Resilienz als wertvolle IT-Security-Eigenschaft Die fabelhafte Welt der IT-Security

Autor Sylvia Lösel

Vom Zehn-Meter-Turm zu springen und die japanische Kunst des Kintsugi haben viel mit einer sicheren digitalen Zukunft zu tun. Es geht um Resilienz und wie man diese erwirbt. Die Weichen dafür werden gerade gestellt, mit KI, Automatisierung und Software-defined Netzwerken.

Firmen zum Thema

Neue Denkansätze für eine vernetzte, sichere Welt.
Neue Denkansätze für eine vernetzte, sichere Welt.
(Bild: irishmaster - stock.adobe.com)

Resilienz ist der Prozess, in dem Personen auf Herausforderungen und Veränderungen mit Anpassung ihres Verhaltens reagieren. So definiert Wikipedia einen Begriff, der auch ausdrückt, was IT-Security bewirken will. Widerstandsfähigkeit ist das, was nicht nur Menschen, sondern auch Systeme benötigen, um mit Herausforderungen umzugehen, Gefahren zu erkennen und angemessen auf diese zu reagieren. Es ist nicht länger nur Aktion und Reaktion. Die bloße Installation einer Antivirus-Software oder einer Firewall reicht schon lange nicht mehr. Es ist die systematische Härtung der IT auf allen Ebenen und in alle Richtungen. Von der Netzwerkinfrastruktur, über die Cloud und die Endgeräte bis hin zum Anwender. Security hat dadurch eine Komplexität und ein Facettenreichtum erreicht, die Unternehmen, Hersteller und Dienstleister vor enorme Herausforderungen stellt. Wirft man einen Blick ins Jahr 2030, stehen wir heute allerdings erst am Anfang einer vollständig digitalisierten Welt.

Wenn man mit dem Gedanken der Business Continuity an die Sache herangeht, dann reduziert man automatisch den Aufwand.

Jörg Peine-Paulsen vom niedersächsischen Verfassungsschutz

Wie leben wir im Jahr 2030?

Im „Project 2030“, einer Beschreibung der digitalen Welt in zehn Jahren, zeichnet Trend Micro ein Zukunftsszenario, das verdeutlicht, welchen Herausforderungen sich künftig Individuen, Unternehmen und Staaten gegenübersehen. Wenn das gesamte Leben digitalisiert ist, bekommen Angriffe eine neue Bedrohungsqualität. In der fiktiven Welt, die sich Dr. Victoria Baines und Rik Ferguson ausgedacht haben, lebt eine Frau namens Resila. Sensoren entscheiden, welche Nahrungsmittel gut für sie sind und welche Lebensmittel sie daher einkaufen darf. Sie helfen ihr auch, immer die richtige Kleidungsgröße zu bestellen. Sie ist immer über alles informiert, da sie sämtliche Nachrichten und Informationen direkt über Linsen auf ihre Netzhaut projiziert bekommt. Bei ihrem Arbeitgeber werden Lieferketten und die Produktion vollständig digital überwacht und gesteuert. Bei Problemen oder Fehlern reagiert das System automatisch und behebt diese. Identity Management sorgt dafür, dass sie jederzeit und mit jedem System interagieren kann, das über 5G, verteilte Edge-Strukturen und die Public Cloud angebunden ist. Es gibt eine digitale Identität, und bezahlt wird ausschließlich bargeldlos. Es ist das Zeitalter des Massive Internet of Things (MIoT) und von 5G. Es ist das Zeitalter automatisierter Attacken, von Crime-as-a-Service, von Insider Threats durch Algorithmen und von der Gefahr, durch Cyberattacken nicht nur Daten, sondern auch Menschenleben zu verlieren, etwa wenn der gehackte Algorithmus Zuckerkranken falsche Nahrungsmittel zuordnet.

Wie werde ich widerstandsfähig?

Mit diesem Szenario vor Augen gilt es, heute schon die Grundlagen zu schaffen, resilient zu werden. Rohit Ghai, CEO von RSA, nennt in seiner Keynote auf der virtuellen RSA-Konferenz drei Strategien, die dabei helfen, Security-Resilienz aufzubauen und das Chaos zu beherrschen, das durch verteilte Infrastrukturen, Systeme und Zugriffe entsteht:

  • Erwarte das Unerwartete.
  • Traue niemandem (Zero Trust).
  • Isoliere Fehler (Micro Segmentation).

