adam121 - Fotolia

Sicherheits-Management: Komplexität reduzieren für mehr Sicherheit

Ein effektives Sicherheits-Management hilft, die wachsende Lücke zwischen komplexer Technologie und den verfügbaren Ressourcen zu schließen.

Die Welt der IT-Sicherheit hat sich gerade in den letzten Jahren dramatisch weiter entwickelt. Parallel dazu schlagen sich aber gerade die Firmen, die moderne Sicherheitsstrategien umsetzen, mit einer Reihe von neuen Problemen herum. Sozusagen als direkte Folge dieser Weiterentwicklung. Nicht zuletzt, weil Sicherheitsexperten über Jahre alles daran gesetzt haben, Defizite bei der IT-Sicherheit mit einer wahren Flut von Technologien zu beseitigen. Das hat den Komplexitätsgrad steil nach oben getrieben und erschwert es, den Überblick zu behalten.

Die Kehrseite der technologischen Entwicklung: Es haben sich an vielen Stellen Lücken eingeschlichen, die zum größten Teil unbemerkt geblieben und gerade deshalb so alarmierend sind. Wenn irgendwo Lücken auftauchen, bedeutet das gleichzeitig, dass Risiken entstehen. Risiken, die wiederum ihrerseits mit potenziell schwerwiegenden Konsequenzen einhergehen.

Reisende kennen beispielsweise von der Londoner U-Bahn das akustische und visuelle Warnsignal „Mind the Gap“, das auf den potenziell gefährlichen Spalt zwischen Bahnsteigkante und Zugeinstieg hinweist. Will man bei diesem Vergleich bleiben, dann hat die Technikwelt die Warnhinweise lange Zeit schlicht übersehen. Inzwischen sind Personal- und Ressourcenknappheit ein Thema, das uns beständig begleitet. Auf der einen Seite überlastete IT-Abteilungen und auf der anderen Seite die lawinenartig anwachsende Zahl von eingesetzten Technologien. Für diesen Sachverhalt wurde der Begriff „Complexity Gap“ geprägt.

Die größten Probleme

Die meisten Unternehmen haben bei der IT-Sicherheit einen vergleichsweise traditionellen Weg eingeschlagen. Sie haben massiv in neue Technologien investiert - und tun es noch, um den enormen Druck unter dem die entsprechenden Abteilungen stehen, wenigstens annähernd zu senken. So nachvollziehbar der Ansatz ist, er ist wenig geeignet die Situation zu entspannen und eine Lösung des Problems herbeizuführen. Die Kapazitätsproblematik hat inzwischen dazu geführt, dass es für die meisten Firmen unmöglich geworden ist, Millionen von Regeln und Tausende von Geräten noch optimal zu verwalten. Effektives Sicherheits-Management ist so kaum noch zu gewährleisten.

Die Schlagzeilen in Zusammenhang mit der Ransomware WannaCry haben wieder einmal gezeigt, dass es für Cyberaggressoren zu einem (lukrativen) Sport geworden ist, Schwachstellen in einer Unternehmensinfrastruktur für ihre Zwecke auszunutzen. Die Sicherheitsinfrastruktur eines durchschnittlichen Netzwerks ist derart komplex, dass damit nicht nur kleine, sondern auch große Firmen bis hin zur Konzerngröße kämpfen. Unsicherheiten bei der Integration erschweren es, an den richtigen Stellen zu investieren und so Schwachstellen präzise zu identifizieren.

Damit nicht genug, hat sich das Internet der Dinge rasant weiter entwickelt. Beides zusammen genommen hat Potenzial für ein „perfektes“ Desaster. Mit dem Unternehmensnetz verbundene IoT-Geräte tragen nicht ganz unerheblich dazu bei, das Problem weiter zu verschärfen.

Das Sicherheitsunternehmen ForeScout Technologies schätzt (PDF, Englisch), dass ein Unternehmen durchschnittlicher Größe innerhalb der nächsten 18 Monate etwa 7.000 IoT-basierte Geräte verwalten muss. Bei kleinen Unternehmen liegt die Zahl potenziell sogar noch höher. Die Angreifer haben sich dahingehend längst in Stellung gebracht. Es hat bereits eine Reihe von Vorfällen gegeben, bei denen sich eine Malware IoT-basierte Geräte zunutze gemacht hat, um Angriffe gegen die weltweit populärsten Webseiten oder den Internet-Backbone zu fahren. Dabei ist es gelungen, den Internet-Traffic signifikant zu verlangsamen beziehungsweise ihn komplett zum Erliegen zu bringen. Das allseits bekannte Mirai-Botnetz und seine Nachfolger sind das beste Beispiel.

Wo sind die IT-Sicherheitsprofis, die das verhindern?

Wir haben es inzwischen weltweit mit einem Mangel an qualifizierten IT-Sicherheitsfachleuten zu tun. Unternehmen tun sich schwer, geeignetes Personal zu finden, um die komplexen Sicherheitssysteme zu verwalten. Systeme, die vielfach mehr aufgrund von Compliance-Anforderungen denn aus tatsächlichen Sicherheitserwägungen heraus angeschafft wurden. Und genau das führt zu der schon mehrfach beschriebenen Lücke.

Jüngste Erhebungen stimmen nicht unbedingt optimistischer. Eine von Forrester Consulting veröffentlichte Studie von 2016 stellt fest, dass 80 Prozent aller Unternehmen gegenüber einer Cyberattacke verwundbar sind. 32 Prozent der in einer Umfrage von Frost & Sullivan interviewten Unternehmen haben Schwierigkeiten, qualifiziertes Sicherheitspersonal zu finden.

