Neueste Blogartikel

Sicherheitsperspektiven: Wie unsere Partner die Sicherheit in einer sich radikal verändernden Geschäftswelt sehen

Die Art, wie Unternehmen arbeiten, verändert sich. Welche Auswirkungen hat das auf die IT-Sicherheit? Die VMware-Partner IBM, Computacenter, Softcat und OVH geben ihre Perspektive auf eine IT-Industrie, die sich ändern muss.

Durch immer mehr Clouds, mehr Geräte und mehr Anwendungen, die zugleich unsere Arbeitsstrategie ändern, verändert sich die Arbeitswelt radikal. Das kann man mit Sicherheit behaupten. Die Sicherheitsrisiken, die aus dieser Veränderung resultieren, sind hoch. Sie betreffen Unternehmen in allen Industrien. Der Schutz von Anwendungen und Daten ist kritisch. Das wirft die Frage auf, ob der traditionelle Ansatz zur IT-Sicherheit – der Schutz der Netzwerkgrenzen und die Suche nach Malware – noch zeitgemäß ist.

Aktuelle Sicherheitsmodelle im Blick

Die steigende Anzahl von Sicherheitsvorfällen und die dafür entstehenden hohen Kosten zeigen fundamentale Fehler auf. Und zwar in Sicherheitsmodellen, die sich nur mit bereits bestehenden Bedrohungen beschäftigen. IT-Teams brauchen neue Technologien und Lösungen, um Interaktionen zwischen Nutzern, Anwendungen und Daten sichern zu können. Und das in einer dynamischen, komplexen und weitreichenden Umgebung. Um diese Änderungen zu bewerkstelligen, helfen Partner im Channel. Doch wie sind ihre Blickwinkel auf aktuelle und ältere Sicherheitsmodelle?

Wir wollten es von den Leuten hören, die tagtäglich mit Kunden kommunizieren und deren Standpunkt kennen. Deswegen hat VMware Adam Louca, Security-Cheftechnologe bei Softcat und Helen Kelisky, VP Cloud bei IBM UK & Irland befrargt. Des Weiteren befragten wir Francois Loiseau, Private Cloud Technical Director bei OVH und Colin Williams, Netzwerk-Cheftechnologe Security & Unified Communications bei Computacenter. Wir wollten ihre Gedanken zu IT-Sicherheitsmethoden erfahren. Ferner wollten wir wissen, was sich ändern muss, damit Unternehmen wirklich effektiv geschützt sind und Hacker ins Leere laufen.

  1. Sicherheit wird fundamental neu definiert.

    Von der Mikrosegmentierung, die einen Angreifer im Netzwerk einbremst, über Verschlüsselung auf Datenebene bis zu einer auf Anwendungen fokussierten Sicherheit, die eher auf Stärkung des „Known Good“ statt auf die Aufdeckung des „Unknown Bad“ setzt.

Was ist Ihre Antwort zum Status Quo der IT-Sicherheit?

Softcat: Wir brauchen mehr Hersteller, die eine sichere Infrastruktur integrieren, anstatt Sicherheit als nachträgliche Pflichtübung zu sehen. Die Sicherheitsprinzipien rund um geringste Zugriffsrechte, Netzwerksegmentierung und Safelisting gibt es schon lange als akademische „Best Practices“. Sie waren für die meisten Unternehmen aber schwer zu implementieren. Das Problem für Kunden steckt im Betrieb. Die „Belastung“ durch IT-Sicherheit lässt sich minimieren, indem Sicherheitsfunktionen direkt in die Plattformen integriert werden, die Kunden bereits nutzen. Das stellt sicher, dass sich Kunden nicht zwischen bestehenden Sicherheitspraktiken und effektivem Prinzip entscheiden müssen. Sie können beides haben.

IBM: Wir müssen überdenken, wie wir traditionelle Sicherheit in einer Cloud-Umgebung umsetzen, indem wir die gleichen Ergebnisse für unterschiedliche Umgebungen erzielen. Daten betreffen jeden Bereich im Unternehmen, entsprechend muss der Sicherheitsansatz homogen und überall integriert sein. Sicherheit in der Cloud lässt sich nicht nur erreichen, sie bietet sogar neue Geschäftsfelder, verbesserte Abwehr und ein reduziertes Risiko. Indem manuelle, statische und reaktive Sicherheitspraktiken standardisiert und automatisiert werden, können Firmen flexibler reagieren und Bedrohungen in Cloud-Umgebungen effektiv abwehren.

Computacenter: Aktuell gibt es eine Verwirrung im Enterprise IT-Bereich, der traditionelle Ansatz der „physischen Grenze“ wird überdacht. Allerdings muss eine komplette Lösung alle Aspekte der IT-Umgebung berücksichtigen – Abwehr, Entdeckung, Entfernung und die Reaktion auf Vorfälle. Dazu bedarf es unterschiedlicher Technologien, die allerdings eng verzahnt sind. Eine einzige Wunderwaffe gibt es nicht.