All dem liegt Sichtbarkeit zugrunde. Nur wenn man weiß, was in der IT-Landschaft passiert, ist man gewappnet und kann (re-)agieren. Es gilt, sich vom IP-Adresse-basierten Security-Konzept und von Hardware-only zu lösen und einzutauchen in eine Software-gesteuerte Welt, die vom Zero-Trust-Gedanken lebt und dank Automatisierung mit der Vielfalt von Attacken und Sicherheitslücken umgehen kann. Lance Haig, Regional Manager bei Hashicorp präzisiert dies: „Infrastructure as a Code ist nur eine Variante dieser Sichtweise. Authorisation as a Code oder Access as a Code trifft es noch besser. Das erfordert ein Umdenken in der IT-Organisation. Einerseits ist eine viel tiefere und stärker verteilte Sicht nötig, gleichzeitig aber eine Perspektive, die deutlich weiter und umfassender ist.“

Was muss ich unbedingt absichern?

Was bedeutet dies für die Sicherheitsstrategien heute? Jörg Peine-Paulsen vom niedersächsischen Verfassungsschutz riet auf dem Partnertag von Securepoint dazu: „Fehlerkultur betreiben. Und ein weiterer Tipp: Unternehmen sollten überlegen, welche Dinge sie unbedingt sicher machen wollten und müssten – Stichwort: Business Continuity. Um diese Dinge sollte man sich vorrangig kümmern. Denn wenn da etwas passiert, wird es kritisch. Wenn man mit dem Gedanken der Business Continuity an die Sache herangeht, dann reduziert man automatisch den Aufwand.“ Zu einem ähnlichen Konzept rät Kudelski Security mit einem Drei-Stufen-Plan:

  • Risiken identifizieren: Nur wer seine (digitalen) Vermögenswerte lückenlos kennt , kann Konsequenzen von Risikoszenarien bewerten. Die Visualisierung von Risiken hilft bei der Priorisierung von Gegenmaßnahmen.
  • Risiken analysieren und bewerten: Wahrscheinlichkeit eines Risikoereignisses und die möglichen Konsequenzen kennen.
  • Reaktionsstrategien und Maßnahmen implementieren: Dazu gehört, Kosten für die Gegenmaßnahmen zu bestimmen sowie durch Monitoring und Statusaktualisierung auf dem Laufenden zu bleiben.

Wer sind die schwierigen Kandidaten?

Für Systemhäuser kann dies einen hohen Beratungsaufwand bedeuten, wie Marco Becker, Geschäftsführer von Save IT first aus eigener Erfahrung weiß. „Es gibt immer Berufsgruppen und Unternehmen, bei denen es besonders schwierig ist, erst einmal Awareness zu schaffen. Paradoxerweise sind das die, die es eigentlich am nötigsten hätten, wie Rechtsanwälte, Steuerberater, das Gesundheitswesen und – ganz wichtig – mittelständische Unternehmen insgesamt. IT-Sicherheit kostet zunächst erst einmal Geld, ist aber nicht gleich direkt wahrnehmbar und greift oft tief in die Infrastruktur ein. Deshalb entsteht eine Investitionsbereitschaft leider oft erst nach einem Incident.“ Aber auch in Bezug auf die Vernetzung von OT- und IT-Welten gibt es Hürden: „Wenn wir hier Schwierigkeiten haben, liegt es auch oft daran, dass die OT-Ansprechpartner nicht aus der IT-Welt kommen, sondern Ingenieure sind. Aber wenn wir da erst einmal die Brücke geschlagen haben, dann verstehen sie den Mehrwert unserer Security-Lösungen.“

Kommunikation ist in der neuen Security-Welt ohnehin das A und O, die zudem durch neue Ansätze befeuert wird, etwa durch Native Security, Security by Design und DevSecOps. Bei diesen Herangehensweisen sind interdisziplinäres Denken und Arbeiten Grundvoraussetzungen für den Erfolg. Ein Gedanke, den Sergej Epp, CSO bei Palo Alto für die Weiterentwicklung von Security Operations Center weiterspinnt: „DevOps bietet einen proaktiven Ansatz für Resilienz und Bedrohungsmanagement, indem sie Bedrohungsdaten und Überwachung zusammenführen. Fragen auf DevOps-Ebene, wie „Steht diese blockierte Transaktion im Zusammenhang mit dem Bankangriff von letzter Woche?“, könnten das Situationsbewusstsein verbessern, aber auch dabei helfen, bessere Playbooks für die Betriebsteams zu entwerfen oder sogar zu automatisieren.“

