Die IT-Sicherheit besser an Ergebnissen ausrichten

Abkehr von Features zugunsten von Ergebnissen

Zwei Herausforderungen gehen mit der klassischen Entscheidungsfindung der „Best in Class“ einher: Ausufernde Kosten sowie Ineffizienz im Betrieb der Sicherheitsinfrastruktur, da in der Vergangenheit für jedes Sicherheitsproblem eine Insellösung angeschafft wurde, die auch separat administriert werden musste. In der Folge entstand ein komplexes Sicherheitskonstrukt mit hohem Verwaltungsaufwand. Wenn die Entscheidung für den Einkauf neuer Technologie auf Basis von bestehenden Anforderungen gefällt wird, besteht außerdem die Gefahr, die zukünftige Wertschöpfung oder Anwendungsfälle außer Acht zu lassen.

Diese Situation entsteht unter anderem durch den Auswahlprozess für eine Lösung: Bisher orientierten sich Entscheider bei der Aktualisierung ihrer Sicherheitsinfrastruktur an der jeweiligen Technologie, die es zu ersetzen galt. Durch einen solchen Blickwinkel beschränken sich die Verantwortlichen allerdings auf die Funktionalität und Features der bestehenden Systeme, ohne den Blick über den Tellerrand zu wagen.

Was sich jenseits der bekannten Technologien an Lösungsansätzen weiterentwickelt hat, bleibt dabei außer Acht. Eine Entscheidung basierte auf der Überlegung, wie bisher das gewünschte Ziel erreicht wurde, und führt durch ein Upgrade oder die Erneuerung der bekannten Funktionalität nicht zu der heute geforderten Effizienzsteigerung. Bei diesem engen Fokus auf Bekanntes verfehlen die Verantwortlichen die Forderung der Geschäftsleitung, höhere Sicherheit durch weniger Aufwand zu erzielen. Zu lange wurden Entscheidungen für die Sicherheit zudem isoliert betrachtet. Die IT-Sicherheitsverantwortlichen sollten nicht länger in Features denken, sondern die Auswahl eines Ansatzes aufbauend auf den gewünschten Ergebnissen in Punkto Sicherheitspostulat zu treffen. Dabei sind die übergeordneten Geschäftsziele in den Entscheidungsprozess miteinzubeziehen.

Zero Trust: Integration von Sicherheit

Das Augenmerk der Verantwortlichen muss sich demnach an der Frage orientieren, welches Ergebnis sie mit einem Lösungsansatz erzielen wollen. Die Antwort sollte dabei nicht lauten, beispielsweise Bedrohungen wie Ransomware zu verhindern. Sie müssen sich vielmehr an den Mechanismen dieser Bedrohungen ausrichten, die zum Erfolg führen und dort den Riegel vorschieben. Ransomware ist deshalb zum gewinnbringenden Geschäftsmodel avanciert, weil sich Malware nach der Erstinfektion eines befallenen IT-Systems lateral ausbreiten und erst dadurch bis zu den entscheidenden Systemen vordringen kann, um Daten zu entwenden oder zu verschlüsseln. Unternehmen wissen, dass Angriffe niemals hundertprozentig ausgeschlossen werden können. Deshalb sollten sie das Ziel vor Augen haben, einen Angreifer daran zu hindern Daten zu erbeuten und sich innerhalb der Netzwerkinfrastruktur fortzubewegen. Dementsprechend muss ein modernes Tool in der Lage sein, laterale Bewegungen der Bedrohungsakteure in der Netzwerkumgebung zu verhindern.

