Sicherheit ohne Abstriche in puncto Flexibilität und Innovation

Oceanit hält strenge Sicherheitsanforderungen ein und bietet gleichzeitig Tools für die Zusammenarbeit an, die den Innovationsgeist der Teams stärken.

Fotos eines Wissenschaftlers bei Oceanit, der Dropbox verwendet

von David Takeyama, IT-Leiter bei Oceanit

Sicherheit hat für IT-Experten höchste Priorität; bei Cyber-Bedrohungen den Durchblick zu behalten, ist daher ein Vollzeitjob. Will man die Infrastruktur des Unternehmens schützen und gleichzeitig seine Daten sichern, muss man oft Kompromisse in Kauf nehmen. Möglicherweise muss man den Zugriff auf bestimmte, potenziell gefährliche Tools und Online-Plattformen begrenzen oder verweigern. Dadurch hindert man Mitarbeiter aber auch daran, entscheidende Ressourcen zu nutzen, die sie brauchen, um als Team Projekte umzusetzen.

Allzu oft verfolgen Unternehmen in Bezug auf Sicherheit einen Alles-oder-nichts-Ansatz und sperren alles und jeden. Flexibilität ist aber ein entscheidender Bestandteil von Wettbewerbsfähigkeit. Einige Nutzer arbeiten an sensiblen Projekten und brauchen daher mehr Schutz, während andere bereits mit weniger Einschränkungen sicher sein können. Es ist nur selten sinnvoll, Ihre gesamte Belegschaft auf ein und dieselben Tools und Berechtigungen zu beschränken.

Technologie im Einsatz bei Oceanit
Logo von Oceanit

Die Werte unserer Insel bestehen über jede Entfernung

Wir sind ein multidisziplinäres Wissenschafts-, Technologie- und Ingenieurbüro mit mehr als 160 Wissenschaftlern und Ingenieuren in Hawaii (wo sich unser Hauptsitz befindet), Kalifornien, Texas und Washington, D.C. Als hawaiianisches Unternehmen pflegen wir die Werte der Insel, wie Ohana (Familie), Neugier und Gemeinschaft. Das Leben hier ist großartig, aber aufgrund unserer tropischen Lage, fernab vom Festland, könnte man Zweifel an unserem Geschäftssinn hegen. Es stellt sich aber heraus, dass gerade unsere Entfernung, Vielfalt und entspannte Einstellung unsere Stärken ausmachen. Das ortsunabhängige Arbeiten wird immer mehr genutzt und es zeigt, dass man auch zum größeren Ganzen beitragen kann, wenn man weit entfernt von anderen Kollegen und von überall auf der Welt aus arbeitet. Das ist schon seit Jahrzehnten unser Modus Operandi.

Während der 25 Jahre, die ich bereits bei Oceanit tätig bin, haben wir den Sprung von einem ganz normalen Ingenieurbüro zu einem internationalen Unternehmen mit Kunden aus völlig unterschiedlichen Branchen, wie Energie, Biomedizin, Luft- und Raumfahrt und Petrochemie, geschafft. Wir bringen jetzt Lösungen durch Partnerschaften, Lizenzierung und direkte Fertigung auf den Markt. Dank unseres Ansatzes "Von der Idee auf den Markt" hält die wissenschaftliche Forschung unserer Kunden Einzug in Produkte, und das oftmals in Rekordtempo.

Frau benutzt einen Laptop neben dem Meer

Für ein Gleichgewicht zwischen Innovation und Sicherheit

Bei Oceanit wollen wir genau eine Sache vermeiden: Innovation im Keim zu ersticken. Innovation ist die Voraussetzung für bahnbrechende Lösungen für Probleme, die durch ihre Komplexität so wirken können, als seien sie nicht behebbar. Wir nehmen uns zum Beispiel den Herausforderungen des Klimawandels, der nachhaltigen Energie oder der steigenden Gesundheitskosten an.

