Channel Fokus: Netzwerk & Infrastruktur Netzwerksicherheit: ein Fulltime-Job

Von Melanie Staudacher

Vom lokalen Rechenzentrum zur Multicloud und vom Homeoffice in die Produktionshalle: Das Netzwerk ist die grundlegende Struktur, die alle Systeme miteinander verbindet. Dementsprechend wichtig, aber auch aufwendig ist die Absicherung der Infrastruktur.

Anbieter zum Thema

Die Absicherung des Unternehmensnetzwerks kann schnell zur Mammutaufgabe werden.
Die Absicherung des Unternehmensnetzwerks kann schnell zur Mammutaufgabe werden.
(Bild: Krakenimages.com – stock.adobe.com)

Keinen Urlaub, keine Feiertage und keine Pausen gibt es für die IT-Sicherheit. Denn Unternehmen sorgen sich heute berechtigterweise mehr denn je um die Sicherheit ihrer Daten. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI), wurden im vergangenen Jahr pro Tag 322.000 neue Varianten von Schadprogrammen bekannt, was einem Zuwachs von 22 Prozent entspricht. Mittlerweile vergehen laut BSI von der Entdeckung einer Infektion bis zur Bereinigung der Systeme und vollständigen Wiederherstellung der Arbeitsfähigkeit durchschnittlich 23 Tage.

Steffen Brieger, Director Vendor Management bei Nuvias
Steffen Brieger, Director Vendor Management bei Nuvias
(Bild: Nuvias)

Begleitet werden diese überwältigenden Zahlen von Software-Schwachstellen, die 2021 zum Beispiel Nutzer von Microsoft Exchange in Atem hielten, DDoS-Attacken und Supply-Chain-Angriffen. Die größte Angriffsfläche für Hacker sind allerdings Netzwerke und Infrastrukturen. Deshalb sind Unternehmen gut darin beraten, die eigene IT-Landschaft rund um die Uhr zu überwachen oder überwachen zu lassen. „Vor zehn Jahren war die Frage noch, ob man angegriffen wird, vor vier Jahren fragte man sich noch, wann man angegriffen wird, und heute geht es darum, welche Angriffe laufen gerade, welche Malware ist im Netz und welcher Schaden ist bereits entstanden“, sagt Steffen Brieger, Director Vendor Management beim Distributor Nuvias.

Network und Security gehören zusammen

Jörn Kraus, Manager PreSales bei Westcon
Jörn Kraus, Manager PreSales bei Westcon
(Bild: Westcon)

Vor allem für Service Provider ist hier ein rentables Geschäftsfeld entstanden. Denn selten können Unternehmen genügend eigene Ressourcen aufbringen, um ein 24/7-Monitoring zu gewährleisten. „Security spielt im Netzwerk eine immense Rolle und ist fast Teil jeden Projektes“, bestätigt Alexander Ernst, Director Network & Communication bei Cancom. Naheliegend ist es deshalb, beides enger miteinander zu verweben. Doch „Sicherheitslösungen werden leider immer noch oft getrennt vom Netzwerkaufbau gesehen“, sagt Jörn Kraus, Manager PreSales beim Distributor Westcon Deutschland. Eine Integration kann schnell zur Mammutaufgaben werden. Denn jede Komponente, die im Netzwerk enthalten ist, und jedes Gerät, das angebunden wird, muss geschützt werden: Daten, mobile Endgeräte, Server und Applikationen, Zweigstellen und Homeoffices, aber auch hybride, private, öffentliche Infrastrukturen sowie solche am Netzwerkrand.

Rolf Bachmann, Senior Business Development Manager
Rolf Bachmann, Senior Business Development Manager
(Bild: Controlware)

Mit einem entsprechenden Zoo an Sicherheitslösungen für das Netzwerk kommen Neukunden zu Controlware, sagt Rolf Bachmann, Senior Business Development Manager bei dem IT-Dienstleister. „Jeder unserer Kunden hat schon vor der Zusammenarbeit mit uns etwas für seine Netzwerksicherheit getan. Die Herausforderung besteht darin, das ideale Sicherheitskonzept für jedes Unternehmen zu finden. Denn es gibt nicht die eine richtige Lösung, die für alle passt.“ Wer allerdings keinen Kompromiss zwischen Netzwerkleistung und Sicherheit machen will und es möglichst kosten- und ressourcengünstig braucht, kann über SASE nachdenken: Secure Access Service Edge beschreibt keine konkrete Lösung, sondern ein Architekturmodell, bei dem Netzwerkfunktionen und Sicherheitsservices eben nicht mehr getrennt eingesetzt werden, sondern integriert sind.