Der übergeordnete Blick muss also darauf ausgerichtet werden, keinen grenzenlosen Zugang zu Netzwerkinfrastrukturen mehr zu ermöglichen. In den heutigen hybriden Arbeitsmodellen erhält die Absicherung des direkten Zugriffs eines Users auf seine benötigten Anwendungen einen größeren Stellenwert, anstelle des Zugangs eines Users zum gesamten Netzwerk und dem Verlass, dass die Anwendungen selbst Zugriffsrechte sicher umsetzen. Ein SSE-Ansatz (Security Service Edge) hilft dabei, der die Sicherheit durch das Zero-Trust-Modell gewährleistet. Der Zugriff eines Users auf seine benötigte Applikation oder einen Webservice wird von der Organisation vorab anhand seiner Rolle festgelegt und durch eine Zero-Trust-Plattform kontinuierlich überwacht. Diese Sicherheit greift inline im Datenstrom unabhängig davon, ob die Anwendung in der Cloud oder im Unternehmensnetz vorgehalten wird. Der Least Privileged Access (Prinzip der minimalen Rechtevergabe, POLP) als Grundlage stellt sicher, dass granularer Zugriff auf der Ebene der einzelnen Applikation den Netzwerkzugang ablöst.

Durch den Fokus auf per-Session und ein inline Connection Brokering des Zugriffs von SSE aus kann dieses Modell auch für CASB (Cloud Access Security Broker) oder DLP (Data Loss Prevention) eingesetzt werden. Im Mittelpunkt stehen immer die richtlinienbasierten Zugriffsrechte, sei es für den Zugang auf erlaubte Anwendungen, Webservices oder auf der Ebene einzelner Dokumente. Darüber hinaus kann ein Zero-Trust-basierter Ansatz nicht nur für Zugangsberechtigungen von Usern eingesetzt werden, sondern ebenfalls für Geräte oder Workloads in digitalisierten Umgebungen. Anstelle einer Vielzahl unterschiedlicher Technologien, die nicht miteinander verknüpft sind, tritt eine Suite oder Plattform mit hochintegriertem Funktionsumfang. Eine Zero-Trust-Plattform hat dabei das Potenzial, den Einblick in die Sicherheitslage zu stärken, Sicherheitsrichtlinien granular zu definieren, laterale Bewegung von Angreifern zu unterbinden und die Angriffsfläche zu reduzieren – alles mit Hilfe eines einzigen Tools und der zugrundeliegenden Architektur.

Schritte zu ergebnisorientierter Sicherheit

Um ein Umdenken einzuleiten, gilt es den Sicherheitsstatus nicht mehr als Set technischer Fähigkeiten zu betrachten. Stattdessen sollte der Fokus auf das gerichtet werden, was damit erzielt werden soll und damit eine Sicherheitstransformation einzuleiten. Die folgenden Schritte können dabei helfen, eine höhere Sicherheit bei weniger Aufwand zu erzielen:

Inventarisierung bestehender Sicherheit

In einem ersten Schritt muss die Bereitschaft bestehen, den Sicherheitsansatz zu modernisieren. Unternehmen sollten auch in wirtschaftlich angespannten Zeiten nicht davor zurückschrecken, den Wandel einzuleiten. Es gilt den Business Case zu definieren, warum eine Umgestaltung nicht nur aus Sicherheitssicht, sondern auch aus wirtschaftlicher Perspektive gewinnbringend sein kann. Um die Einführung eines neuen Sicherheitsansatzes kostenneutral zu gestalten, muss zuerst das Potenzial von Kosteneinsparungen aufgezeigt werden, indem Ineffizienzen und Duplizierung in der vorhandenen Infrastruktur offengelegt werden. Dazu ist eine Inventarisierung aller eingesetzten Sicherheitslösungen mit all ihren Fähigkeiten erforderlich.

Darüber hinaus sollten auch die Sicherheits-Frameworks einbezogen werden, denn damit lässt sich bereits der Bogen zu den gewünschten Ergebnissen schlagen. Welche Technologien sind vorhanden, um das gewünschte Sicherheitspostulat zu erzielen? Diese Orientierung an den gewünschten Resultaten in Punkto Sicherheit geht mit einem weiteren Vorteil einher. Sind die gewünschten Ergebnisse erst einmal definiert, können diese auf Vorstandsebene als Entscheidungskriterien für das neue Risikomanagement kommuniziert werden.

