Robert Kneschke - Fotolia
Sichere Digitalisierung: Security fängt bei der Software an
Im Nachhinein lässt sich Sicherheit meist nur mühsam umsetzen. Statt immer neue Security-Lösungen zu implementieren, sollten Sicherheitsverantwortliche ihre IT-Prozesse überdenken.
Die digitale Integration erfasst nahezu jede Organisation und neue Innovation verändert fast alle Facetten des Alltags. IT-Abteilungen sind sich schon seit langem bewusst, dass solche Veränderungen immer auch neue Sicherheitsrisiken bedeutet. Viele Verantwortliche stehen vor der Herausforderung, neue Technologie zu implementieren und gleichzeitig mit limitierten Ressourcen Compliance-Vorgaben und Sicherheitsstandards umzusetzen.
Es leuchtet ein, dass die Wettbewerbsfähigkeit einer Organisation immer stärker von der Leistungsfähigkeit der eignen IT-Infrastruktur abhängt. Die logische Folge ist die steigende Virtualisierung von Unternehmensprozessen. Nahezu jede Führungsetage hat sich umfassend mit dem Thema Cloud und IoT beschäftigt und entsprechende Strategien umgesetzt. Cyberkriminelle erkennen genau hier das Potenzial und passen ihr Vorgehen entsprechend an.
Die organisierte Kriminalität im Cyberraum bietet seit einigen Jahren Malware as a Service an, mit dem auch technischen Laien schwerwiegende Angriffe durchführen können. Es kommt immer wieder zu schwerwiegenden Cyberattacken, allerdings sprechen Firmen nur ungern darüber. In den Medien finden sich daher vor allem Angriffe auf öffentliche Einrichtungen wie der auf den Bundestag oder die Ransomware-Attacken auf das Lukaskrankenhaus in Neuss.
Der aktuelle Bericht des BKA zum Lagebild Cybercrime macht aber deutlich, dass wesentlich mehr Unternehmen betroffen sein müssen. Die Fälle von Cyberkriminalität haben 2017 im Vergleich zum Jahr davor um mehr 80 Prozent zugelegt. Aktuell geht das Bundesamt von 82.600 Fällen und 55 Milliarden Euro Schaden pro Jahr aus – zu viel, um weiterhin zu schweigen. Die Lage ist kritisch und es besteht definitiv Handlungsbedarf.
Umdenken in den Fachabteilungen beim Thema IT-Sicherheit nötig
Die wachsende Gefahr hat bereits zu Reaktionen in der Politik geführt. Die Bundesregierung hat vor drei Jahren das IT-Sicherheitsgesetz für kritische Infrastrukturen (KRITIS) verabschiedet; gefolgt von Rechtsnormen zur Definition des Begriffs KRITIS. Damit in Verbindung steht die NIS-Richtlinie der EU, außerdem wurde im Mai 2018 die Datenschutz-Grundverordnung anwendbar und die Branchenstandards für IT-Sicherheit haben sich ebenfalls verschärft.
Unternehmen stehen daher unter zusätzlichem Druck: Sicherheit, Modernisierung, Vernetzung und Compliance – all diese Aufgaben müssen in der Praxis umgesetzt werden. Dabei haben Sicherheitsbeauftragte oft das Nachsehen. Die immer größer werdende Palette an Sicherheits-Tools, die durch die Fachkräfte implementiert und bedient werden müssen, sollen Abhilfe für eine bestimmte Herausforderung schaffen, führen aber langfristig zu Problemen. Dadurch werden immer mehr Ressourcen gebunden und IT-Prozesse aufwendiger.
Die IT-Security wird immer mehr zum Flickenteppich, der von mehreren Abteilungen unkoordiniert um die IT herum genäht werden soll. Ironischerweise wirkt dies dem grundsätzlichen Gedanken von Security-by-Default und Security-by-Design entgegen. Beide Prinzipien finden sich in Gesetzestexten der DSGVO, aber auch in vielen branchenspezifischen Vorgaben. Sicherheit lässt sich allerdings im Nachhinein, sei es als Grundeinstellung (Default) oder innerhalb des gesamten Produktes (Design), nur mühsam oder gar nicht umsetzen. Anstatt immer weiter neue Sicherheitslösungen zu implementieren, sollten Sicherheitsverantwortliche ihre grundlegenden IT-Prozesse überdenken.
