Quo vadis, IT-Sicherheit?

Die Tech-Branche hat beim Thema Security versagt

Kommentar  16.01.2018
Pat Gelsinger ist seit September 2012 CEO bei VMware und bringt über 30 Jahre Erfahrung in der Technologiebranche und in Führungspositionen mit. Zuvor war er in technischen und leitenden Positionen bei EMC und 30 Jahre lang bei Dell tätig.
Es ist an der Zeit, dass wir uns ehrlich eingestehen, unsere Kunden bei den Themen Cybersecurity und Datenschutz im Stich gelassen zu haben.

Die Währung unserer Branche ist Vertrauen: Vertrauen darauf, dass unsere Software- und Hardwareprodukte funktionieren. Vertrauen darauf, dass wir die Daten unserer Kunden sichern. Und Vertrauen in unsere Fähigkeit, die Integrität und Verfügbarkeit unternehmenskritischer Systeme zu gewährleisten. Wir verdienen dieses Vertrauen jeden Tag, indem wir die kritischen Anwendungen und sensiblen Daten unserer Kunden in einer zunehmend mobilen Welt des Cloud Computing schützen.

Wenn die Jagd nach der Nadel im Heuhaufen so endet, ist es an der Zeit, umzudenken.
Wenn die Jagd nach der Nadel im Heuhaufen so endet, ist es an der Zeit, umzudenken.
Foto: Lanier Underground - shutterstock.com

Nur wird genau diese Aufgabe zu einer immer größeren Herausforderung. Denn viele Anwendungsarchitekturen entwickeln sich rasant weiter. Und Apps werden zum Hauptziel von Cyberkriminellen und Hackern. Albert Einstein soll einmal gesagt haben: "Die Definition von Wahnsinn bedeutet, immer wieder dasselbe zu tun, aber unterschiedliche Ergebnisse zu erwarten." Was leider eine gute Zusammenfassung unseres derzeitigen Ansatzes bei der Cybersicherheit darstellt. Und solange wir unser grundlegendes Sicherheitsmodell nicht überarbeiten, werden wir nicht in der Lage sein, uns aus dieser Lage zu befreien.

Gutes schützen, statt Böses zu verfolgen

Das Problem ist dabei nicht der Mangel an progressiven Produkten. Tatsächlich gibt es heutzutage enorme Innovationen im Bereich der Cybersecurity. Das Problem liegt in unserem grundlegenden Ansatz, der in der Verfolgung "des Bösen" begründet ist. Es ist ein endloses Wettrüsten und wir scheinen immer weiter zu hetzen, um aufzuholen. Nur wenn man in der IT versucht, "das Böse" zu jagen, sucht man ständig nach der sprichwörtlichen Nadel im Heuhaufen - und das auf einer gefährlich großen (Angriffs)Fläche. Aber was wäre, wenn wir den umgekehrten Weg einschlagen? Was wäre, wenn wir das ganze Modell auf den Kopf stellen und uns darauf konzentrieren, das Gute zu schützen, statt dem Bösen hinterherzujagen?

Wenn man sich auf den Schutz des Guten konzentriert, betrachtet man automatisch nicht das Heu sondern die Nadel, wodurch sich die ausnutzbare Angriffsfläche exponentiell verkleinert. Das funktioniert folgendermaßen: Im Mittelpunkt des Schutzes des Guten steht die Wiederbelebung des uralten Cyber-Sicherheitsprinzips "Least Privilege". Hierbei erhält jeder Benutzer und jedes System ein absolutes Minimum an Rechten für den Zugriff, Funktion und Interaktion, um die notwendigen Aufgaben erfüllen zu können. Mit anderen Worten: Wenn man nicht explizit Zugriff eingeräumt bekommt, hat man schlichtweg keinen. Der große Unterschied - und zugleich der große Durchbruch - besteht darin, dass wir heute in der Lage sind, eine extrem große Anzahl an Rechten nach dem Least-Privilege-Prinzip durchzusetzen, ohne dabei das Innovationstempo oder die Prozesse in Unternehmen zu verlangsamen.

Der Schutz des Guten geht jedoch weit über eine starre Abriegelungsmethodik durch "Deny-by-Default" hinaus: Es geht hierbei um einen Ansatz, der viel nuancierter und differenzierter ist. So wie gute Bremsen an einem Auto es dem Fahrer erlauben, schnell zu fahren, ist es das Ziel des Least-Privilege-Prinzips, die richtige Balance zwischen IT-Sicherheit und der schnellen und flexiblen Bereitstellung von IT-Services zu gewährleisten. Das heißt: Security sollte nicht als Einschränkung, sondern als Motor verstanden werden soll.