Tripwire fand in einer Umfrage heraus, dass 75 Prozent der befragten Unternehmen nicht über ausreichende Expertise in Sachen Cybersicherheit verfügen. Und als hätten die befragten Firmen nicht genügend Probleme, bestätigt der „Cost of a Data Breach“ Report des Ponemon Institutes, das die durchschnittlichen, mit einem Datenschutzvorfall verbundenen Kosten, sich mittlerweile auf eine Höhe von 4 Millionen US-Dollar belaufen. Für Deutschland liegt der erhobene Wert bei 3,61 Millionen in Euro, was in etwa dem durchschnittlichen US-Dollar-Wert entspricht. Ein lauter Weckruf. Die Studien- und Umfrageergebnisse sprechen eine einheitliche und vor allem deutliche Sprache – ohne angepasste Sicherheitsmaßnahmen wird es nicht länger gehen.

Parallel dazu hat sich allerdings bei vielen Unternehmen und IT-Abteilungen im Hinblick auf Sicherheitsalarme eine gewisse Müdigkeit eingestellt – es sind schlicht zu viele geworden. Eine von der EMA gemeinsam mit der International Data Corporation durchgeführte Studie hat ergeben, dass 92 Prozent der befragten Unternehmen bis zu 500 Alarme täglich erhalten, davon als 88 Prozent als kritisch eingestufte. Mit anderen Worten: Während die IT-Sicherheitstechnologie besser und besser geworden ist, hat sich aufgrund der enormen Zahl der eingehenden Alarme eine gewisse lethargische Grundhaltung bei vielen Sicherheitsverantwortlichen eingeschlichen. Eine nicht ganz ungefährliche Gemengelage.

Intelligentes Sicherheits-Management

Um die Komplexitätslücke zu füllen oder doch wenigstens in ihren Auswirkungen zu begrenzen, bedarf es eines anderen als dem bisherigen Ansatz. IT-Sicherheitsabteilungen müssen in der Lage sein, Sicherheitstechnik besser zu verwalten, von den Firewalls über die Router hin zu Switches. Sicherheits-Management ist ein Trend, der sich in der Industrie mehr und mehr durchsetzt, verspricht er doch, wie eine Art Multiplikator der vorhandenen Arbeitskräfte zu fungieren.

„Wir haben es weltweit mit einem Mangel an qualifizierten IT-Sicherheitsfachleuten zu tun. Unternehmen tun sich schwer, geeignetes Personal zu finden, um die komplexen Sicherheitssysteme zu verwalten.“

Michael Callahan, FireMon

 

Was Sicherheits-Management-Lösungen zunehmend attraktiv macht: Sie stellen einen Automatisierungsgrad und eine Analysetiefe zur Verfügung, wie sie Menschen nicht leisten können. Dadurch sind solche Lösungen im Stande, einige der grundlegenden Komplexitätsprobleme zu adressieren. Die Tools sind entwickelt worden, um firmeninterne Richtlinien, Rahmenwerke und Compliance-Anforderungen einfacher zu verwalten, indem sie wesentliche Aufgaben automatisieren. Einige dieser Tools senken den Zeitaufwand für Sicherheitsnachforschungen, andere erweitern das Projekt-Management, weil weniger Zeit für Sicherheits-Audits aufgewendet werden muss und weil die bestehenden IT-Sicherheitslösungen wesentlich besser genutzt werden können.

Es wird dann mit den bestehenden Technologien sehr viel einfacher, die berühmte Stecknadel im Heuhaufen zu finden. Dabei helfen kontextuelle Informationen zu den eigentlichen Sicherheitsbenachrichtigungen. Gleichzeitig wird dieser Prozess rationalisiert, so dass sich die Zuständigen auf potenziell schwerwiegendere Sicherheitsbelange konzentrieren.

Dieser Ansatz ist geeignet, die Balance wiederherzustellen und die Komplexitätslücke zu schließen. Ideal, um den Prozess der Security-Policy-Konfiguration zu automatisieren, Compliance-Praktiken umsetzen und die generelle Angriffsfläche eines Unternehmens zu verringern. Detaillierte Analysen und Risikosimulationen senken die operationalen Kosten, denn die zuständigen Fachleute können sich derweil auf potenziell kritischere Bereiche (von höherem Wert) konzentrieren. Die zeitaufwendigen Teile des Sicherheits-Managements sind automatisiert.

Trotzdem ist davon auszugehen, dass sich die Situation erst verschlimmert, ehe sie sich tatsächlich verbessert. Im Moment sieht es noch ganz danach aus, als ob sich die Lücke erst einmal vertiefen wird. Mehr Geräte und weniger zur Verfügung stehendes qualifiziertes Personal sprechen jedenfalls dafür. Firmen müssen handlungsfähig sein, ehe es zu spät ist.

Über den Autor:
Michael Callahan ist Vice President bei FireMon.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

IT-Security: Technologie alleine löst keine Sicherheitsprobleme

CISO: Die größten Herausforderungen für Sicherheitsverantwortliche

Die fünf größten Sorgen von Security-Verantwortlichen

Checkliste IT-Sicherheit: Die Herausforderungen für Unternehmen

Artikel wurde zuletzt im Juni 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Enterprise-Risk-Management

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close