SASE entwickeln und implementieren

Das Marktforschungsunternehmen Gartner hat den Begriff erstmals 2019 definiert und empfiehlt, die Sicherheitsleistungen als Software as a Service aus der Cloud zu beziehen, was günstiger ist als Hardware anzuschaffen. Setzt man dann noch auf Managed Services, spart man auch an eigenem Personal. Auf der Netzwerkseite gehören zu dem Gartner-Konzept SD-WAN, WAN Optimization, QoS, Routing, SaaS Acceleration und Content Delivery/Caching. „Diese Möglichkeiten, ein Netzwerk zu designen, sind erst mal nicht neu“, erklärt Bachmann. Auch die Security Services, mit denen Unternehmen das Netzwerk aufrüsten sollten, um eine SASE-Architektur zu erstellen, sind größtenteils nicht neu. Dazu gehören Secure Web Gateway, CASB, ZTNA/VPN, FWaaS, Remote Browser Isolation sowie Ver- und Entschlüsselung. Neu ist Bachmann zufolge, dass diese Services für ein SASE-Modell aus der Cloud bezogen werden.

Zero Trust: Zur Sicherheitskontrolle, bitte!

Martin Weiß, Senior Sales Engineer bei Sophos
(Bildquelle: Sophos)
Was haben ein Flughafen und das Sicherheitskonzept Zero Trust gemeinsam? Bei beiden sind Sicherheitskontrollen zentral, um Unberechtigten den Zutritt zu verweigern. Diesen Vergleich nutzt Martin Weiß, Senior Sales Engineer bei Sophos, in seinem Vortrag bei der ISX IT-Security Conference der Vogel IT-Akademie.
„Angenommen, Sie wollen in den Urlaub fliegen, dann kaufen Sie online oder im Reisebüro das Flugticket und kündigen sich dadurch dem Flugunternehmen an. Am Abreisetag am Check-In-Schalter überprüft jemand, ob Sie auch wirklich die Person sind, deren Name auf dem Ticket steht. Danach gehen Sie zur Sicherheitskontrolle. Das Personal durchleuchtet, ob an Ihnen oder in Ihrem Gepäck gefährliche Gegenstände zu finden sind. Als letzte Kontrolle gehen Sie zum Boarding, kurz vor dem Abflug. Dort wird verifiziert, dass Ihre Boarding-Karte Ihnen die Berechtigung gibt, in genau das Flugzeug zu steigen, welches Sie zu Ihrem Ziel bringt. Zu anderen Flugzeugen erhalten Sie keinen Zutritt, da Sie dafür keine Berechtigung haben.“
Ähnlich funktioniert Zero Trust Network Access (ZTNA): Dabei wird das Netzwerk in Segmente unterteilt, und an jeder Schnittstelle wird ein Zero Trust Gateway platziert. Meldet ein Anwender sich bei einer Applikation an, überprüft eine Zwei-Faktor-Authentifizierung seine Identität. Außerdem überprüft eine Network-Detection-and-Response-Lösung, ob der Rechner kompromittiert ist. Erst, wenn der User authentifiziert und als sicher eingestuft worden ist, erhält er Zugriff auf die Applikation, die für ihn notwendig ist und zwar nur so lange, wie er die Applikation braucht. „Die Zero-Trust-Architektur ist wie ein Sicherheitsnetz für den Fall, dass eine Sicherheitslösung versagt hat“, fasst Weiß zusammen.

