Sichtbarkeit und Transparenz entscheidend

So sichern Sie Ihre Infrastruktur ab

08.09.2017 von Markus Auer
Mangelnde Sichtbarkeit und Transparenz in physischen und virtuellen Infrastrukturen stellt ein große Sicherheitsproblem für Unternehmen dar. Wer seine IT-Umgebung schützen will, muss deshalb zunächst einmal für Durchblick sorgen.

Laut einer aktuellen Umfrage von Bitkom nutzen mittlerweile 65 Prozent aller deutschen Unternehmen Cloud-Technologien – das sind 11 Prozent mehr als im Vorjahr. Gleich ob private, öffentliche oder hybride Clouds, die Vorzüge von Cloud Computing haben die Marktsituation verändert. Zugleich wirft der Wechsel in die Cloud aber auch Sicherheitsrisiken auf.

Wer Infrastrukturen absichern will, benötigt einen klaren Blick auf alle physischen und virtuellen Instanzen.
Foto: Sergey Nivens - shutterstock.com

Die Virtualisierung der Infrastrukturen ist eine entscheidende Herausforderung, die Unternehmen stemmen müssen, um wettbewerbsfähig zu bleiben. Die Digitalisierung ermöglicht schnelle Implementierungen und bedarfsgerechte Skalierbarkeit. Jedoch geht die Entwicklung auch mit neuen Sicherheitsproblemen einher, auf die Unternehmen reagieren müssen. Analysten erwarten, dass bis 2020 86 Prozent des gesamten Datenverkehrs in von Unternehmen betriebenen Rechenzentren in Ost-West-Richtung fließen wird – und damit von den klassischen, am Perimeter orientierten Sicherheitsmechanismen nicht erfasst wird.

Ein Hauptproblem ist die mangelnde Sichtbarkeit und Transparenz in den physischen und virtuellen Infrastrukturen. So sind sich Unternehmen vielleicht nicht bewusst, dass es in ihren Netzwerken im Leerlauf betriebene und verwaiste virtuelle Maschinen (VMs) gibt, die Blind Spots verursachen können. Und da sich virtuelle Server und Rechner so leicht bereitstellen lassen, wissen die Sicherheitsmitarbeiter womöglich gar nichts von deren Existenz.

Zudem besteht die Gefahr, dass Endpunkte nicht richtig verwaltet werden und deshalb die Compliance-Kriterien nicht erfüllen. Eine Studie konstatiert, dass rund ein Drittel der VMs, die Serverressourcen beanspruchen, in diese Kategorien fallen. Mit dem zunehmenden Einsatz von Cloud Computing breiten sich auch unüberwachte Rechner immer mehr aus, und dieses Problem muss gelöst werden, weil Unternehmen sonst gefährdet sind und Ressourcen verschwenden.

Die heutige IT ist unerhört dynamisch und die Einhaltung von Vorschriften dementsprechend schwierig. Wohlmeinende Mitarbeiter können zwar Server hochfahren, aber sie können sie nicht patchen oder dafür sorgen, dass sie den Sicherheitsrichtlinien entsprechen. Zudem ziehen virtuelle Geräte oft um, und Backups, Umstrukturierungsprozesse und andere Aktionen führen zu Veränderungen, sodass die Sicherheitsteams leicht den Überblick über ihre Rechner verlieren können.

Die Herausforderung verstehen

Das Bundesministerium für Wirtschaft und Energie (BMWi) sieht im Cloud Computing eine der wichtigsten Technologien für einen erfolgreichen Übergang ins Zeitalter der Digitalisierung. Das Ministerium erwartet, dass die Zahl der Online-Geräte bis 2030 von derzeit 20 Milliarden auf 500 Milliarden steigen wird.

Die Unternehmen suchen nach den richtigen Strategien für diesen Wandel, müssen dabei aber auch die entstehenden Sicherheitsprobleme in den Blick nehmen. Neben dem bereits bestehenden Mangel an Überblick über die Infrastruktur und der Notwendigkeit zur schnellen Einführung von Cloud-Technologien gibt es noch weitere Aspekte, die aus der Sicherheitsperspektive bedenklich sind, und die IT-Verantwortlichen müssen die Wechselbeziehungen zwischen den einzelnen Entwicklungen verstehen. Und wenn eine Lösung ausgewählt und implementiert wurde, müssen die IT-Mitarbeiter die definierten Strategien auch in die Praxis umsetzen.