Assure-19 ist eines unserer neuesten Produkte; dabei handelt es sich um einen Spucktest für COVID-19 mit schneller Reaktion, der derzeit von der amerikanischen Gesundheitsbehörde FDA überprüft wird. Die Arbeit an diesem Produkt war nur möglich, indem wir strenge Sicherheitsprotokolle eingehalten und unseren Mitarbeitern genau das ermöglicht haben, was sie am besten können: forschen, entwickeln und zusammenarbeiten.

Bei Oceanit ist Sicherheit eine Selbstverständlichkeit, aber sie schreibt uns nicht vor, wie wir Geschäfte machen. Wir haben einen internen Workflow zur Bewertung alternativer Tools. Dieser Prozess ist zwar komplizierter, aber es ist unsere Aufgabe, die von uns erlaubten Tools flexibel, kreativ und intelligent zu nutzen. Wenn Sie von Ihrem Team jeden Tag Höchstleistung erwarten, müssen Sie Ihre Mitarbeiter bei der Auswahl der Tools, die ihren Bedürfnissen am besten gerecht werden, beteiligen.

Wir bieten unseren Mitarbeitern die Tools, die sie für die Innovation benötigen, und schaffen die Rahmenbedingungen, damit sie diese auch sicher nutzen können.

Wir stellen die Office 365-Suite als unser Standard-Set für Enterprise-Tools bereit. Da unsere Endnutzer, Kunden und Auftraggeber aber vielleicht andere Plattformen nutzen, haben wir mit Dropbox die Möglichkeit, mit ihnen und unseren internen Teams zusammenzuarbeiten sowie Dateien zu speichern und freizugeben. Die Mitarbeiter von Oceanit nutzen Dropbox bereits seit Jahren, um als Team zusammenzuarbeiten, wobei die IT-Abteilung die Nutzung nie verwaltet oder überwacht hat.
Das Technologie-Stack von Oceanit
Die Dropbox-Dateien für das Assure-19-Projekt von Oceanit
Für uns ist das nichts Ungewöhnliches. Wir waren stets bemüht, ein Gleichgewicht zwischen Stärkung der Sicherheit und Hemmung der Innovation zu finden. Wir verfolgen also nicht immer die Art und Weise, wie Mitarbeiter, Subunternehmer und Kunden Cloud-basierte Plattformen nutzen. Bisher hat das gut funktioniert, aber im Laufe der Zeit ist das Unternehmen gewachsen und wir haben immer sensiblere Aufträge angenommen, darunter auch Verträge des amerikanischen Verteidigungsministeriums (DoD). 

Compliance muss den Fortschritt nicht verlangsamen

Um weiterhin mit dem DoD zusammenarbeiten zu können, müssen wir der Regierung nun eine Selbstbewertung für die Cybersecurity Maturity Model Certification (CMMC) vorlegen. Am einfachsten lässt sich diese Anforderung erfüllen, indem man alle Tools für die Zusammenarbeit außer denen herunterfährt, die den CMMC- und NIST-Spezifikationen entsprechen. Dropbox befindet sich irgendwo dazwischen, da es NIST-, aber nicht CMMC-konform ist.

Kurz nach der Ankündigung bezüglich der CMMC-Spezifikationen sagte mir unser CEO in einem Gespräch, dass unser Innovationsgeist dadurch nicht aufgehalten werden solle. Er betonte, dass Regulierung und Compliance nicht die Art unseres Wirtschaftens bestimmen würden. Stattdessen sollten unsere Prioritäten darin bestehen, Sicherheit zu erhöhen und gleichzeitig sicherzustellen, dass unsere Mitarbeiter weiterhin Zugang zu den Tools haben, die sie für ihre innovative Arbeit benötigen.

Nicht alle arbeiten an Regierungsverträgen oder handeln mit sensiblen staatlichen Informationen. Anstatt Tools auf breiter Front zu verbieten, wollte er dafür sorgen, dass Mitarbeiter, die keine zusätzlichen IT-Sicherheitsanforderungen befolgen müssen, es nicht unnötig schwer haben, ihre Arbeit zu erledigen. 

