Rückblickend ist vieles nicht mehr vorstellbar. Der Digitalisierungsschub, der durch die zwangsweise Umstellung der Arbeitswelt erfolgte, ist überall sichtbar. Aus der Not heraus haben viele Unternehmen ihre Bedenken beiseite geschoben und auf Cloud-Dienste zurückgegriffen. Zumeist wurde Microsoft 365 bereitgestellt.
Doch die Kurzfristigkeit, mit der agiert wurde, zeigt auch ihre Schattenseiten. Ohne die üblichen Projekt- und Changemanagement-Prozesse wurden Tools eingeführt, die einen erheblichen Einfluss auf den Betriebsablauf haben. Grundlegende Fragestellungen wie z. B. Datenschutzkonformität wurden dabei zurückgestellt.
Diese Herangehensweise war richtig und hat es der deutschen Wirtschaft ermöglicht, verhältnismäßig gut durch die Krise zu kommen. Nichtsdestotrotz ist nun, zwei Jahren später, die Zeit gekommen, die ordentliche Einführung der New-Work-Tools zu prüfen und gegebenenfalls offen gelassene Punkte und Schwachstellen zu schließen.
Hier gibt es zwei ineinandergreifende Handlungsstränge: Zum einen die organisatorischen Veränderungen, z. B. die Implementierung neuer Prozesse, bei denen weiterer Nachholbedarf besteht, zum anderen die technologischen Aspekte.
Dringenden Handlungsbedarf gibt es bei vielen Unternehmens beispielsweise im Bereich IT-Security. Durch die Verlagerung der Mitarbeitenden ins Homeoffice verändert sich der Perimeter: Wo bislang Firewalls die Grenze zwischen dem als sicher wahrgenommenen internen Netz und dem Internet gezogen haben, existiert heute keine klare Grenze mehr. Der Schutzbedarf hat sich damit verlagert: weg von den Systemen, hin zu den Identitäten. Dies wird z. B. in einer erhöhten Exposition für Phishing-Attacken deutlich.
Um die Basis für den langfristig erfolgreichen, risikolosen Betrieb des Modern Workplace sicherzustellen, sollte zunächst eine neutrale Bewertung des Status quo durchgeführt werden.
Beispielhafte Fragen, die im Rahmen einer Risikobewertung gestellt werden müssen:
- Welchen Gesundheitszustand hat das lokale Active Directory?
- Werden bestehende Anforderungen, z. B. an Backup- und Wiederherstellungszeiten, weiterhin erfüllt?
- Wie gut sind die Mitarbeitenden über die neuen Möglichkeiten informiert?
- Wie hoch ist das Risikobewusstsein?
Nach dieser Analysephase folgt die Konzeptionsphase, in der einerseits das kurzfristige Vorgehen hinsichtlich identifizierter Risiken und andererseits das mittelfristige Management der neu eingeführten Lösungen definiert werden. Dies ist nötig, da sich Cloud-Lösungen in einem steten Wandel befinden, so dass sich gegebenenfalls bereits in den vergangenen zwei Jahren Änderungen ergeben haben, die im pandemiebedingten Arbeitsmodus keine Berücksichtigung fanden. So war es vor einiger Zeit noch notwendig, zur Nutzung von Single Sign-on (SSO) eine ADFS-Farm zu betreiben. Durch die laufenden Verbesserungen von Azure AD Connect ist ADFS heute nicht mehr notwendig, und wird auch nicht mehr empfohlen – um nur ein Beispiel zu nennen.