Komplexität und IT-Sicherheit IT-Trends aus dem Blickwinkel der Sicherheit

Von Sascha Giese

Anbieter zum Thema

Der SolarWinds IT Trends Report 2022 hat uns gezeigt, dass die Komplexität die größte Herausforderung in der IT insgesamt ist. Sie ist so groß, dass wir sie sogar als echtes Problem und nicht nur als Herausforderung bezeichnen könnten.

Der Mangel an Transparenz ist der kleinste gemeinsame Nenner zwischen IT-Security und "normaler" IT.
Der Mangel an Transparenz ist der kleinste gemeinsame Nenner zwischen IT-Security und "normaler" IT.
(Bild: Gorodenkoff - stock.adobe.com)

Die meisten Antworten zu den größten Herausforderungen im SolarWinds IT Trends Report 2022 deuten auf die Implementierung neuer Tools und Technologien hin, wenn man nach den Gründen sucht. Danach folgt das Eingeständnis, dass die Fähigkeiten der Mitarbeiter veraltet sind und nicht mehr mit den neuen Technologien übereinstimmen.

Aber was bedeutet das für die IT-Sicherheit?

Der Mangel an Transparenz ist der kleinste gemeinsame Nenner zwischen IT-Sec und "normaler" IT. Wenn Sie ein technisches Problem nicht frühzeitig erkennen können, wird es sich auf die Benutzererfahrung auswirken und Konsequenzen nach sich ziehen. Wenn Sie ein Risiko nicht frühzeitig erkennen können, wird es ausgenutzt, was ebenfalls Konsequenzen hat.

Und in der Tat geht eine zunehmende Komplexität häufig mit einer eingeschränkten Sichtbarkeit Hand in Hand. Wenn das Unternehmen aus Wettbewerbsgründen den Einsatz neuer Technologien erfordert und die Mitarbeiter nicht über genügend Fachwissen verfügen, sind Probleme aller Art vorprogrammiert. Was die Sicherheit betrifft, weiß man vielleicht nicht, wie man die Konnektivität zwischen neuer Technologie und alten Geräten/Infrastrukturen sichern kann. Man weiß vielleicht nicht, wie sich bestimmte Elemente in der eigenen Umgebung sichern lassen. Und man weiß nicht, wie man die Dinge auf dem neuesten Stand hält.

Ein weiterer möglicher Fallstrick bei neuen Technologien ist, dass der Anbieter selbst sich noch in einem Lernprozess befindet und es überall Zero-Days gibt, weil die Technologie noch nicht ausreichend getestet wurde. Das ist die unglückliche Realität. Manchmal kann es noch schlimmer sein: Vielleicht ist ein einzelner Anbieter für eine neue Lösung oder einen neuen Technologie-Trend verantwortlich; ein Vorreiter in Richtung „Einhorn“. Dieser hat vielleicht noch nicht das Kapital, um seine Umgebung zu sichern oder die Sicherheit in den Entwurfsprozess einzubeziehen. Oft ist es nur ein nachträglicher Gedanke, was früher oder später Probleme entstehen lässt.

In einer perfekten Welt räumt das Unternehmen einen großzügigen Zeitrahmen ein, um eine neue Lösung oder Technologie zu bewerten und zu testen, bevor sie in der Produktion eingesetzt wird, und um eine Risikominderung von Anfang an zu ermöglichen.

In der realen Welt gibt es Druck

Bei der Planung einer neuen Einrichtung gibt es ein Gesamtbudget für die Anschaffung, die Erprobung, die Bereitstellung und, falls vorhersehbar, für die Betriebskosten. Leider überschreiten viele Projekte ihr geplantes Budget. Dieses Problem ist nicht nur in der IT-Branche anzutreffen, man denke nur an den Flughafen in Berlin. Aber bleiben wir bei der IT-Sicherheit.

Das Bestreben, einen bestimmten Zeit- oder Budgetrahmen für ein Projekt einzuhalten, erfordert oft Kompromisse bei der Sicherheit. Manchmal würden ein paar zusätzliche Tage für einen gründlicheren Test ausreichen, aber je nach Projektgröße ist der zusätzliche Zeitbedarf sehr unterschiedlich.