OVH: Bei jeder unserer Neuentwicklungen steht die Sicherheit im Mittelpunkt. Das Design unserer Infrastruktur beginnt mit der Sicherheit und wir sehen uns ständig nach Lösungen um, wie wir unsere Systeme besser schützen können. Normen wie ISO, SOC oder PCIDSS sind Grundlage, um sicherzustellen, dass Unternehmen globale Sicherheitsstandards einhalten. Um diese Vorgaben zu erfüllen, entwickelten wir innovative Lösungen, die sicher sind und es den Kunden gleichzeitig ermöglichen, ihre interne Cloud-Umgebung aufzubauen. Vor ein paar Jahren noch waren es die Vorteile der Cloud wie OpEx, Time-to-Market oder Skalierbarkeit, die Firmen lockten. Heute kaufen Kunden Cloud-Technologien, um mehr Sicherheit in ihr Unternehmen zu bringen.

  1. Welche Diskussionen haben Sie mit Kunden bezüglich des Wechsels in der IT-Sicherheit?

Softcat: In den letzten zwölf Monaten haben sich unsere Kunden in zwei Lager unterteilt. Der ersten Gruppe ist klar, dass sie ernsthaft in Cyber-Security-Lösungen investieren müssen, um ein gewisses Grundlevel an Schutz zu erreichen. Wir sehen in diesen Unternehmen erhöhtes Interesse der Führungsteams, das ist großartig.

Die zweite Gruppe ist anders. Sie hat bereits ein signifikantes Investment in Lösungen getätigt, allerdings gibt es noch immer Sicherheitsvorfälle. Das sorgt für Unzufriedenheit in den Unternehmen. Es fühlt sich an, als wäre IT-Sicherheit den Aufwand schlicht nicht wert. Diesen Teams müssen wir besonders helfen und sicherstellen, dass sie ihren Ansatz vereinfachen. Erst wenn die Grundlagen stimmen, lässt sich bei Bedarf Komplexität aufbauen.

IBM: Unsere Kunden wollen die Vorteile der Cloud für ihr Unternehmen nutzen, verstehen aber den Einfluss auf ihre Sicherheit sehr gut. Der Ansatz geht weg vom Fokus auf die Perimeter. Er geht hin zu Produkten, die die Funktionalität von Router, Firewall und anderen Grenzvorrichtungen ersetzen können. Und zwar durch Cloud-basierte Lösungen wie Cloud Access Security Brokers und Cloud Identity Services .

Computacenter: Die Konversation rund ums Thema Sicherheit ändert sich. Wir sehen einen Wechsel weg von isolierter Problemlösung mittels einzelner Produkte hin zum Consulting für integrierte, zielgerichtete Architektur. Unternehmen wird klar, dass sie eine höhere Transparenz hinsichtlich potenzieller Bedrohungen und aktuellen Sicherheitsverletzungen brauchen. Das setzt eine Vereinfachung der Infrastruktur voraus, sowie eine bessere Integration aller Dienste.

OVH: Vor ein paar Jahren haben wir Backup-Lösungen noch als Option verkauft. Inzwischen ist Desaster Recovery ein integraler Teil jeder Lösung. In dieser neuen Welt wird alles als Service angepriesen und jede Software lässt sich mit wenigen Klicks installieren. Die Kunden wollen deshalb nicht mehr Wochen oder Monate lang eine Firewall konfigurieren oder einen Load Balancer einrichten. Sie wollen Auslöser konfigurieren bzw. Intelligenz in Systeme integrieren. Außerdem möchten sie auch in einer dynamischen Infrastruktur das gleiche Level an Sicherheit aufrechterhalten.

  1. Stimmen Sie zu, dass sich IT-Sicherheit radikal verändern muss?

Softcat: Ich glaube, es geht zu den Grundlagen der IT-Sicherheit zurück. Meiner Meinung nach sehen wir gerade, wie die Tools zu den Sicherheitsmodellen aufholen, die in den frühen 90ern definiert wurden.
IBM: Sicherheit muss Teil der Entwicklung und des Betriebes sein und sich gleichzeitig in agile DevOps-Prozesse integrieren. Diese werden immer populärer. Indem IT-Sicherheit genauso behandelt wird und Sicherheit als Code definiert wird, können Teams zusammenwachsen. Sicherheit wird in den Vordergrund gerückt, gleichrangig mit Entwicklung und Betrieb.

Computacenter: Das radikale Umdenken geschieht bereits, aber es ist noch nicht radikal genug. Die endlose Veröffentlichung neuer Produkte von neuen Herstellern zeigt immer „noch einen anderen Weg“ auf. Es ist aber wichtig, die Grundlagen zu meistern und die richtigen Sicherheitskontrollen einzurichten, bevor man sich neue Lösungen ansieht. Das muss die Priorität für Unternehmen sein.

OVH: Die Auslagerung von Workloads, hybride Designansätze und die Cloud ganz allgemein haben die Regeln geändert. Wir reden oft von „Cloud-Native“-Implementierungen, darauf muss sich die Sicherheit einstellen. Sie darf kein Hindernis sein, sondern muss Teil einer solchen Umgebung werden. Doch um Cloud-Native zu sein, muss sich eine Technologie anpassen können. Sie muss Normen erfüllen, sich weiterentwickeln, einfach zu nutzen sein und sich (bald) nahtlos integrieren, wenn sie als Multi-Cloud-Ansatz genutzt wird.

