peangdao - stock.adobe.com
Geschäftskontinuität vs. Security: Update-Probleme vermeiden
Selbst das beste Business-Continuity-Modell hätte nicht vermutlich vorausgesehen, dass derart viele Endpunkte außerhalb des Unternehmens mit Patches versorgt werden müssen.
Jeden zweiten Dienstag im Monat, am sogenannten Patchday beziehungsweise Update Tuesday, versorgt Microsoft seine Kunden mit Updates, die gefährliche Sicherheitslecks stopfen sollen.
Doch da die Krise rund um das Coronavirus zahlreiche Betriebe dazu veranlasst hatte, ihre Angestellten ins Home-Office zu schicken, sehen sich IT-Verantwortliche mit neuen Problemen konfrontiert: VPN-Engpässe und ein rasanter Anstieg ungeschützter Endpunkte im Netzwerk setzen Unternehmen erhöhten Sicherheitsrisiken aus.
Im Kampf um das Risikomanagement einerseits und die Geschäftskontinuität andererseits, spielen die überlasteten IT-Abteilungen mit dem Gedanken, den Patchday einfach sausen zu lassen. Dreh- und Angelpunkt ist in dieser kritischen Phase die Sichtbarkeit und Kontrolle der Endpoints.
Typische Patching-Probleme
Auch ganz ohne die besondere Pandemiesituation wurde der Patchday für viele Unternehmen ein immer schwierigeres Unterfangen. Die digitale Transformation vergrößert die Angriffsfläche von Unternehmen und steigert die Komplexität der IT, während Cyberkriminelle immer raffinierter agieren und mögliche Schwachstellen ausnutzen.
All dies hat den Druck auf IT-Teams erhöht, bestimmte Schwachstellen und Endpunkte zu priorisieren, ohne die Produktivität zu beeinträchtigen oder geschäftskritische Dienste zu unterbrechen.
Die Umstände aufgrund der Krise durch COVID-19 haben diese Herausforderungen nochmals auf die Spitze getrieben, da das kollektive Arbeiten vom Home-Office aus weitere kritische Sichtbarkeitslücken schafft und die dagewesenen verschärft.
Eine aktuelle Studie unter 750 IT-Leitern weltweit ergab, dass 94 Prozent der Befragten regelmäßig Endpunkte entdecken, die ihnen zuvor unbekannt waren – bei 70 Prozent ist dies sogar wöchentlich der Fall. Gründe hierfür sind demnach isolierte IT-Sicherheitsteams, unzureichende Ressourcen, veraltete Technik, Schatten-IT und ein unübersichtlicher Wildwuchs an eingesetzten Tools. Mehr als die Hälfte (55 Prozent) der Studienteilnehmer befürchten, aufgrund solcher Sichtbarkeitslücken Cyberangriffen stärker ausgesetzt zu sein.
Widersprüchliche Prioritäten
Oberste Priorität der IT-Verantwortlichen sollte die Verbesserung der grundlegenden IT-Hygiene durch sofortiges Patching aller kritischen Assets haben, was wiederum darauf beruht, Transparenz und Kontrolle über die gesamte IT-Infrastruktur zu gewinnen.
Doch im Kontext der COVID-19-Pandemie und der damit in Zusammenhang stehenden Maßnahmen werden diese Bemühungen nicht nur durch Sichtbarkeitslücken, sondern auch durch widersprüchliche Prioritäten seitens der IT-Abteilung erschwert.
In den meisten Fällen läuft dies auf eine kritische Belastung der VPN-Infrastruktur hinaus. Oberste Priorität hat für den Betrieb der nahtlose Zugriff auf alle Anwendungen, die für die Ausübung der Arbeit benötigt werden.
Allerdings stoßen die VPN-Konzentratoren an ihre Grenzen, ebenso wie derzeit die Netzwerkbandbreite dank der Spitzenlasten bei der Heimarbeit. Die Remote-Access-Infrastruktur steht unter immensem Druck, da nur 15 bis 20 Prozent der Mitarbeiter VPNs sporadisch nutzen, während 95 Prozent von ihnen den ganzen Tag über VPN online unterwegs sind.
Allerdings sind für einen Großteil der Überlastung Sicherheitsmechanismen im Rechenzentrum verantwortlich, auf die ausschließlich über VPN zugegriffen werden kann. Unter dem Druck der CIOs, die VPNs zu entlasten, müssen IT-Verantwortliche daher eine schwierige Entscheidung treffen. Die Frage lautet: Wie lassen sich in Krisenzeiten weiterhin Risiken managen, ohne die Produktivität negativ zu beeinflussen?