Nicht erst bei den Security-Tools an die IT-Sicherheit denken
IT-Entscheider sollten daher das Thema Sicherheit schon beim Aufbau ihrer Infrastruktur und Endpunktstrategie bedenken. Hier entscheiden sich grundlegende Prozesse beim Datenschutz und Datensicherheit. Es sollte geprüft werden, ob IT-Vendors ihre Produkte beispielsweise regelmäßig durch externe Sicherheitsexperten im Rahmen von Penetration Tests prüfen lassen und ob sie deren Ergebnisse einsehen können.
Oftmals unterscheiden sich gerade Betriebssysteme bei den wichtigsten Funktionen. So bringen eigens für den Einsatz in Firmenumgebungen aufgebaute Plattformen häufig schon wichtige Sicherheitsfeatures mit. Bei Ansätzen, die zum Beispiel für den Consumer-Markt gedacht sind, müssen diese erst noch von Drittanbietern zugekauft und integriert werden. Neben den versteckten Mehrkosten entsteht somit noch ein zusätzlicher Verwaltungsaufwand. Viele IT-Verantwortliche bedenken die Alternativen aber nicht.
Die richtige Architektur wird für die Sicherheit immer wichtiger. Beispielsweise gibt es Endpunktlösungen, die komplett im Read-only-Modus arbeiten und standardmäßig durchgehende Verschlüsselung durchsetzen. Außerdem sollten Manipulationen vor oder während des Boot-Vorgangs (SecureBoot) ebenfalls direkt Teil eines Betriebssystems sein. Dies schafft die Grundlage für sichere Authentifizierung und ermöglicht die Wirksamkeit von anderen Schutzvorkehrungen.
„Durch die zunehmende Vernetzung macht es aus Sicht der IT-Security in vielen Fällen Sinn, bestehende Systeme zu überdenken. In den meisten Fällen sollte zuerst ein einheitliches Ökosystem für alle Endpunkte geschaffen werden.“
Matthias Haas, IGEL Technology
Natürlich sind Lösungen von Security Anbietern nicht obsolet, allerdings muss das darunterliegende Softwareökosystem eine sichere Basis und passende Verwaltungsmöglichkeiten schaffen. Im Idealfall können Sicherheits-Tools und Endpunkte über ein einheitliches Management-Werkzeug verwaltet und ausgerollt werden.
Es gibt erfahrene Entwickler von entsprechenden Plattformen, die einerseits viele wichtige Sicherheitsmechanismen in ihr Betriebssystem integriert haben und gleichzeitig Tools von Drittparteien über ihre Software verwalten können.
Fazit
Durch die zunehmende Vernetzung macht es aus Sicht der IT Security in vielen Fällen Sinn, bestehende Systeme zu überdenken. In den meisten Fällen sollte zuerst ein einheitliches Ökosystem für alle Endpunkte geschaffen werden, bevor einzelne Gerätegruppen-Policies definiert oder Tools implementiert werden. Stattdessen ist es sinnvoller, durch eine Softwareplattform eine Basis zu schaffen, die teamübergreifend genutzt werden kann. Auf diese Weise können Informationssilos vermieden und Compliance-Anforderungen leichter umgesetzt werden. Sicherheitsbeauftragte können dadurch stark entlastet werden.
Eine entsprechende Plattform schafft auch Vorteile für andere Fachabteilungen, denn sie baut das Fundament für eine erfolgreiche Digitalisierung und die sichere Nutzung von neuer Innovation. Unternehmen riskieren Fehlinvestitionen, wenn sie zu lange in unsichere Lösungen investieren.
Über den Autor:
Matthias Haas ist CTO von IGEL Technology GmbH.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!
