IT-Sicherheit: Maßnahmen und Tools auf den Prüfstand stellen

Wie eine Optimierung die Sicherheit verbessert

In der Vergangenheit haben Unternehmen neue Sicherheits-Tools eingeführt, wenn dies erforderlich war, um neue Bedrohungen abzuwehren und geschäftliche Anforderungen zu erfüllen. Dieser Ansatz führt jedoch zu einer Tool-Flut – einer Anhäufung zahlreicher Werkzeuge, die oft nur einen einzigen Zweck erfüllen oder sich in ihren Funktionen überschneiden –, wodurch ein komplexes Tool-Set entsteht, das schwer zu verwalten und zu nutzen ist.

Diese Vielfalt an Tools kann zu folgenden Problemen führen:

• Lücken in der Abdeckung. Zu viele Tools erschweren die effiziente Überwachung von Angriffsflächen und die Sicherung von Daten.
• Probleme beim Patchen. Das Aktualisieren und Patchen jedes einzelnen Tools kann zu unverhältnismäßig langen Ausfallzeiten führen und Sicherheits-Teams daran hindern, sich auf wichtige Aufgaben zu konzentrieren.
• Alarmmüdigkeit: Eine Überlastung mit Warnmeldungen, auch bekannt als Alert Fatigue, von denen einige falsch oder redundant sein können – kann dazu führen, dass Sicherheitsteams kritische Probleme übersehen oder übersehen.
• Erhöhte Kosten: Eine unkontrollierte Verbreitung von Tools kann zu einer Überlastung des Budgets führen. Jedes neue Tool verursacht nicht nur Kosten für das Tool selbst, sondern auch Zeit- und Personalaufwand.
• Schlechte Ergebnisse: Der Einsatz zu vieler Tools kann die Produktivität der Teams beeinträchtigen, da die Umgebungen komplexer werden, was zu Verwirrung und einer geringeren Anzahl erledigter Aufgaben führen kann.

Security-Verantwortliche wissen, dass Teams heute eine Kombination aus Tools und Services benötigen, die in lokalen Rechenzentren und Cloud-Umgebungen funktionieren. Die Frage ist jedoch, wie viele davon erforderlich sind. Es gibt zwar keine pauschale Antwort darauf, aber CISOs und ihre Teams sollten eine Rationalisierung der Sicherheitskontrollen vornehmen – also den Prozess der Identifizierung, Bewertung und Optimierung von Kontrollen –, um die verwendeten Tools zu verwalten und ihre Sicherheitslage zu verbessern.

Die Optimierung der Sicherheitskontrollen bietet folgende Vorteile:

• Verbesserte Sicherheit. Durch die Reduzierung der Anzahl der eingesetzten Tools können Sicherheitsteams Angriffsflächen leichter überwachen, Sicherheitslücken finden und beheben sowie die Überwachbarkeit verbessern.
• Effizientes Ressourcenmanagement. Durch die Rationalisierung der Technologie können Sicherheitsteams nur die Tools behalten, die zum Schutz der IT-Infrastruktur erforderlich sind, und erkennen, wenn Tools nicht wie vorgesehen funktionieren und entfernt oder ersetzt werden müssen.
• Bessere Zusammenarbeit. Eine überschaubare Anzahl von Tools trägt dazu bei, die Gefahr von Datensilos zu verringern, sodass Sicherheits- und Geschäftsteams effizienter zusammenarbeiten können.

Wie man die Anzahl der Tools und Maßnahmen in den Griff bekommt

Der Prozess der technischen Optimierung umfasst die folgenden allgemeinen Schritte:

• Bestandsaufnahme. Erfassen Sie vorhandene Tools und Kontrollen. Ermitteln Sie die Sicherheitsanforderungen Ihres Unternehmens und ordnen Sie die Tools und Kontrollen diesen Anforderungen zu.
• Bewertung. Bewerten Sie, wie effektiv die Tools die Kontrollanforderungen erfüllen.
• Rationalisieren und optimieren. Nutzen Sie die Bewertung, um Redundanzen zu identifizieren und zu beseitigen, Tools umzufunktionieren, Dienste und Tools zu konsolidieren, die Kontrollabdeckung zu bewerten und neue Werkzeuge und Kontrollen zu priorisieren.
• Wiederholen. Die Optimierung der Sicherheitskontrollen ist keine einmalige Aufgabe. Legen Sie einen Zeitplan für die kontinuierliche technische Optimierung fest und führen Sie bei der Bewertung neuer Tools oder Plattformen gründliche Analysen durch.

Beispiele für die Optimierung von Sicherheitskontrollen

Betrachten Sie die folgenden Bereiche für eine Konsolidierung und Optimierung der Tools.

KI-Sicherheit

Bewerten Sie, wie das Unternehmen generative KI- und Machine-Learning-Modelle einsetzt. Optimieren und ordnen Sie Sicherheitswerkzeuge entsprechend zu – beispielsweise für die sofortige Überprüfung, Modellzugriffskontrolle, API-Sicherheit etc. Priorisieren Sie Plattformen, die sich in bestehende Tools zum Schutz vor Datenverlusten (DLP) und Cloud-Kontrollen integrieren lassen, und prüfen Sie, ob die Angaben der Anbieter zur Erkennung von KI-Risiken transparent, nachvollziehbar und überprüfbar sind. Überprüfen Sie die Tools erneut, wenn sich die Verwendung großer Sprachmodelle (LLMs) und die regulatorischen Vorgaben weiterentwickeln.