Drei Punkte für mehr Security

Beim Schutz des Guten gibt es drei entscheidende Punkte zu beachten:

1. Sichere Infrastruktur

Eine sichere Infrastruktur ändert die Spielregeln, indem sie es ermöglicht, kritische Anwendungen und Daten schnell zu sperren, Sicherheitskontrollen durchzuführen, die direkt in die IT-Architektur integriert sind, und einen wiederholbaren und fokussierten Prozess zur Verbesserung der Cyber-Sicherheit einzurichten.

Dabei handelt es sich nicht einfach um eine Infrastruktur, die sicher aufgebaut ist, sondern vielmehr um eine Infrastruktur, die es ermöglicht, die Beziehung zwischen den Anwendungen und der Infrastruktur selbst zu verstehen und Umgebungen mit den geringsten Rechten um sie herum zu schaffen. Eine Infrastruktur, die darauf ausgerichtet ist, das Gute zu schützen, muss über native, eingebaute Funktionen verfügen, die von Grund auf neu entwickelt wurden, um speziell Anwendungen und Daten zu sichern. Denn heutzutage sind zu viele Kontrollen der Cyber-Sicherheit auf Hardware ausgerichtet, die tief in der Infrastruktur vergraben ist, zum Beispiel ein Router, ein Switch oder ein Server. Und in einer hardwaregesteuerten Welt ist das auch der einzig sinnvolle Ort. In einer softwaregesteuerten Welt hingegen gibt es zahlreiche Ansatzpunkte und Möglichkeiten für IT-Sicherheitsfunktionen im Vergleich zu starrer Hardware und Edge-basierten Lösungen.

2. Starkes Ökosystem

Das Ökosystem benötigt eine privilegierte Stellung in der IT-Umgebung, um Sicherheitskontrollen effektiv durchführen zu können. Diese Kontrollen benötigen einen Zugang zum Kontext der Anwendungen und Daten, die für sie uneingeschränkt sichtbar sein müssen.

3. Cyber-Hygiene

Eine weitere Grundlage ist eine konsequent durchgeführte Cyber-Hygiene als effektivste Maßnahme, um sich gegen Sicherheitsattacken, und -lücken zu wehren. Und doch ist die einzige Konsequenz in der Cyber-Hygiene unsere eigene Inkonsequenz. Denn bei der Cyber-Hygiene versagen wir noch immer. Und das nicht, weil die IT-Sicherheitsteams nicht verstehen, was zu tun ist; sondern, weil die Cyber-Hygiene in einer Welt des ständigen Wandels zu einer extrem komplexen Aufgabe herangewachsen ist. Es ist daher dringend an der Zeit, dass wir Cyber-Hygiene so einfach und so effektiv wie möglich gestalten. Dabei ist es notwendig, die fünf Grundpfeiler der Cyber-Hygiene zu beachten:

  1. Least Privilege

  2. Mikrosegmentierung

  3. Verschlüsselung

  4. Multi-Faktor-Authentifizierung

  5. Patching

IT-Sicherheit auf den Kopf stellen!

Wenn man die großen, schlagzeilenträchtigen Hacks und Datenlecks der letzten Jahre betrachtet, muss deutlich gesagt werden: Jeder einzelne hätte vollständig vermieden oder in seinem Ausmaß deutlich reduziert werden können. Wenn die anvisierten Unternehmen die oben genannten Grundpfeiler verinnerlicht hätten. Wenn es um das Thema IT-Sicherheit geht, dreht sich bislang alles um die Frage: "Wie können wir unsere IT-Infrastruktur so gut wie möglich nach außen abschirmen?". Die Frage sollte aber lauten: "Wie können wir die Art und Weise, wie wir unsere IT-Infrastruktur einsetzen, ändern, um optimal abgesichert zu sein?"

In einer Zeit, in der wir uns als Technologiebranche eingestehen müssen, dass wir bei der Cyber-Sicherheit gescheitert sind, ist es auch unausweichlich, das zugrundeliegende IT-Sicherheitsmodell auf den Kopf zu stellen. (fm)

 

Gerhard Schwartz

Die Tech-Branche hat in der Tat beim Thema Security versagt - und es ist sicher gut wenn eine wichtige Persönlichkeit wie der CEO von VMware dies offen zugibt.

Aber die vorgeschlagenen Maßnahmen gehen dann doch wieder in die falsche Richtung, und die IT wird noch komplexer. Die Forderung nach sicherer Infrastruktur ist zwar völlig richtig, aber diese dann vorwiegend Software-defined abbilden zu wollen wird nicht so recht klappen - auch weil es immer wieder Schadsoftware geben wird die auf darunter liegenden Schichten abläuft und so nicht erkannt werden kann (Spectre lässt grüßen). Nein, IT-Sicherheit (inkl. starkes Ökosystem und Cyber-Hygiene) muss bereits in die Hardware unauslöschlich eingebrannt sein, sonst wird das nichts.

comments powered by Disqus