IT-Security

Großbaustellen der IT-Security

Die aktuelle Entwicklung des Bereichs IT-Sicherheit ergibt ein äußerst widersprüchliches Bild. Immer mehr Anbieter mit hochinteressanten neuen Technologien drängen in den Security-Markt und Unternehmen investieren massiv in ihre Sicherheitsinfrastruktur; auf der anderen Seite gibt es eine Rekordzahl erfolgreicher Ransomware-Angriffe und Sicherheitsvorfälle und die Höhe der verursachten Schäden steigt weiter. Der Anteil der Unternehmen, die sich von Cyberangriffen existenziell bedroht sehen, ist letztes Jahr laut dem Wirtschaftsschutzbericht 2022 des Bitkom von 9 auf 45 Prozent gestiegen.

(Quelle: Wirtschaftsschutzbericht 2022 des Bitkom)

Sieht man sich die Situation etwas differenzierter an, wird schnell klar, dass es eigentlich genau so kommen musste. Dank Cloud Computing befindet sich die IT-Infrastruktur seit gut zehn Jahren in einem radikalen Umbruch. Die Auslagerung von Computing-Ressourcen und Anwendungen außerhalb des eigenen, gut geschützten Rechenzentrums war mit Gefahren verbunden, die seinerzeit kaum zu überblicken waren. Auch die Massenmigration von Mitarbeitern ins Homeoffice vor drei Jahren hat Schwächen exponiert, die die meisten IT-Verantwortlichen nicht auf dem Radar hatten.

Hinzu kommt, dass Cybercrime inzwischen für die Kriminellen ein Riesengeschäft geworden ist – und leider auch ein sehr gut organisiertes. Entsprechend wird auch kräftig in die Weiterentwicklung der Malware investiert, ebenso wie in immer wirksamere Social-Engineering- und Phishing-Methoden, gerne auch mit KI-Unterstützung durch ChatGPT.

Endlich Licht am Ende des Tunnels?

Die gute Nachricht ist, dass aus Sicht der Anwenderunternehmen das Schlimmste überstanden zu sein scheint. Erste Security-Studien aus diesem Jahr deuten auf eine Verbesserung der Sicherheitssituation hin. Offensichtlich zeigen die Investitionen der Unternehmen langsam Wirkung. Dennoch gibt es noch einiges zu tun, insbesondere in folgenden Bereichen:

Umstellung der Sicherheitsarchitektur

Ein aufmerksamer Blick auf die Topologie heutiger IT-Infrastrukturen macht schnell deutlich, warum es Zeit für neue Security-Konzepte wird: In der Mitte das eigene Rechenzentrum, rund herum eine Mischung aus Cloud-Instanzen und SaaS-Anwendungen und dazwischen gestreut all die Anwender, die von unterwegs oder aus dem Homeoffice auf Anwendungen und Daten zugreifen. Eine Sicherheitsarchitektur, die als Ausgangssituation annimmt, dass alle Computing-Ressourcen im Rechenzentrum und alle Anwender bis auf wenige Ausnahmen im Firmengebäude sind, ist da schnell überfordert.

Security-Architekturen der Cloud-Ära gehen von einer dezentralen Topologie aus. Die Absicherung der Infrastruktur erfolgt über die zwei Schlüsselkomponenten Zero Trust und SASE (Secure Access Service Edge).

Zero Trust

Zero-Trust-Verfahren beruhen auf der Grundannahme, dass kein Akteur in einem Computernetzwerk vertrauenswürdig ist, bis er sich entsprechend ausweist. Das ist die gegenteilige Annahme als bei traditionellen Infrastrukturen, die von einer Sicherung der Außengrenzen eines Netzwerks ausgehen: dort ist ist jeder Akteur innerhalb des Perimeters vertrauenswürdig.

Entsprechend hat sich Zero Trust zunächst bei der Anbindung externer Mitarbeiter bewährt.  Im Gegensatz zu VPN wird bei Zero Trust dem Nutzer kein voller Zugriff auf das Firmennetz gewährt, sondern nur selektiv. Die Zero-Trust-Plattform, die den Zugriff regelt, verbindet den Nutzer lediglich mit der Anwendung und/oder den Daten, die er für seine Arbeit benötigt – unabhängig davon, ob die Anwendung in der Cloud oder vom eigenen Rechenzentrum aus bereitgestellt wird. Zudem analysiert die Plattform außer den Zugangsdaten weitere Login-Parameter, wie zum Beispiel den Standort des Nutzers, die Uhrzeit oder das Gerät, über das der Zugriff erfolgt. Erscheint daran etwas außergewöhnlich, werden weitere Sicherheitskontrollen hinzugeschaltet.