Cloud-Sicherheit

Optimieren Sie Cloud-Sicherheits-Tools, indem Sie diese regelmäßig der Multi-Cloud-Architektur und den Anwendungsfällen Ihres Unternehmens zuordnen, beispielsweise IaaS, SaaS, Containersicherheit und Pipelines für kontinuierliche Integration/kontinuierliche Bereitstellung. Priorisieren Sie konsolidierte Plattformen, die die Tool-Vielfalt reduzieren, ohne an Tiefe zu verlieren – beispielsweise Cloud-native Anwendungsschutzplattformen (CNAPPs) oder Cloud-Sicherheitsmanagementprodukte mit integriertem Datensicherheitsmanagement (DSPM) oder Cloud-Infrastruktur-Berechtigungsmanagement. Überprüfen Sie, ob die aktuellen Tools mit der Cloud-nativen Entwicklung und den sich ändernden Compliance-Anforderungen skalierbar sind.

Datensicherheit

Führen Sie eine Datenermittlung durch, um sicherzustellen, dass die Tools auf den tatsächlichen Speicherort und den Bewegungsfluss sensibler Daten abgestimmt sind – über SaaS, Endpunkte, Cloud und Schatten-IT hinweg. Reduzieren Sie überlappende DLP-, Verschlüsselungs- und Rechteverwaltungsdienste und -tools, indem Sie die Kontrollabdeckung, die Konsistenz der Richtlinien und die Integration mit Identitäts- und Bedrohungstools überprüfen. Bewerten Sie DSPM- und einheitliche Datensicherheitsplattformen, die die Governance über alle Umgebungen hinweg zentralisieren.

Netzwerksicherheit

Überprüfen Sie kontinuierlich, ob Netzwerksicherheits-Tools wie Firewalls, Secure Web Gateways und Zero-Trust-Netzwerkarchitekturen mit modernen Architekturen wie Secure Access Service Edge und Remote Work kompatibel sind. Nehmen Sie ältere Hardware oder VPNs, die durch neuere Cloud-basierte Kontrollen überflüssig sind, außer Betrieb. Priorisieren Sie Tools, die Einblick in verschlüsselten Datenverkehr, Kontrollen auf Anwendungsebene und identitätsbasierte Segmentierung bieten.

Schwachstellen-Management

Optimieren Sie Schwachstellenscanner und Tools für das Expositionsmanagement anhand ihrer Abdeckung moderner Ressourcen wie Container, APIs und Cloud-Workloads sowie ihrer Fähigkeit, Risiken zu priorisieren. Überprüfen Sie kontinuierlich, ob neuere Plattformen – wie kombinierte Tools für das Management von Angriffsflächen und Schwachstellen – konsolidierte Einblicke über Angriffsflächen hinweg oder in die IT integrierte Workflows zur Behebung von Schwachstellen bieten. Vermeiden Sie Doppelarbeit in Entwicklungs-, Betriebs- und Sicherheitsteams, indem Sie Ergebnisse in einer einheitlichen Plattform oder einem Feed zusammenführen.

Endpunkt- und Workload-Sicherheit

Um Überschneidungen oder Wahrnehmungslücken zu beseitigen, sollten Sie Endpunkt-Sicherheitstools – beispielsweise EDR- oder EPP-Lösungen – und Workload-Sicherheitstools für Cloud-VMs und Container evaluieren. Erwägen Sie eine Konsolidierung in  XDR-Tools (Extended Detection and Response) oder Cloud-Workload-Schutzplattformen (Cloud Workload Protection Platform), wenn diese eine Integration mit Bedrohungserkennung, Verhaltensanalyse und Reaktionsautomatisierung bieten. Überprüfen Sie die Lizenzierung, die Agentenleistung und die Telemetriequalität, um zu entscheiden, was beibehalten oder entfernt werden soll.

Automatisierung und Orchestrierung

Analysieren Sie Tools für die Sicherheitsorchestrierung, -automatisierung und -reaktion. Das gilt auch für Investitionen in Automatisierung auf der Grundlage der tatsächlichen Anwendungsfälle, der Integrationsbreite und der Verbesserungen der mittleren Reaktionszeit. Eliminieren Sie starre oder wenig genutzte Playbooks und priorisieren Sie Plattformen, die Low-Code-Workflows und native Konnektoren zu modernen APIs unterstützen. Entscheiden Sie, ob eine zentralisierte Orchestrierung noch sinnvoll ist oder ob eine verteilte Automatisierung – beispielsweise über EDR-, SIEM- oder CNAPP-Tools – kostengünstiger ist.

Security Operations Center

Bestimmen Sie die geeigneten Tools für das Security Operations Center (SOC), indem Sie die aktuellen Telemetriequellen – Protokolle, Warnmeldungen, Ereignisse – mit der Erkennungsabdeckung und den Arbeitsabläufen der Analysten abgleichen. Bewerten Sie die Rollen von SIEM-, XDR- und NDR-Plattformen neu, basierend auf ihrer Effektivität, Integration und den Kosten pro erfasstem Ereignis. Optimieren Sie die Tools kontinuierlich hinsichtlich Reaktionsgeschwindigkeit, Signalgenauigkeit und Sichtbarkeitslücken, anstatt sich auf die Anzahl der Funktionen zu konzentrieren.

Die Zukunft der Investitionen in Sicherheit

Es wird immer bestimmte Situationen geben, in denen eine einzelne Kontrollmaßnahme oder ein einzelnes Tool erforderlich ist, um einer neuen Bedrohung oder einem neuen technischen Risiko entgegenzuwirken. CISOs sollten jedoch stets den Umfang der erforderlichen Absicherung für das Unternehmen bewerten und überlegen, wie diese am effizientesten erreicht werden kann.

Angesichts der rasanten Entwicklung der Dienstleistungen und der Erweiterung der Portfolios führender Anbieter, in die Unternehmen möglicherweise bereits investiert haben, steht eine Vielzahl von Optionen zur Auswahl.