sicherheitsteam einbezogen werden, um sicherzustellen, dass diesem Anbieter Kundendaten anvertraut werden können und der Kauf genehmigt werden kann. Auch Beschaffung und Recht hätten eine Schlüsselrolle gespielt. In diesem Fall ging es jedoch in eine andere Richtung.
Dieses spezielle Kundenbetreuungsteam bestand aus Microsoft Power Platform-Experten. Anstatt auf Ressourcen oder Genehmigungen zu warten, haben sie die Integration einfach selbst erstellt: Sie sammelten Kundendaten von SQL-Servern in der Produktion, leiteten alles an einen vom Anbieter bereitgestellten FTP-Server weiter und holten angereicherte Daten vom FTP-Server zurück die Produktionsdatenbank. Der gesamte Prozess wurde jedes Mal automatisch ausgeführt, wenn ein neuer Kunde zur Datenbank hinzugefügt wurde. Dies alles geschah über Drag-and-Drop-Schnittstellen, gehostet auf Office 365 und über ihre persönlichen Konten. Die Lizenz wurde aus eigener Tasche bezahlt, wodurch die Beschaffung nicht mit einbezogen wurde.
Stellen Sie sich die Überraschung des CISO vor, als er feststellte, dass eine Reihe von Geschäftsautomatisierungen Kundendaten an eine fest codierte IP-Adresse in AWS verschickten. Als reiner Azure-Kunde war dies ein großes Warnsignal. Darüber hinaus wurden die Daten über eine unsichere FTP-Verbindung gesendet und empfangen, was ein Sicherheits- und Compliance-Risiko darstellte. Als das Sicherheitsteam dies mithilfe eines speziellen Sicherheitstools feststellte, bewegten sich die Daten bereits seit fast einem Jahr innerhalb und außerhalb der Organisation.
Situation 2: Ohh, ist es falsch, Kreditkarten zu sammeln?
Das HR-Team eines großen IT-Anbieters bereitete sich auf eine einmal im Jahr stattfindende „Give Away“-Kampagne vor, bei der Mitarbeiter aufgefordert werden, für ihre Lieblings-Wohltätigkeitsorganisation zu spenden, wobei das Unternehmen jeden von Mitarbeitern gespendeten Dollar verdoppelt. Die letztjährige Kampagne war ein voller Erfolg und die Erwartungen schossen in die Höhe. Um die Kampagne voranzutreiben und manuelle Prozesse zu vereinfachen, nutzte ein kreativer HR-Mitarbeiter die Power Platform von Microsoft, um eine App zu erstellen, die den gesamten Prozess vereinfachte. Um sich zu registrieren, muss sich ein Mitarbeiter mit seinem Firmenkonto bei der Anwendung anmelden, seinen Spendenbetrag einreichen, eine Wohltätigkeitsorganisation auswählen und seine Kreditkartendaten für die Zahlung angeben.
Die Kampagne war ein großer Erfolg, mit einer rekordverdächtigen Beteiligung der Mitarbeiter und einem geringen manuellen Aufwand für die HR-Mitarbeiter. Aus irgendeinem Grund war das Sicherheitsteam jedoch mit dem Ausgang der Dinge nicht zufrieden. Bei der Registrierung für die Kampagne stellte ein Mitarbeiter des Sicherheitsteams fest, dass Kreditkarten in einer App gesammelt wurden, die nicht so aussah, als ob dies der Fall sein sollte. Bei der Untersuchung stellte sich heraus, dass diese Kreditkartendaten tatsächlich unsachgemäß gehandhabt wurden. Kreditkartendaten wurden in der standardmäßigen Power Platform-Umgebung gespeichert, was bedeutet, dass sie für den gesamten Azure AD-Mandanten, einschließlich aller Mitarbeiter, Lieferanten und Auftragnehmer, verfügbar waren. Darüber hinaus wurden sie als einfache Klartext-String-Felder gespeichert.
Glücklicherweise wurde der Datenverarbeitungsverstoß vom Sicherheitsteam entdeckt, bevor böswillige Akteure – oder Compliance-Prüfer – ihn bemerkten. Die Datenbank wurde bereinigt und die Anwendung wurde gepatcht, um Finanzinformationen gemäß den Vorschriften ordnungsgemäß zu verarbeiten.
Situation 3: Warum kann ich nicht einfach Gmail verwenden?
Als Benutzer mag niemand Kontrollen zur Verhinderung von Unternehmensdatenverlust. Selbst wenn es nötig ist, verursachen sie lästige Reibungsverluste im Tagesgeschäft. Daher haben Benutzer immer versucht, sie zu umgehen. Ein beständiges Tauziehen zwischen kreativen Geschäftsanwendern und dem Sicherheitsteam ist die Unternehmens-E-Mail. Unternehmens-E-Mails mit einem persönlichen E-Mail-Konto oder Unternehmenskalender mit einem persönlichen Kalender synchronisieren: Sicherheitsteams haben dafür eine Lösung. Sie setzen nämlich E-Mail-Sicherheits- und DLP-Lösungen ein, um die E-Mail-Weiterleitung zu blockieren und die Datenverwaltung sicherzustellen. Damit ist das Problem gelöst, oder?
Nun, nein. Ein wiederholter Befund In großen und kleinen Unternehmen stellt man fest, dass Benutzer Automatisierungen erstellen, die E-Mail-Kontrollen umgehen, um ihre Unternehmens-E-Mails und Kalender an ihre persönlichen Konten weiterzuleiten. Anstatt E-Mails weiterzuleiten, kopieren sie Daten von einem Dienst und fügen sie in einen anderen ein. Durch die Anmeldung bei jedem Dienst mit einer separaten Identität und die Automatisierung des Kopier- und Einfügevorgangs ohne Code können Geschäftsbenutzer Sicherheitskontrollen problemlos umgehen – und für Sicherheitsteams gibt es keine einfache Möglichkeit, dies herauszufinden.
Die Power Platform-Community hat sich sogar entwickelt Vorlagen dass jeder Office 365-Benutzer zugreifen und verwenden kann.
Mit großer Macht kommt große Verantwortung
Die Stärkung der Geschäftsanwender ist großartig. Geschäftsbereiche sollten nicht auf die IT warten oder um Entwicklungsressourcen kämpfen. Allerdings können wir Geschäftsanwendern nicht einfach die Macht auf Entwicklerebene ohne Anleitung oder Leitplanken geben und erwarten, dass alles gut wird.
Sicherheitsteams müssen Geschäftsanwender schulen und sie auf ihre neuen Verantwortlichkeiten als Anwendungsentwickler aufmerksam machen, selbst wenn diese Anwendungen „ohne Code“ erstellt wurden. Sicherheitsteams sollten außerdem Leitplanken und Überwachungsmaßnahmen einrichten, um sicherzustellen, dass ein Fehler von Geschäftsanwendern, wie wir ihn alle tun, nicht zu umfassenden Datenlecks oder Compliance-Audit-Vorfällen führt.