KI, Automatisierung, Software-defined

Im Netzwerk erfolgt Kommunikation zunehmend mittels Management-Konsolen. Software-defined Networks machen sämtliche Komponenten der Infrastruktur sichtbar. Netzwerk-Hersteller sowie Security-Anbieter setzen gleichermaßen auf KI-gestützte und automatisierbare Prozesse, um Eindringlinge und Schadcode im Firmennetz zu identifizieren: Ein Beispiel dafür ist XDR, das Gartner definiert als „eine Security-Incident-Detection-and-Response-Plattform, die automatisch Daten von mehreren Sicherheitslösungen sammelt und in Beziehung zueinander setzt“. Als ein Beispiel kann Fortinets neue FortiXDR dienen, eine „Out-of-the-Box“-Lösung, die sich explizit an mittelständische Unternehmen mit begrenzten Ressourcen an Fachkräften, Tools und Prozessen richtet.

Niemand sucht sich mehr aus einem Angebot von 35 Einzelprodukten das Passende aus, sondern Channel und Kunden wollen Durchgängigkeit und Einfachheit.

Michael Schröder, Business Strategy Manager DACH bei Eset

Wie vielfältig die Security-Welt geworden ist, zeigt ein Blick auf das sich wandelnde Portfolio von Herstellern. Ursprünglich einmal mit Antivirus-Software gestartet, ist beispielsweise Kaspersky heute als Managed SOC-Anbieter aktiv und hat in Zusammenarbeit mit Siemens das erste kommerzielle IoT-Industrial Gateway zur Absicherung von Industrieanlagen entwickelt, für das der Hersteller sein Cyber-immunes Betriebssystem beigesteuert hat, erzählt Christian Milde, Geschäftsführer DACH von Kaspersky. Und was bislang als Direktgeschäft mit Industrieunternehmen läuft, könnte schon bald auch Teil des Channels werden, wie Waldemar Bergstreiser, Channel-Chef Deutschland bei Kaspersky ergänzt: „Wir arbeiten gerade an WLAN-Gateways für KMU für den deutschen Markt. Das wird ein Thema für den Channel“.
Diversifiziert hat das Portfolio auch G Data. Der Bochumer Hersteller, wie Kaspersky im Antivirus-Geschäft groß geworden, bietet nun neben seinen klassischen Lösungen Managed-Komponenten an, genauso wie Penetrationstests und auch eine Awareness-Plattform. Einen radikalen Schnitt dagegen machte Sophos im vergangenen Jahr und setzt ab 2023 alleine auf die Cloud und Managed Services. „Ein Großteil unserer jetzigen MSP-Partner hat sich aus dem klassischen Reselling entwickelt. Es gibt bisher nur einige Partner, die ausschließlich MSP machen, aber wir merken, dass der Trend eindeutig dorthin geht“, sagt Sven Janssen, Director Channels Sales DACH bei Sophos. Um die Partner bei diesem Übergang an die Hand zu nehmen, ist für den Hersteller die Distribution ein wichtiger Mittler. Infinigate, Tarox und Also unterstützen mit ihren Trainingscentern und Schulungsangeboten. Auch hier ist es also Kommunikation, die das Feld für neue Geschäftsmodelle ebnen soll. Einen etwas anderen Weg geht Eset. Der slowakische Hersteller wird das klassische Produktportfolio weiter anbieten, schnürt aber darüber hinaus Pakete. Michael Schröder, Business Strategy Manager DACH bei Eset, erläutert: „Niemand sucht sich mehr aus einem Angebot von 35 Einzelprodukten das Passende aus, sondern Channel und Kunden wollen Durchgängigkeit und Einfachheit.“

Aufstehen, Krone richten

So wie die Hersteller in neue Märkte vorstoßen, gilt das auch für Systemhäuser und Dienstleister. Gefragt, wie er denn neue Themen angehe, antwortet der Save IT first Chef Becker: „Wenn sie vom Zehn-Meter-Turm springen wollen, dann können sie auch nicht langsam machen. Da muss man halt einmal runter.“ Es ist seine Variante des Mottos „Einfach mal machen.“ Aber dadurch erwirbt man sich ebenfalls Kompetenzen hinsichtlich Resilienz. Mit jedem Anlauf, jedem gelösten Problem, aber auch durch Lernen aus Fehlern und Aufstehen nach dem Fall wird diese Fähigkeit gefestigt. Der RSA-Chef hat am Ende seiner Keynote ebenfalls einen Vergleich parat. Die japanische Kunst Kintsugi „heilt“ kaputte Keramik, indem die einzelnen Bruchstücke mit goldenem Kitt wieder in die ursprüngliche Form zusammengefügt werden. „Aber Kintsugi macht noch mehr. Es restauriert nicht nur, es betont sogar noch die Risse.“

(ID:47419724)