Split Tunneling ist eine Option, die es Anwendern im Home-Office ermöglicht, so viel wie möglich über das offene Internet zu erledigen. Allerdings könnten sich Unternehmen auf diese Weise weiteren Risiken aussetzen, wenn dieser Traffic nicht über das IDS/IPS (Intrusion Detection System/Intrusion Prevention System), Proxy-Dienste und Malware-Sandboxing im Rechenzentrum gesendet wird.
Sichtbarkeit und Kontrolle
Einige IT-Verantwortliche hoffen nach wie vor, sich in diesen Zeiten an die gleichen Richtlinien, Standards und Risikotoleranz halten zu können wie bisher. Doch die Pandemie hat längst eine neue Realität des IT-Betriebs geschaffen. Angesichts solch extremer Umstände besteht die Gefahr, dass das Thema Sicherheit marginalisiert wird. Hinzu kommt, dass Unternehmen einer nahezu sicheren Rezession entgegensteuern.
Welcher Weg ist also der richtige? Einen Masterplan für solche Fälle gibt es nicht. Selbst das beste Business-Continuity-Modell hätte nicht berücksichtigt, dass Patches in diesem Umfang an den Endpunkten im Home-Office installiert werden müssten oder dass die VPN-Verbindungen bereits überlastet sein würden. Es ist alles andere als einfach, die IT-Infrastruktur und die Datenströme rückwirkend abzubilden, wenn es an anderen Stellen noch größere Baustellen gibt.
„Es wäre ein gravierender Fehler, zu glauben, dass eine Rückkehr zum etablierten und erfolgreichen Sicherheitskonzept von vor der Krise nicht nötig ist.“
Christoph Volkmer, Tanium
Was IT-Verantwortliche jedoch tun können, ist, über Tools nachzudenken, die ihnen mehr Einsicht in den Bestand der Endpunkte gewähren. Diese sollten eine umfassende Liste aller Computer- und Datenbestände sowie kritische Informationen darüber liefern, welche Geräte zu einem definierten Zeitpunkt Sicherheitsrisiken darstellen und wo sie sich befinden.
Auf diese Weise können CISOs nicht nur adäquate Maßnahmen einleiten, sondern auch verstehen, welche Anwendungen und Datenspeicher sichere VPN-Verbindungen benötigen. Einige Endpoint Management-Plattformen sind in der Lage, Patches bereitzustellen, ohne dass VPN-Tunnel heruntergefahren werden müssen, wodurch die Katastrophe am Patchday vermieden werden kann.
Mit der Zeit könnte die COVID-19-Phase sogar als Wendepunkt für Zero-Trust-Modelle gesehen werden, welche VPNs gänzlich überflüssig machen. Im Zuge dessen, dass kritische Dienste zunehmend in die Cloud verlagert werden, agieren Unternehmen gerne nach dem Motto Vertrauen ist gut, Kontrolle ist besser, um flexibles Arbeiten zu unterstützen und gleichzeitig das Risiko, Opfer von Cyberangriffen zu werden, zu minimieren.
Ist ein Ende der Krise in Sicht, werden sich IT-Verantwortliche unter dem Druck ihrer CIOs gegen jene durchsetzen müssen, die meinen, Praktiken wie Split Tunneling könnten an der Tagesordnung bleiben. Ein schwieriges Unterfangen ist das insbesondere dann, wenn Unternehmen das Glück hatten, für die Dauer des Lockdowns keinerlei Angriffen und deren Folgen ausgesetzt gewesen zu sein.
Es wäre ein gravierender Fehler, zu glauben, dass eine Rückkehr zum etablierten und erfolgreichen Sicherheitskonzept von vor der Krise nicht nötig ist. Vielmehr sollte darüber nachgedacht werden, längerfristig in IT-Bereiche zu investieren, die während der Krise stärker betroffen waren als zuvor.
Mit dem Schwerpunkt auf IT-Hygiene sowie auf Sichtbarkeit und Kontrolle über die Endpoints können CISOs einen Weg finden, diese schwierigen Zeiten zu meistern und eine sichere Basis für die Zukunft zu schaffen.
Über den Autor:
Christoph Volkmer ist Vice President DACH bei Tanium.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