Unser Bericht zeigt, dass vor allem kleine Unternehmen mit diesem Problem zu kämpfen haben. Diese können sich nicht das Fachwissen leisten, um neue Technologien korrekt und sicher zu implementieren, was zu Versäumnissen führt. Sind wir ehrlich: Niemand will einen weiteren S3-Bucket-Albtraum.

Aber um die Bedürfnisse des Unternehmens zu befriedigen, werden die Dinge trotzdem implementiert, und die IT-Profis entwickeln eine Mentalität des "Ich bin froh, dass es irgendwie funktioniert. Um die Sicherheit kümmere ich mich noch". Das ist das berüchtigte Rezept für ein Desaster und der Hauptgrund, der von den befragten IT-Profis genannt wird: Zeitknappheit.

Legen Sie den Finger dahin, wo es weh tut

Neben dem Zeitmangel zeigt der IT-Trends-Bericht auch, dass der Mangel an Fachwissen Probleme verursacht. Es gibt eine einfache Möglichkeit, dieses Problem zu beheben: Schulungen. Es liegt auf der Hand, dass das Sicherheitsteam, oder in kleineren Umgebungen der Sicherheitsfachmann, eine andere Schulung benötigt als das operative Team.

Im Sicherheitsbereich müssen wir genau wissen, welche Funktionen ein Tool aufruft, welche Integrationen von Drittanbietern eingebettet sind und wie es mit der bestehenden Umgebung interagiert.

Die Art und Weise, wie wir mittlerweile Anwendungen bereitstellen und ausführen - dezentralisiert, nicht mehr im Drei-Schichten-Modell - macht die Sache noch komplexer. Es ist nahezu unmöglich, alle Variablen in einem solchen Konstrukt zu bewerten, und es wird schnell unübersichtlich.

Ein weiterer Punkt, den wir in dem Bericht festgestellt haben, ist die siloartige Organisation der meisten IT-Abteilungen. Natürlich braucht man Experten auf ihrem Gebiet, denn man kann nicht erwarten, dass ein Einzelner alle Themen in der Tiefe kennt. Aber die Teamarbeit innerhalb der gesamten IT-Abteilung lässt noch viel Raum für Verbesserungen, und das ist bei der Cybersicherheit noch wichtiger. Es sollte die Aufgabe eines jeden sein, in seiner täglichen Routine an Sicherheitsbelange zu denken, was Netzwerktechniker, Cloud-Architekten und Application-Owner einschließt. Sogar die Endnutzer.

Wissen, was läuft

Täglich die wichtigsten Infos aus dem ITK-Markt

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Jeder ist Teil des erweiterten Sicherheitsteams

Die IT-Abteilung muss verstehen, dass der Sicherheitsprofi im selben Boot sitzt. Die Zusammenarbeit trägt dazu bei, die Komplexität zu verringern, was neben anderen Vorteilen automatisch die Sicherheitsrisiken senkt. Die Kommunikation ist von entscheidender Bedeutung, selbst in den ersten Tagen der Einführung der neuen Technologie.

Ein interessanter Nebeneffekt ist, dass alle Teams einige ihrer Werkzeuge gemeinsam nutzen können, um die Gesamteffizienz zu steigern. Ein modernes Observability-System ermöglicht es dem Sicherheitsteam, den Datenfluss und die Interaktion zwischen Systemen und Anwendungen zu verstehen. Das ist ein enormer Vorteil, da solche Informationen z.B. in einem SIEM nicht verfügbar sind, und dadurch die Transparenz erhöhen und das Rätselraten minimieren.

Sichtbarkeit ist in Zeiten zunehmender Komplexität von entscheidender Bedeutung. Unternehmensleiter müssen verstehen, dass die Sicherheit bei jedem neuen Projekt eine wichtige Rolle spielt, und die Fachexperten bereits in der Anfangsphase besser einbeziehen.

Wir dürfen nicht vergessen, dass jede neue Lösung, Technologie oder jeder neue Anbieter einen Risikofaktor darstellt und als solcher behandelt werden sollte.

Über den Autor: Sascha Giese ist Head Geek bei SolarWinds.

(ID:48547955)