Die Umstellung auf die Cloud wird die To-do-Liste enorm verlängern, doch Unternehmen müssen einen Weg finden, die verschiedenen Prioritäten miteinander in Einklang zu bringen. Dabei arbeiten die meisten IT-Administratoren allerdings bereits am Limit. Laut der Global Security Workforce Study (GISWS) von ISC2, für die 19.000 IT-Spezialisten weltweit befragt wurden, fehlt es in 70 Prozent der Unternehmen an Sicherheitsmitarbeitern.

So binden Sie Ihre IT-Sicherheitsexperten
Coaching
Ermöglichen Sie Ihren Sicherheitsexperten einen regelmäßigen Zugang zu Coachings. So sorgen Sie dafür, dass Ihre Angestellten in Sachen neue Technologien immer auf dem Stand der Dinge sind.
Abwechslung
Sie sollten davon absehen, IT-Security-Experten für längere Zeit mit ein und demselben Projekt zu betrauen. Das führt zu Motivations-Stagnation, die wiederum in geringerer Zufriedenheit münden könnte. Um sicherzustellen, dass Ihre Experten mit ihrem Job zufrieden sind, sollten Sie für regelmäßige Rotation bei der Projektarbeit sorgen.
Dampf ablassen
Durch den Zugang zu allerlei vertraulichen Informationen und die Verpflichtung zur Verschwiegenheit in diesen Angelegenheiten kann das Feld der IT-Security für Mitarbeiter eine gesteigerte Stressbelastung bedeuten. Deshalb brauchen diese Angestellten einen sicheren Rückzugsort, um diesen Stress abzubauen. Sie sollten also dafür sorgen, dass Ihre Sicherheitsexperten wissen, wen Sie in einem solchen Fall ansprechen können. Außerdem sollten Sie auch in Erwägung ziehen, besonders belastete Projekte nach dem Rotationsprinzip zu vergeben.
Karriere-Chancen
Jeder sucht nach Möglichkeiten, in seinem Job voranzukommen. Stellen Sie sicher, dass Ihre Mitarbeiter diese Chance bekommen - zum Beispiel durch neue Projekte oder auch Beförderungen. Zudem sollten Ihre IT-Sicherheitsexperten auch die Chance bekommen, Stagnation durch Zertifizierungen und/oder Weiterbildungen zu verhindern.
Fortbildungen
Ihre Security-Spezialisten sollten zudem über alle Zusatz-Zertifizierungen und Weiterbildungsmöglichkeiten informiert sein. So stellen Sie sicher, dass die Mitarbeiter mit Begeisterung bei der Sache sind.
Erfolg messen
Um erfolgreich im Job zu sein, ist es wichtig zu wissen, wie man eigentlich performt. Ihre Mitarbeiter sollten also Zugriff auf sämtliche kritische Daten bekommen - etwa wie viele Viren identifiziert und gestoppt werden konnten und welche nicht. Indem Sie Ihren Sicherheitsexperten diese Fakten vor Augen führen, können diese erkennen, welche Auswirkungen ihre Arbeit auf das gesamte Unternehmen hat.
Umgang mit Stress
Stress gehört zum Berufsbild eines jeden IT-Security-Spezialisten. Gerade deshalb sollten Sie dafür sorgen, dass Ihre Mitarbeiter wissen, wie sie besonders stressintensive Situationen meistern können. Gerade im Fall von ernsthaften Security-Vorfällen stehen Sicherheitsexperten in der Regel unter massivem Druck. Lassen Sie Ihre Spezialisten nicht im Stich, sondern geben Sie Ihnen - zum Beispiel in Form von Trainings - Werkzeuge zur Stressbewältigung an die Hand. Das reduziert auch das Burnout-Risiko.
Work Life Balance
Das hohe Maß an Verantwortung, das IT-Sicherheitsexperten tragen, begünstigt nicht gerade eine gesunde WorkL Life Balance. Entscheider sollten daher dafür eintreten, dass Ihre Mitarbeiter einem ausgewogenen Zeitplan folgen und sie ermutigen, Urlaubstage und flexible Arbeitsumgebungen in Anspruch zu nehmen.
Interesse aufrechterhalten
Sowohl langjährige Mitarbeiter und Neueinsteiger verfügen über Wissen und Erfahrungen, die sie miteinander teilen sollten. Um Mitarbeiter aller Ebenen einzubeziehen, sollten Sie IHre Sicherheitsspezialisten zu Mentorship-Programmen ermutigen.
Gleichbehandlung
Betonen Sie gegenüber Ihren Mitarbeitern, dass die Meinungen und Ideen eines jeden einzelnen Mitarbeiters wichtig sind - unabhängig von ihrem Titel oder der Betriebszugehörigkeit. So motivieren Sie Ihre Angestellten, "out of the box" zu denken und ihre Ideen auch zum Ausdruck zu bringen. Das vermittelt ein Gefühl von Wertschätzung und sorgt im besten Fall für eine langfristige Bindung IHrer Sicherheitsexperten.

