Thorsten Henning

ist Senior Systems Engineering Manager bei Palo Alto Networks.

Effizienz versus Sicherheit: IT-Bereiche müssen Hand in Hand arbeiten

Trotz gegenseitiger Wertschätzung befinden sich der klassische IT-Betrieb und der Bereich Cybersicherheit häufig in einem Konflikt. Um die digitale Transformation der Wirtschaft aber voranzutreiben, müssen beide Hand in Hand gehen. Sie dürfen sich trotz vieler Widersprüche nicht ausbremsen, meint silicon.de-Blogger Thorsten Henning.

Ein hohes Maß an IT-Sicherheit schränkt die Effizienz der IT ein, sichere IT und produktive IT stehen im Widerspruch. So eines der am weitesten verbreiteten Vorurteile. Fakt ist: Die IT muss Wege finden, um Anwendungen zur Verfügung zu stellen, die Unternehmen benötigen. Doch Prozesse und Anwendungen, die Unternehmen nutzen, können sich rapide ändern. IT-Organisationen müssen also wendig und schnell sein, um mit den Veränderungen in einer globalisierten Wirtschaftswelt Schritt zu halten. Nicht zuletzt deshalb sind Technologien populär, die beispielsweise die schnelle Übergabe von virtualisierten Business-Workloads in die Cloud beschleunigen.

Sicherheit hat, auf der anderen Seite, traditionell andere Prioritäten als Schnelligkeit und Flexibilität. Ihr wichtigstes Anliegen ist der Schutz von Daten, indem sie Risiken weitgehend beseitigt. Daher geht die Tendenz der IT-Sicherheit dahin, konservativ zu sein und zieht Konsistenz der Veränderung vor. Die Einführung neuer Anwendungen und Technologien bringt auch neue Quellen für Angriffe und Datenverlust – also genau das Gegenteil von dem, was die Cybersicherheit zu minimieren versucht.

Industrial Internet, Internet of Things, Industrie 4.0. (Bild: Shutterstock)

Trotz einer gesunden Wertschätzung für die Arbeit der anderen befinden sich die klassische IT und die Cybersicherheit in einem Konflikt. Aber: Die IT will die Sicherheit nicht aufgeben, und Sicherheit will die IT nicht verlangsamen. Und doch ist es nicht ungewöhnlich, dass IT- und Sicherheitsteams aufgrund ihrer vermeintlich unterschiedlichen Zielsetzungen in ganz anderen Teilen der Organisation arbeiten.

In diesem Kontext gibt es noch eine weitere, bemerkenswerte Entwicklung. Als Folge des stetigen Wandels der IT entstehen auch neue Rollen. So werden beispielsweise durch den DevOps-Ansatz die traditionelle Anwendungsentwicklung (Dev) und der faktische IT-Betrieb (Ops) zusammengeführt. In der Vergangenheit standen sich auch diese Bereiche eher konträr gegenüber. Wenn man bedenkt, dass eine ähnliche Kluft zwischen IT und Sicherheit besteht, so entstehen eventuell erste Ideen für Lösungsansätze.

Wichtig ist dabei ein Gedanke: Wie bringt man unterschiedliche Bereiche zusammen und misst den Grad der Zielerreichung, wenn die eigenen Metriken für den jeweils anderen Bereich nicht sinnvoll sind? Ziel muss es sein, Messdaten so zu erfassen, dass reale Probleme identifiziert und nicht nur oberflächliche Symptome erkannt werden. Ein Beispiel ist die Arbeit von Incident Response Teams. Deren Aufgabe ist es, Bedrohungen und Warnmeldungen zu untersuchen – und dies bei einer explosionsartig zunehmenden Zahl von Vorfällen.

Die Zahl der Meldungen ist an vielen Stellen jedoch so groß, dass es nahezu unmöglich ist, relevante Bedrohungen von Falschmeldungen und harmlosen Vorfällen zu unterscheiden. Die Aufgabe ist es also nicht, die schiere Zahl von Angreifern zu erfassen, sondern die relevanten herauszufiltern und effizient dagegen vorzugehen. Dazu ist es nötig, Korrelationen zwischen Aktivitäten in den Systemen zu erkennen, auch wenn diese traditionell in keinem Zusammenhang zueinander stehen.