Getrennte Kanäle für unterschiedliche Teamanforderungen

Dropbox hat bei Oceanit eine treue Fangemeinde. Das gilt insbesondere für Mitarbeiter, die große Dateien wie Luftbilder, hochauflösende Videos, CAD-Zeichnungen und 3D-Renderings gemeinsam als Team nutzen. Wir wussten zwar, dass Dropbox unseren Mitarbeitern gefällt, anfangs war es jedoch noch schwer zu begreifen, wie sehr das doch der Fall war. 

In Dropbox organisierte Projekte von Oceanit
Mann hält das Logo von Oceanit in einem Büro

Einmal habe ich mich ziemlich angestrengt, Nutzer davon zu überzeugen, Nutzer zu Microsoft Teams zu migrieren. Es kam aber Gegenwind und ich wurde dazu aufgefordert, doch selbst einmal damit zu arbeiten. Sie lagen richtig. Wollte ich große Dokumente zum Teilen auf Teams oder SharePoint hochladen, dauerte das extrem lange. Die Probleme beim Teilen nahmen zu, als unsere Sicherheitsanforderungen zunahmen und wir zur Regierungsversion von Office 365, GCC High, gewechselt sind, das externen Nutzern das Hochladen in einen freigegebenen Ordner verbietet. Auch Kompatibilitätsprobleme mussten wir feststellen.

Nicht alle im Unternehmen sind aber auf diese strengen Datenstandards angewiesen. Anstatt Mitarbeiter dazu zu zwingen, mit diesen unliebsamen Aspekten vorliebzunehmen, haben wir erkannt, dass wir bereits ein großartiges Tool im Einsatz hatten. Für alle Beteiligten war es besser, weiterhin Dropbox zu verwenden. 

IT-Experten sollten einen flexiblen Ansatz in Betracht ziehen, der ihren Teams die gewünschten Tools zur Verfügung stellt und gleichzeitig die von den Kunden benötigte Sicherheit gewährleistet.

Wir haben einen zweistufigen Sicherheitsansatz umgesetzt: Zunächst haben wir alle privaten Konten beseitigt und 10 Nutzer in ein Pilotprojekt mit Dropbox Enterprise aufgenommen. Mit diesem Team-Abo können wir die Arten von freigegebenen Dateien verfolgen und Nutzungsstatistiken erstellen. Dadurch steht Dropbox allen Mitarbeitern zur Verfügung, die die dortigen Funktionen nutzen möchten und nicht der CMMC-Konformität unterliegen. Wir werden mehr Mitarbeiter dazu einladen, Dropbox Enterprise zu verwenden, während wir unsere Sicherheitsstandards abstufen.

Wir haben auch Tools installiert und Mechanismen eingeführt, die die Überwachung unseres CMMC-konformen Ablaufs und unserer weniger sicheren Systeme ermöglichen. Auf diese Weise können wir sicherstellen, dass es zwischen den beiden keine Lecks gibt und dass geschützte Daten nicht an unbefugte Personen oder Organisationen weitergegeben werden. Unsere sensibelsten Daten haben wir auf eine Untergruppe von Nutzern beschränkt, gewährleisten aber gleichzeitig allen anderen schnelle und einfache Freigabe von Dateien mit Dropbox. So profitieren wir in doppelter Hinsicht.

Diagramm von Dropbox-Dashboard

Geschwindigkeit und Innovation hintanzustellen, um dafür die Sicherheit zu erhöhen, wäre der einfache Weg gewesen. Für einige Unternehmen mag das funktionieren, ein derartiger Ansatz kann das Wachstum aber zum Erliegen bringen.

Das Tüfteln an der geeigneten Lösung mag zwar aufwändiger sein, aber die Ergebnisse sprechen für sich. Da wir diese Maßnahmen ergriffen haben, können unsere Teammitglieder weiterhin Dropbox nutzen, um Dateien freizugeben, an Projekten zusammenzuarbeiten und einige der bahnbrechendsten Produkte überhaupt zu entwickeln.

Einfach besser zusammenarbeiten

Erste Schritte mit Dropbox