In den meisten Unternehmen hat sich heute ein großes Arsenal von Sicherheitstools angesammelt. Eine Umfrage unter 350 Führungskräften und Consultants im IT-Sicherheitssektor ergab, dass in mehr als der Hälfte der Unternehmen (52 Prozent) über 13 Sicherheitslösungen im Einsatz sind. Für all diese Tools muss Zeit und Personal aufgewendet werden, was wiederum den Spielraum für die Implementierung innovativer neuer Technologien verkleinert.

Die richtigen Schritte

Um Überblick über ihre Infrastruktur zu gewinnen, brauchen Unternehmen ein Richtlinien- und Reaktionscenter, über das jedes IoT-Gerät und jeder Endpunkt im Netzwerk in Echtzeit gesehen und verwaltet werden kann. Cloud-Technologien können dabei hilfreich sein, da Unternehmen mit der Ausdehnung ihrer Netzwerke auch ihre Fähigkeit zur Umsetzung von Sicherheitsrichtlinien erweitern müssen.

Cloud-Strategien werden sehr riskant, wenn entscheidende Sicherheitserfordernisse nicht erfüllt sind. Eine wichtige Frage ist, wie sich Unternehmen ein klares Gesamtbild verschaffen können, das über die virtuellen Infrastrukturen hinausreicht. Vor allem in öffentlichen Clouds ist es ein erheblicher Vorteil, Einblick in die „echten“ Endpunkte zu haben. Perimeterorientierte Ansätze vermitteln diesen Einblick nicht und können Angriffsvektoren für Cyberkriminelle eröffnen.

Zwar gibt es kein ultimatives Sicherheitstool, das absoluten Schutz gewährleisten könnte. Doch sollten die bewährten Sicherheitsmechanismen gezielt koordiniert werden, um ihre Effizienz zu maximieren. Wenn eine zentrale Instanz vorhanden ist, die mehrere Sicherheitstools überwacht, haben die IT-Administratoren die Möglichkeit, Richtlinien für alle Geräte im Netz zu erstellen und durchzusetzen. Und die IT-Verantwortlichen können dann sicher sein, dass sich die Lösungen, in die sie investiert haben, auszahlen und Resultate erbringen – auch wenn neue Herausforderungen hinzukommen, wie die Cloud oder das Internet der Dinge.

Eine moderne Sicherheitsstrategie muss diese Sichtbarkeit und Transparenz gewährleisten und gleichzeitig an die relevanten Normen angepasst werden können. Die deutschen Unternehmen erkennen heute, dass es zur Cloud-Technologie kaum Alternativen gibt. Doch wenn sie ihre vorhandenen unterschiedlichen Tools in einer Integrationsplattform zusammenschließen, werden sie neue Compliance-Herausforderungen wie die Datenschutz-Grundverordnung (DSGVO) ohne große Mühe meistern können.

Fazit

Da immer mehr unbekannte und unterschiedliche Geräte auf die Firmennetze zugreifen, ist die Sicherheit ein zentrales Thema. Die Cloud-Technologie bietet Unternehmen enorme Vorteile, und die meisten IT-Verantwortlichen haben bereits verschiedene Szenarien für ihr Unternehmen geprüft.

Wenn sich die IT-Infrastruktur verändert, müssen die Sicherheitsmechanismen entsprechend angepasst werden. Die derzeitige Situation bedeutet für viele IT-Abteilungen eine schwere Belastung. Um mit neuen Umgebungen und der wachsenden Zahl von Endgeräten zurechtzukommen, müssen die Administratoren jeden Endpunkt in dem Moment sehen können, in dem er sich mit dem Netzwerk zu verbinden versucht.

Datenschutz in der Cloud bedeutet mehr als nur Verschlüsselung. Die Sicherheitsmechanismen sollten flexible Vorgehensweisen unterstützen und Veränderungen in der IT-Umgebung automatisch erkennen. Wenn sich die Funktionen verschiedener Sicherheitstools orchestrieren und koordinieren lassen, kann bestmöglicher Schutz für Netzwerke und Clouds gewährleistet werden. Und mehr noch: Die automatische Integration bestehender Sicherheitswerkzeuge reduziert die Zahl der Fehlalarme und ermöglicht es, Compliance-Probleme zu beheben, ohne dass der Helpdesk in Anspruch genommen werden muss. (haf)