SASE

SASE ( ausgesprochen „sassy“) ist ein Security-Architekturmodell, das auf das Zero-Trust-Prinzip aufsetzt und sich flexibel der dezentralen Topologie von Cloud-Infrastrukturen anpassen kann. SASE kombiniert Cloud-basierte Netzwerkfunktionen mit Security-Funktionalität und lässt dabei je nach Nutzungsszenario und Sicherheitsanforderung verschiedene Security-Technologien zum Einsatz kommen, darunter Secure Web Gateways (SWG), Cloud Access Security Broker (CASB), Firewalls as a Service (FWaaS) und Zero Trust Network Access (ZTNA).

Der Vorteil bei SASE ist, dass die neue Architektur schrittweise aufgebaut werden kann. Unternehmen müssen ihre bisherige Sicherheitsarchitektur nicht auf einen Schlag ersetzen, sondern können weiterhin ihre Firewall-Systeme betreiben und beispielsweise als erstes ZTNA-Zugänge für Homeoffice- und mobile Nutzer einführen. Typischerweise führen Unternehmen SASE-Technologien als Teil größerer infrastruktureller Veränderungen wie einer Cloud-Migration ein.

Verstärkter Fokus auf Cloud Security

Als neue Bereitstellungstechnologie hat Cloud Computing der IT-Welt viel zusätzliche Funktionalität und Gestaltungsmöglichkeiten beschert. Letztere müssen allerdings auch auf eine besondere Art geschützt werden – traditionelle Verfahren und Tools reichen dafür nicht aus. Berechtigterweise wird Cloud Security inzwischen auch als eigene Disziplin innerhalb der IT-Sicherheit wahrgenommen. Sie beinhaltet eine eigene, schnell wachsende Auswahl an Verfahren, Technologien, Tools und Richtlinien zum Schutz von Daten, Anwendungen und der dazugehörigen Cloud-Infrastruktur.

Cloud Security erstreckt sich auf folgende drei Bereiche:

  • Datensicherheit: Dazu gehört der Schutz von ruhenden Daten vor unbefugtem Zugriff, Änderung oder Löschung sowie die Sicherung der Datenübertragungswege durch Verschlüsselung und Monitoring des Datenverkehrs.
  • Identitäts- und Zugriffsmanagement: IAM (Identity & Access Management) regelt den Zugriff berechtigter Nutzer auf Daten, Anwendungen und Systeme über entsprechende Technologien, Verfahren und Richtlinien.
  • Compliance: Einhaltung der Richtlinien- und Rechtskonformität im Sinne der Unternehmensrichtlinien für Datensicherheit, der Gesetze über Datenschutz (DSGVO) sowie der gesetzlichen Vorgaben für IT- und Betriebssicherheit.

Cloud Security basiert auf Zero Trust

Zero Trust ist auch innerhalb der Cloud Security der zugrundeliegende Ansatz: Alle Instanzen (Computing-Ressourcen, Anwendungen, Daten-Repositories und Nutzer), mit welchen eine Cloud-Instanz im Austausch ist, werden zunächst als nicht vertrauenswürdig eingestuft und müssen sich vor einer Interaktion authentifizieren.

Bei Cloud Security ist das gute Zusammenspiel zwischen Anwenderunternehmen und Cloud-Provider besonders wichtig. Dabei gilt in der Regel das Shared-Responsibility-Modell: Während der Cloud-Provider für die Sicherung der eigenen Cloud-Infrastruktur und die Integrität der von ihm angebotenen Funktionalität verantwortlich ist, übernimmt das Anwenderunternehmen die Verantwortung für die Sicherheit seiner Daten und die von ihm installierten Anwendungen. Doch auch hierfür bieten Cloud-Provider heute eine ganze Reihe von Möglichkeiten und Tools für ein effektives Backup und Disaster Recovery.

Einführung von sicheren Authentifizierungsverfahren

Der Wirkungsradius von unternehmensbezogenen digitalen Identitäten ist heute nicht auf das eigene Firmennetzwerk beschränkt. Durch die Nutzung von SaaS-Anwendungen wie Microsoft Teams oder Cloud-Services wie das Business-Netzwerk LinkedIn sind diese digitalen Identitäten im gesamten Internet aktiv. Dies jedoch erhöht die Gefahr von Missbrauch: Zugangsdaten für Cloud-Dienste können abgegriffen und die digitalen Identitäten ihrer Besitzer Schritt für Schritt kompromittiert und für Cyberangriffe und Betrug genutzt werden.