Industrie 4.0 (Shutterstock/Adam Vilimek)

Ein Ansatz, der besonders vielversprechend ist, ist die Entkopplung der Sicherheitskontrollen von der eigentlichen Anwendung. Anders ausgedrückt ist der Grund, dass IT und Sicherheit sich oft blockieren, dass es jede Menge negative Beispiele dafür gibt, was passieren kann, wenn eine Anwendung erst implementiert wird und dann Sicherheitsvorkehrungen – meist mit einem einzelnen, spezialisierten Produkt – vorgenommen werden. Solch eine Konstellation ist selten wirklich sicher oder einfach zu managen. Sinnvoller wäre es, eine Sicherheitslösung so zu gestalten, dass sie mit der Anwendung gemeinsam ausgeführt wird und diese unterstützt.

Plattformbasierte Infrastrukturen für mehr IT-Sicherheit

Andernfalls entsteht eine komplett fragmentierte Sicherheitspolicy mit unterschiedlichen Kontrollpunkten an jeder Stelle, an der die entsprechende Anwendung ausgeführt wird. Wenn dann an jeder einzelnen Stelle gegebenenfalls Warnmeldungen erzeugt werden, die vermeintlich zusammenhangslos dem Sicherheitsteam übermittelt werden, dann ist es praktisch unmöglich, die wirklich relevanten Bedrohungen zu erkennen und zu bekämpfen.

Aus diesem Grund setzen sich Plattform-Ansätze im Bereich der Cybersicherheit zunehmend durch. Sie ermöglichen Sicherheitskontrollen, die Interessen der IT, der Cybersicherheit und der DevOps-Teams nicht verletzen.

Sicherheit (Bild: Shutterstock)

Plattformbasierte Infrastrukturen zur IT-Sicherheit implementieren kritische Sicherheitsfunktionen als gemeinsamen Nenner für alle Anwendungen im Netzwerk. Durch das permanente Monitoring des gesamten Netzwerkverkehrs und die Erweiterung der Sichtbarkeit auf alle Benutzer, Anwendungen und Geräte, kann eine Organisation die für alle IT-Anwendungen erforderliche, grundlegende Sicherheit schaffen. Die kritischen Sicherheitskontrollen um einen Angriff zu stoppen erfolgen somit direkt an Ort und Stelle der Anwendung im Moment der Ausführung. Angriffe werden also erkannt und gestoppt, anstatt nachträglich verfolgt zu werden.

Es ist wichtig zu bedenken, dass “das Netzwerk” in diesem Kontext nicht nur den traditionellen Umfang umfasst, da die Plattformen ihren Schutz auf den mobilen Benutzer, die Public Cloud und die virtualisierten Rechenzentren beziehungsweise Private Clouds ausdehnen. Außerdem ist für eine effiziente Nutzung einer Sicherheitsplattform wichtig, die Ergebnisse des Monitorings kontextuell auszuwerten. Mit anderen Worten: Die Erkenntnisse des Monitorings und die gemeldeten Vorfälle müssen automatisiert miteinander abgeglichen werden, um Zusammenhänge zu erkennen und daraus die notwendigen Maßnahmen abzuleiten.

Werden diese Grundsätze befolgt, dann ist vorbeugender Schutz tatsächlich möglich. Der Lebenszyklus eines Angriffs kann am ehesten dann unterbrochen werden, wenn eine integrierte Plattform jede mögliche Instanz eines Angriffs erkennen kann. Stückwerk in Form unterschiedlicher Sicherheitslösungen als “Anhängsel” verschiedener Anwendungen erzeugt hingegen bestenfalls Zufallstreffer, wenn das IT-Sicherheitsteam durch Glück oder Erfahrung die “richtige” Warnmeldung unter die Lupe nimmt. Effizient ist dies jedoch nicht, da durch diesen manuellen und aufwändigen Ansatz viele Ressourcen gebunden werden, die an anderer Stelle dann fehlen.

In den kommenden Jahren wird es noch mehr Diskussion darüber geben, wie IT-Betrieb und Cybersicherheit neu ausgerichtet und abgestimmt werden können. Denn klar ist: Die Anforderungen an beide Parteien steigen. Der IT-Betrieb muss immer schneller, flexibler und günstiger werden. Auf der anderen Seite nimmt die Zahl der Attacken und Bedrohungen – die zudem immer ausgefeilter werden – stetig zu. Cybersicherheit und IT-Betrieb müssen Hand in Hand gehen, um die digitale Transformation der Wirtschaft nicht auszubremsen sondern diese zu ermöglichen.