  1. Wie hilft IT-Sicherheit Kunden dabei, ihre digitalen Ziele zu erreichen?

Softcat: Die digitale Transformation kann nur in einer gesicherten Umgebung erfolgen. Transformation erfordert Investitionen, die nur getätigt werden, wenn wir das Risiko kontrollieren können. Ein großer Teil dieser Risiken besteht aus Sicherheitsverletzungen. Indem Sicherheit in die Plattform eines Unternehmens integriert wird, können die Sicherheitsanforderungen für jede Anwendung und jeden Service definiert werden. Je nach Risiko und den potenziellen Auswirkungen einer Verletzung. Das ermöglicht schnellere und sichere Bereitstellung. Die Sicherheit wird integraler Bestandteil des Prozesses, keine nachträgliche Pflichtübung.

IBM: Es ist wichtig, den Kontext und den Wert der bestehenden Sicherheitsmaßnahmen miteinzubeziehen. Unternehmen profitieren von einer größeren Kontrolle, granularem Zugriff aufs Netzwerk und integrierten Sicherheitsfunktionen wie etwa Verschlüsselung. Computacenter: Im digitalen Zeitalter sieht das Netzwerk alles was geschieht. Es bietet durch die Verbindung zur Anwendungsebene die Möglichkeit, Zusammenhänge zu verstehen. IT-Sicherheit auf Netzwerkebene löst nicht alle Probleme. Sie muss richtliniengesteuert und in die Gesamtarchitektur integriert sein.

OVH: Time-to-Market ist eng mit der IT eines Unternehmens verknüpft. Das bedeutet, das IT-Team muss eine Umgebung schaffen, in der sich die Time-to-Market beschleunigen lässt. IT kann es sich nicht leisten, der Engpass in der Entwicklung zu sein. Viele Unternehmen entscheiden sich, software-definiert zu agieren. Zum Beispiel mit NSX auf Netzwerkebene. So erstellen sie einen sicheren, automatisierten Ansatz. Dieser erlaubt es IT-Abteilungen, Zeit beim Start verschiedener Plattformen zu sparen.

  1. Können Sie ein Beispiel zu einem Kunden geben, der seine IT-Sicherheit bereits umgebaut hat?

    Softcat: Ich habe mit einem großen Unternehmen gearbeitet. Es hat seine IT-Sicherheit von einem Legacy-Modell einer Add-On-Security zu einem modernen Zero-Trust-Ansatz umgebaut. Das Unternehmen wandelte sich von einer Firma, die Zwischenfällen hinterherläuft, zu einer Organisation, die Risiken, Schwachstellen und potenzielle Gegenmaßnahmen kennt. Wir halfen beim Aufbau einer Sicherheitsstruktur auf mehreren Ebenen, die unabhängig von der Bedrohungsart funktioniert. Und zwar ohne Investitionen in komplexe Tools. Es ist faszinierend, was man alles erreichen kann, indem man sich auf die Grundlagen besinnt.

IBM: Die meisten Kunden, die ihre IT-Sicherheit erfolgreich transformiert haben, erreichten dies durch Modernisierung ihrer Unternehmenskultur. Der Ansatz dabei ist, dass Sicherheit das Geschäft erst möglich macht. Wenn Firmen Sicherheit als Ganzes ernst nehmen, wird es wesentlich einfacher, Lösungen vorzubereiten, zu implementieren und zu verwalten.

Fazit

All diese Aussagen deuten auf eine Sache hin: Es muss eine gemeinsame Grundlage zwischen den heutigen Sicherheitslösungen und den sich verändernden Geschäftsmodellen geben. Letztere werden sich weiterhin ändern. Mitarbeiter und Geräte werden sich immer mehr vernetzen, Unternehmen müssen den Spagat zwischen physischer und digitaler Welt schaffen. Wir sehen bereits jetzt Firmen, die die Grenzen mit neuer Technologie sprengen, diese reicht von IoT über Machine Learning bis hin zu Künstlicher Intelligenz.

Dadurch eröffnen sich neue Möglichkeiten, es bedeutet aber auch mehr Komplexität und eine erweiterte Umgebung. Beides öffnet die Tür für potenzielle Schwachstellen, die es abzusichern gilt. Indem Firmen einen besseren Überblick erhalten – etwa durch verbesserte Sichtbarkeit und besseres Verständnis für den Kontext – können Unternehmen ihre immer komplexeren und fragmentierten IT-Umgebungen besser schützen. Damit kommen sie ihrem Ziel näher: Ihre Firma zu schützen und gleichzeitig Innovation und neue Geschäftsfelder zu ermöglichen.

Mehr zum Thema Cyber-Sicherheit lesen Sie in der Serie von Matthias Schorer.

Sie möchten bei VMware immer up to date sein? Dann folgen Sie VMware auf TwitterXING, LinkedIn & Youtube