Für die Dienstleister,die mit dem Kunden die Architektur entwickeln, geht es nun darum, den „Zoo an Sicherheitslösungen“ und die Netzwerkfunktionen unter einen Hut zu bekommen und beides auf einer zentralen Plattform verwaltbar zu machen. In diesem Prozess kann es vorkommen, dass ein Hersteller ausgetauscht wird und eine neue Sicherheitslösung, die besser in das SASE-Konzept passt, muss an die Plattform angebunden werden. Dafür gibt es mehrere Möglichkeiten. Im Idealfall sollte ein Service Provider die Ökosysteme der marktführenden Hersteller kennen und wissen, welche Lösungen miteinander gut harmonieren und leicht mit APIs zu integrieren sind. Andere Anbieter entwickeln eigene Konnektoren, um die Integration neuer Lösungen zu ermöglichen.

Wissen, was läuft

Täglich die wichtigsten Infos aus dem ITK-Markt

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Controlware arbeitet für die eigenen WAN-Infrastruktur-Angebote mit dem Netzwerkausstatter Aryaka zusammen. Auf dessen Appliances kann Controlware virtuelle Maschinen platzieren. Dadurch kann eine Cloud-Instanz, beispielsweise eine Firewall, in das bestehende Konstrukt beim Kunden eingebunden werden und ist gleichzeitig in die Management-Oberfläche, das Überwachungstool und das Reporting integriert.

Vorteile von DevSecOps

So ausgefeilt diese Optionen auch sein mögen, haben sie immer noch den einen gemeinsamen Nachteil: Die Security-Leistungen werden im Nachgang implementiert. Dadurch können an den Schnittstellen Sicherheitslücken entstehen. Besser ist es für Unternehmen – unabhängig vom Netzwerkmodell –, ein Konzept zu wählen, bei dem die Sicherheit nativ in die Netzwerklösungen eingebunden ist. Hierbei hat sich in Unternehmen die Entwicklungsmethode „DevSecOps“ etabliert.

Diese agile Arbeitsweise soll die Zusammenarbeit zwischen Entwicklern, dem operationalen IT-Team und dem Sicherheitsteam eines Unternehmens und somit die Lösung selbst verbessern. In der Praxis bedeutet das, dass sowohl die Betriebsabteilung wie auch die Security-Experten am Entwicklungsprozess einer Applikation beteiligt sind.

Die Idee entstand vor allem durch die mit der DSGVO im Mai 2018 einhergegangenen schärferen Datenschutzgesetze, bringt aber noch weitere Vorteile als „nur“ die Sicherheit. Dynamische Entwicklungsansätze und eine DevOps-Kultur gehören heute zu den wesentlichen Faktoren für den Geschäftserfolg. Denn durch die Zusammenarbeit der Experten aus bisher separaten Abteilungen, können sie die Markteinführungszeit neuer Software verkürzen und so auf Veränderungen schneller reagieren.

Nimmt man nun die IT-Sicherheit als grundlegenden Bestandteil mit in die Softwareentwicklung auf, sparen sich die Teams die rückwirkende Beseitigung von Schwachstellen und spätere Änderungsschleifen, da sie Sicherheitsscans nicht mehr nur punktuell, sondern zu verschiedenen Zeiten der Entwicklungsphase durchführen können.

Eine Methode, die der Sicherheit guttut, jedoch die Nachfrage nach Fachkräften und die Anforderungen an diese weiter in die Höhe treibt. Denn die Agilität soll die Effizienz erhöhen, was allerdings die Entwickler unter extremen Zeitdruck setzt. Trotzdem werden Sicherheits- und Netzwerkteams künftig enger zusammenarbeiten müssen, um Netzwerke und Infrastrukturen noch besser abzusichern.

Vielleicht lesen wir bald von „DevNetSecOps“ als nächstem Entwicklungsschritt, bei dem dem DevSecOps-Team noch die Netzwerkexperten beitreten. Als notwendigster nächster Schritt steht jedoch die Automatisierung von Betriebsabläufen der Netzwerksicherheit an, um die Mitarbeiter zu entlasten. „Durch eine Kombination aus fortschrittlichen Technologien, mehr Rechenleistung, Künstlicher Intelligenz, Maschinellem Lernen und Prozess Automation entstehen ganz neue Potenziale, um Sicherheitsrisiken zu minimieren“, ist sich Brieger sicher.

(ID:48079803)