IT-Sicherheit in dezentralen Umgebungen 

Die Löcher im Sicherheitszaun stopfen

Mit einem Schutzzaun die Unternehmens-IT schützen? Überholt. Denn die Grenzen des Perimeters sind längst verwischt. Doch das ist nicht das Ende der IT-Security. Sondern ein Neuanfang, bei dem ein passender Security-Provider eine wichtige Rolle spielt.

Text: Andreas Heer, Bild: Adobe Stock,

«Der Perimeter ist tot.» Diese Erkenntnis ist nicht neu, sondern kursiert – für IT-Verhältnisse – seit Ewigkeiten in Fachkreisen. So spricht beispielsweise dieser Artikel aus dem US-amerikanischen CSO Magazine bereits 2011 vom Ende des bekannten Perimeters respektive der Suche nach einem neuen. Die Gründe dafür sind so vielfältig wie bekannt. Mobile Geräte wie Smartphones und Tablets und flexible, ortsunabhängige Arbeitsformen sprengen die Grenzen der klassischen, lokalen Infrastruktur. Der Perimeter fasert aus. Das verunmöglicht es den IT-Verantwortlichen, einen Cybersecurity-Zaun um die gesamte Infrastruktur zu ziehen. Hinzu kommen Cyberattacken mit Phishing-Mails und präparierten Webseiten, die den Zaun oftmals einfach überspringen.

Ohne Zaun kein Vertrauen

Das heisst nicht, dass der klassische Perimeterschutz mit Firewall und IDS/IPS nicht mehr notwendig ist. Aber er schützt nicht mehr die gesamte Infrastruktur eines Unternehmens, sondern nur noch die lokale Netzwerkumgebung. Denn im Zentrum einer modernen Unternehmens-IT steht die Cloud. Oder eben, geografisch gesehen, nicht im Zentrum, sondern oftmals ausserhalb des Perimeters im Rechenzentrum eines Providers.

 

Der Zugriff auf die Unternehmensapplikationen in der Cloud erfolgt nicht nur über die gut kontrollierten und gemanagten Geräte innerhalb des Firmenzauns, sondern von überall her. Mobile Mitarbeitende nutzen die Unternehmensanwendungen unterwegs über irgendeinen Internetzugang. Und längst sind Lieferanten und Partner über verschiedene Schnittstellen digital eingebunden. Währenddessen greifen die Kunden via Webbrowser oder App auf die immer zahlreicheren Online-Services zu. Diese Vernetzung ist Voraussetzung für effiziente, digitale Prozesse. Kontrollmöglichkeiten für die Sicherheitsverantwortlichen über all diese Verbindungen und Geräte? Keine. Zero.

 

«Zero Trust Policy» ist denn auch einer der Ansätze, um die IT-Sicherheit trotzdem hochzuhalten. Es gibt keine Unterscheidung mehr zwischen «gutem» Traffic innerhalb des Zauns und «bösem» Traffic von ausserhalb. Stattdessen gilt mit der notwendigen Paranoia eines IT-Security-Spezialisten jeder Datenverkehr als potenziell «böse». Oder abgekürzt: kein Zaun, kein Vertrauen.

Mit allen Logs alles unter Kontrolle

Die Konsequenz dieser Situation ist, dass sämtlicher Datenverkehr auf bösartige Aktivitäten überwacht werden muss. Jeder Zugriff auf jedes System von jedem Gerät aus muss festgehalten und an zentraler Stelle mit einem Threat-Detection-System ausgewertet werden. Und am besten integriert ein Unternehmen auch gleich die physischen Zutrittssysteme. Denn manchmal zeigen sich Auffälligkeiten erst, wenn man verschiedene Datenquellen kombiniert. Etwa, wenn Herr Meier das Büro betritt und sich fünf Minuten später aus grosser geografischer Distanz am ERP anmeldet.

 

Vom einem zentralen Monitoring bis hin zum kompletten Security Operations Center (SOC) reichen die Überwachungsmassnahmen, die den reinen Perimeterschutz abgelöst haben. Abgestufte Sicherheitszonen statt eines dichten Zauns, mit einem zentralen Monitoring überwacht. So weit so einleuchtend. Doch woher die Fachkräfte nehmen, die «false Positives» deeskalieren und dort eingreifen, wo die Automatismen der Überwachungssysteme an ihre Grenzen stossen?

Auslagerung als Lösung

Ein wirksamer Ansatz besteht in der Nutzung von Managed Security Services (MSS). Eine solche Auslagerung von Teilen der IT-Security an einen spezialisierten Provider kann Lücken im eigenen Personalbestand überbrücken. Oder einfach eine wirtschaftliche Alternative darstellen zum Aufbau einer eigenen umfassenden Security-Infrastruktur. Mischformen sind dabei durchaus denkbar. Vielleicht werden Systeme im lokalen Netz und im eigenen Rechenzentrum inhouse überwacht, während die Security der ausgelagerten Cloud-Umgebungen sinnvollerweise auch an den Cloud-Provider delegiert wird? Also gewissermassen das, was innerhalb des früheren Perimeters blieb, wie gehabt kontrolliert wird und nur die Erweiterungen ausgelagert werden.

 

Und zu guter Letzt doch noch eine gute Nachricht: Auch wenn der Perimeter totgesagt wird, gewisse Sicherheitskonzepte behalten ihre Gültigkeit. IT-Security verlangt nach wie vor nach einem ausgewogenen Mix aus Prävention, Erkennung von Angriffsversuchen und der passenden Reaktion darauf. In Zusammenarbeit mit einem geeigneten Security-Provider können Unternehmen gewisse Sicherheitsaufgaben auslagern und sich vermehrt auf die Sensibilisierung der Mitarbeitenden konzentrieren.

Hand with smartphone

Newsletter

Möchten Sie regelmässig spannende Artikel und Whitepaper zu aktuellen ICT-Themen erhalten?


Andere Leser interessierte auch: