IT-Sicherheit: Flexibilität und strategischen Weitblick sind entscheidend

von Katja Schmalen

Warum sich viele Unternehmen so schwer mit Transparenz der Automatisierung von Abläufen und Prozessen tun? Darüber haben wir uns u.a. mit Richard Werner, Business Consultant bei Trend Micro und Hauke Moritz, Lead Consultant – Secure Cloud Usage bei Computacenter ausgetauscht.

 

IDC: Sie sprechen tagtäglich mit Ihren Kunden über Risiken und deren Vermeidung, Minimierung bzw. Abwehr. Welche Risiken betrachten Ihre Kunden als besonders kritisch?

 

Hauke Moritz: Eine der größten Befürchtungen ist, Innovationsthemen zu verschlafen und dem stetig wachsenden Verlangen des Marktes und der eigenen Mitarbeiter nach digitalen Angeboten nicht gerecht zu werden. Digitalisierung bringt viele neue Technologien mit sich, angefangen bei den großen Hyperscalern über Container und Orchestratoren bis hin zu Tools zur Bereitstellung solcher Umgebungen. Die Vielzahl an Tools lässt Raum für Fehlkonfigurationen, die von Angreifern ausgenutzt werden können. Deshalb sind ihre Erkennung und Beseitigung sicher eine der größten Herausforderungen für unsere Kunden. 


Richard Werner: Die Problematik von Fehlkonfigurationen zeigt, dass der menschliche Fehler noch immer die größte Sicherheitsproblematik ist, der sich Unternehmen stellen müssen – auch in der Cloud. Hier agieren vor allem Fachleute für bestimmte Bereiche, wie Software-Entwickler oder Administratoren, die das Thema IT-Security oft nur als Zusatzaufgabe erhalten. Daraus entstehen zwei Herausforderungen: Zum einen wird Sicherheit als lästige Pflicht so einfach gehalten wie möglich. Zum anderen passieren oft simple, vermeidbare Fehler durch schiere Unkenntnis. Kommt es dann zu einem Vorfall, ist es nicht nur schwierig, die Auswirkungen in ihrer Gänze zu umfassen, sondern auch darzustellen, dass das Unternehmen ein adäquates Risikomanagement betrieben hat.


IDC: Transparenz, die Automatisierung von Abläufen und Prozessen sowie proaktives Handeln gelten als Erfolgsschlüssel. Warum tun sich viele Unternehmen so schwer damit?

 

Richard Werner: Bisher ist der Grund meist die Vielfalt der eingesetzten Security-Technologien verschiedener Hersteller. Es ist oft schon schwierig, unterschiedliche Datenquellen miteinander zu verbinden und daraus Rückschlüsse über Zusammenhänge zu ziehen. Fast unmöglich ist es, dann noch adäquate Gegenmaß- nahmen zu unternehmen, wenn unterschiedliche Lösungen nicht miteinander koordiniert werden können. Gerade der Wechsel in die Cloud bietet die Chance, aus früheren Fehlern zu lernen und auf automatisierte, übergreifende Werkzeuge zu setzen, die zentral von der IT-Security-Abteilung gesteuert werden. Leider ist dies noch immer zu selten der Fall.


Hauke Moritz: Verschärft wird diese Problematik noch durch den Fachkräftemangel – gerade im Cloud- und Security-Bereich: Dieser bremst Unternehmen in ihrem Vorankommen, sodass sie digitale Angebote nicht mit der gewünschten Geschwindigkeit entwickeln können. Viele lassen dann die Sicherheit außer Acht, um vermeintlich schneller voranzukommen.

Gleichzeitig ist das auch ein kulturelles Thema: Unternehmen haben einen enormen Bedarf an Architekten, die sowohl technisch hochqualifiziert sind als auch mit Menschen umgehen können. Bei der Entwicklung digitaler Angebote sind viele Fachbereiche involviert, die bisher nicht zusammengearbeitet haben. Somit stoßen auch unterschiedliche Erwartungshaltungen, Wissensstände und Vorgehensweisen aufeinander, die erstmal in Einklang gebracht werden müssen.


IDC: Was sind aus Ihrer Sicht die wichtigsten drei Erfolgsfaktoren, die Unternehmen unbedingt berücksichtigen müssen, um den Fachabteilungen jederzeit sichere IT-Ressourcen bereitstellen zu können?  

 

Hauke Moritz: Erstens die Risiken bei der Bereitstellung von digitalen Angeboten kennen und verstehen – auch im Kontext von Services und Applikationen, die direkt von den großen Public Cloud Providern angeboten werden. Zweitens die Anpassung der organisatorischen Sicherheit an Cloud-Plattformen und die Integration in umfassende Cyber Defense Center und ihre Prozesse. Und drittens ein hoher Automatisierungsgrad von Infrastruktur und Security – gerade für erfolgreiche Incident Detection and Response.


Richard Werner: Security wird nur dann nicht als Belastung empfunden, wenn sie sich erstens in die Aufgaben der Fachabteilungen integriert, zweitens diese bei der Ausführung ihrer Tätigkeiten nicht einschränkt und drittens die nötige Logistik minimiert, um Sicherheit zu erreichen. Gerade die Cloud mit ihrem klaren Fokus auf Automatisierung bietet hierfür optimale Voraussetzungen.

IDC: Mit welchen Angeboten unterstützen Sie IT-Organisationen und Fachentscheider in den Unternehmen im Detail?

 

Richard Werner: Trend Micro bietet Lösungen, die Security-Informationen konsolidieren und Security-Aufgaben automatisieren. In der Cloud sind die Sicherheitsfunktionen auf die darunter liegenden Cloud-Angebote ausgerichtet und können deshalb automatisiert in derselben Art und Weise genutzt werden wie der Cloud-Service selbst. Dadurch gelingt eine optimale Integration in die Arbeitsbereiche der Fachabteilungen, während die IT-Security den nötigen Überblick erhält, um Sicherheit und Compliance des Unternehmens zu gewährleisten.


Hauke Moritz: Computacenter stellt Architekten bereit, die sowohl technisch als auch organisatorisch in der Lage sind, die Entwicklung von sicheren digitalen Angeboten und die notwendige Infrastruktur zu unterstützen. Dazu wird ein umfangreiches Framework verwendet, welches unter anderem Cloud- und DevSecOps-Governance adressiert, also die Anpassung von Richtlinien und Trainings. Zudem unterstützen wir organisatorisch, indem wir beispielsweise die Anwendungsentwicklung sowie das Design und die Bereitstellung von Infrastrukturen begleiten und die Wahrung der Security sicherstellen. Zuletzt begleiten wir unsere Kunden natürlich auch mit technischen Maßnahmen, wie der Auswahl und Implementierung von Sicherheitslösungen, der Anbindung von Cloud-Plattformen an bestehende Security-Infrastrukturen und der Automatisierung von Incident-Response-Maßnahmen.


IDC: Werfen wir einen Blick voraus: Wie wird eine erfolgreiche IT-Security-Landschaft in den nächsten zwei bis drei Jahren idealerweise aussehen?

 

Hauke Moritz: Je einfacher ein System oder eine Umgebung, desto leichter ist sie zu schützen. In den kommenden Jahren werden wir deshalb eine Reduktion der Anzahl an Security-Herstellern sehen. Dabei werden diejenigen überleben, die in der Lage sind, möglichst viele Sicherheitsfunktionen zu vereinen und ein vollständiges Sicherheitslagebild auf Knopfdruck zu liefern. Hersteller, die bereits heute einen plattformbasierten Ansatz fahren, sind daher auf einem guten Weg, dürfen jetzt aber nicht nachlassen. Schlüsselelemente sind die Automatisierung sowie eine umfassende Integration in andere Komponenten. Interessant sind dabei vor allem automatisierbare Schnittstellen und Konzepte, um Services und Lösungen von einer Cloud in eine andere oder in ein Multicloud-Szenario zu überführen – speziell um die Abhängigkeit von einem einzelnen Hyperscaler zu vermeiden und flexibel zu bleiben.


Richard Werner: Da sind wir ja auf dem besten Weg! Ich denke auch, dass die IT-Security noch stärker zu einer zentralen Funktion wird, die konsolidiert und vor allem die Anzahl der eingesetzten Tools und Hersteller minimiert. Die Aufgabe, das Unternehmen in seinem Erfolg abzusichern, wird bestehen bleiben. Allerdings wird die Erwartungshaltung dahin gehen, dies ohne Verbote oder Einschränkungen moderner Technologien zu erfüllen. Hierfür benötigt die IT-Sicherheit ihrerseits Flexibilität und strategischen Weitblick.

Case Study: Kunde aus dem Finanzsektor

In dieser anonymisierten Case Study geht es um ein Unternehmen aus dem Finanzsektor. Der Kunde wollte im Rahmen seiner digitalen Transformation  die Anwendungsentwicklung zukünftig mit agilen Methoden und hohem Automatisierungsgrad in mehreren dedizierten Cloud-Umgebungen durchführen. Wie das Projekt realisiert wurde,  lesen Sie in der Case Study.

Das könnte Sie auch interessieren