„Sind die entscheidenden Informationen zur Hand hinsichtlich dessen, was mit einem Sicherheitsansatz erzielt werden soll, lassen sich nicht nur Kosten einsparen, sondern gleichzeitig Geschäftsmodelle transformieren.“

Marc Lueck, Zscaler

Identifizieren von Effizienzverlusten

Durch das umfassende Verständnis der eingesetzten Sicherheitstechnologien kann aufgezeigt werden, wo sich Ansätze überschneiden. Sind verschiedene Tools im Einsatz, die zum Erzielen des gleichen Ergebnisses beitragen, trägt der doppelte Verwaltungsaufwand zu Ineffizienzen bei. Erst nachdem diese Duplizierungen zu Tage getreten sind, kann die Infrastruktur konsolidiert werden. Hier verbirgt sich in aller Regel das größte Einsparungspotenzial für Unternehmen.

Die Duplizierungen sind in der Vergangenheit dadurch entstanden, dass Sicherheitstechnologien inkrementell eingeführt wurden bei neu aufkommenden Anforderungen. Eine solche Vorgehensweise entwickelte sich im Lauf der Zeit allerdings zur Kostenfalle, denn auch die Verwaltungskosten wachsen mit den verschiedensten Systemen im Einsatz. Ein Best in Suite-Ansatz ist in der Lage, diese Ineffizienzen zu beseitigen, denn sie kombinieren einen größeren Funktionsumfang bei gleichzeitiger Reduktion des Verwaltungsaufwands. Diese Argumentation hilft beim Abschied von Legacy-Systemen, deren Konfiguration und kontinuierliche Upgrades aufwendig im manuellen Support sind.

Gewünschte Ergebnisse definieren

Für die Einleitung eines Sicherheitswandels hilft die ganzheitliche Perspektive, jenseits von Einzeltechnologien. Eine Konsolidierung kann gleichzeitig den Blickwinkel erweitern, wenn die Anforderungen der Digitalisierung eines Unternehmens einbezogen werden. Es gilt die Frage zu stellen, welche Sicherheitsanforderungen mit digitalisierten Produktionsumgebungen oder Webservices einhergehen, bzw. mit dem Wechsel zu anderen Kommunikationsstandards, wie 5G. Alle diese Erfordernisse sollten ebenfalls bei der Definition der Ergebnisse berücksichtigt werden.

Durch eine solche ergebnisorientierte Sicherweise für Sicherheit haben Unternehmen die Möglichkeit, den gesamten Geschäftsbetrieb einzubeziehen. Erfolgt der Blick nicht mehr durch die Linse der Technologien, die es zu ersetzen gilt, haben Organisationen die Möglichkeiten Vorteile jenseits der Sicherheit zu gewinnen. Sicherheit muss gegenüber dem Board als Geschäftsvorteil positioniert werden: nicht nur, um potenzielle Verluste durch Angreifer zu verhindern, sondern als Vorreiter einer sicheren Digitalisierung aller Geschäftsbereiche. Ein Sicherheitsplattform-Ansatz, der Best-in Suite verfolgt kann die Grundlage dafür bilden.

Vorausblickend neue Funktionalitäten berücksichtigen

Der klassische RFP-Mechanismus (Request for Proposal) ist wirkungsvoll und hat über Jahre hinweg gute Dienste geleistet, um den richtigen Kostenpunkt zu erzielen und fehlerhafte Einkaufsentscheidungen zu vermeiden. Allerdings verhindert der strikte Prozess nach bekannten Bedürfnissen zu fragen, dass Suiten ihre Stärken ausspielen können. Dementsprechend sollten heute etwas mehr Flexibilität im RFP-Prozess Einzug halten, um auch Funktionalitäten zu berücksichtigen die sich außerhalb der gängigen Anforderungen befinden.

Fazit: Weitblick ist gefragt

Sind die entscheidenden Informationen zur Hand hinsichtlich dessen, was mit einem Sicherheitsansatz erzielt werden soll, lassen sich nicht nur Kosten einsparen, sondern gleichzeitig Geschäftsmodelle transformieren. Kostenneutralität der Sicherheit durch Konsolidierung vorhandener Sicherheitshardware lässt ein Unternehmen unterm Strich in vielfacher Hinsicht besser dastehen.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.