Laut einer Umfrage der Identity Defined Security Alliance (IDSA) waren 84 Prozent der befragten Unternehmen im vergangenen Jahr von einem identitätsbezogenen Sicherheitsvorfall betroffen. Die meisten dieser Vorfälle standen in Zusammenhang mit der Nutzung von Cloud-Anwendungen oder mit Gast-Accounts für externe Kooperationspartner. Da die Businesswelt sich zunehmend vernetzt und immer kooperativer wird, erhöht das die Notwendigkeit für den Einsatz von Cloud-tauglichem Identitätsmanagement und robusten Authentifizierungsverfahren.

Passwörter waren vorgestern

Einfache Passwörter haben in diesem Zusammenhang längst ausgedient und Unternehmen sind gut beraten, ihre Abhängigkeit von Passwörtern so gut es geht zu verringern. Zwar sind Verfahren zur Zwei-Faktor-Authentifizierung (2FA) in den letzten Jahren verstärkt zum Einsatz gekommen, doch auch sie haben sich inzwischen als anfällig für Social-Engineering-Techniken erwiesen, über die beispielsweise SMS-Authentifizierungscodes abgefischt werden können.

Im Kommen sind nun Multifaktor-Authentifizierungsverfahren (MFA), die drei verschiedene Komponenten beinhalten:

→ Etwas, das Sie besitzen (z.B. die Geräte-ID)

→ Etwas, das Sie wissen (z.B ein Passwort)

→ Etwas, das Sie sind (ein biometrisches Merkmal wie der Fingerabdruck oder ein Iris-Scan)

Zukunftsweisend sind auch dezentrale digitale Identitäten. Sie geben Nutzern mehr Kontrolle über ihre persönlichen Daten und erlauben die selektive Weitergabe von Daten. Somit hat ein Nutzer beispielsweise die Möglichkeit, einen Identitätsnachweis für die Mitgliedschaft in einer Organisation zu erstellen und dabei nur die für diese Organisation relevanten Daten zu hinterlegen. Dies kann die Zusammenarbeit zwischen Mitgliedern verschiedener Unternehmen erleichtern und zugleich die Daten des Nutzers besser schützen.

Aufbau von Cyberresilienz

Der Siegeszug von Ransomware hat gezeigt, dass praktisch kein Unternehmen vor Cyberangriffen gefeit ist. Der Dauerbeschuss mit Spam, Malware und automatisierten Einbruchsversuchen gegen jede Anwendung, die vom Internet aus sichtbar ist, gehört heute zum Alltag der IT-Verantwortlichen. Entsprechend hat sich das Bewusstsein gegenüber IT-Sicherheit in den letzten Jahren gewandelt – es geht nicht mehr darum, ob man angegriffen wird, sondern welche Folgen ein Angriff haben könnte.

Was auf keinen Fall passieren darf, ist dass nach einem Angriff der operative Betrieb eines Unternehmens zum Erliegen kommt. Business Continuity, die Sicherstellung des Geschäftsbetriebs, ist deshalb das Gebot der Stunde. Und da ohne einen intakten IT-Betrieb heute nichts mehr geht, zielen die Bemühungen der IT-Organisationen in den Aufbau von Cyberresilienz und Ausfallsicherheit.

Was Cyberresilienz in der Praxis bedeutet

Zur Widerstandsfähigkeit des IT-Betriebs tragen zahlreiche Faktoren bei, darunter eine Cloud-gerechte Sicherheitsarchitektur, eine gute Gefahrenerkennung und -abwehr, die Aufklärung der Mitarbeiter über Gefahrenquellen in der eigenen Mailbox und die aktuellen Social-Engineering-Techniken, und natürlich eine ausfallsichere IT-Infrastruktur. Ausfallsicherheit wiederum ist zu einem guten Teil von einer effektiven Datensicherung und gut funktionierenden Disaster-Recovery-Mechanismen abhängig (siehe hierzu auch unser Whitepaper über Backup- und Disaster-Recovery-Strategien).

Die Umsetzung all dieser Aufgaben setzt allerdings mitunter viel Spezialwissen voraus, das die meisten Unternehmen innerhalb der eigenen IT-Organisation nicht vorweisen können. Managed Security Service Provider (MSSPs) können hier ebenso helfen wie Cloud-basierte Lösungen unterschiedlichster Ausprägung.

Inhalt

Sponsoren: