IT-Sicherheit in Produktion und Technik
12.09.17 - 13.09.17
In Berlin

Be CIO: IT Management im digitalen Wandel
13.09.17 - 13.09.17
In Köln

IBC 2017
14.09.17 - 18.09.17
In Amsterdam

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

PM Forum 2017
24.10.17 - 25.10.17
In Nürnberg

Matt DeanEin Plädoyer für eine intelligente richtliniengesteuerte Automatisierung von Matt Dean (Foto), VP Product Management, FireMon.

Es ist kein großes Geheimnis, IT-Abteilungen sind chronisch unterbesetzt, ungeachtet der stetig steigenden Anforderungen. Umso mehr gilt das für diejenigen, die für das Firewall-Management zuständig ist. Sie sind es, die in aller Regel Zugriffsanfragen bearbeiten und eben auch ablehnen. Sollte das in einem konkreten Fall dazu führen, dass Geschäftsprozesse (potenziell negativ) beeinflusst werden, stehen die Verantwortlichen schnell am Pranger. Im umgekehrten Fall werden allerdings nicht selten Zugriffsanfragen genehmigt, die der IT-Sicherheit nicht unbedingt förderlich sind. Denn in sehr, sehr vielen Fällen geht Produktivität immer noch vor Sicherheit. 

Das bleibt nicht folgenlos. Unter dem ständigen Druck Service Level Agreements (SLAs) zu erfüllen werden Zugriffsrechte nicht selten all zu großzügig vergeben. Für eine umfassende Sicherheitsanalyse fehlen die Ressourcen, was dazu führt, dass fehlerhafte Änderungen implementiert werden. Die wiederum wirken sich negativ aus und bringen unnötige Sicherheitsrisiken mit sich. Automatisierung sieht hier vielen nach dem Stein der Weisen aus.

Automatisierungs-Puzzle

Natürlich macht Automatisierung Sinn, wenn sich firmeninterne Workflows beschleunigen lassen und mehr Zeit bleibt die Bedingungen geplanter Veränderungen gründlicher zu analysieren. Allerdings ist Automatisierung kein Schalter, den man einfach nur umlegen muss, und alles wird besser. Jedes Unternehmen, ja vielleicht sogar jede einzelne Anfrage hat ihre eigenen Workflows, Befürworter und Herausforderungen. Automatisierung trägt auf der einen Seite dazu bei Zeit zu sparen und die Produktivität anzukurbeln. Nur sollte man sicherstellen, nicht gleichzeitig das Netzwerk löchrig wie einen Schweizer Käse zu machen. Sicherheitsschwachstellen sind eine Einladung an Hacker und ein Türöffner mit dem Angreifer quasi ein Bein im Unternehmen haben.

Schlüsselfertige Lösungen übersehen ein wichtiges Teil im Automatisierungs-Puzzle – der Kontext der Umgebung wird nicht mit automatisiert. Alles in allem sollte sich die Automatisierungslösung den unternehmerischen Prozessen anpassen und nicht umgekehrt. Dann nämlich besteht die Gefahr, dass der gesamte Prozess stockt und die Lösung nicht angenommen wird. Unter Umständen steht man dann wieder vor denselben Problemen, die man mithilfe der Automatisierung eigentlich lösen wollte.

Automatisierung den unternehmerischen Prozessen anpassen

Deshalb sollte jeder noch so winzige Schritt innerhalb des Automatisierungsprozesses den Kontext berücksichtigen in dem er steht und die praktischen Konsequenzen mit in Betracht ziehen. Es geht nicht nur darum, dass Änderungen möglichst schnell passieren. Auch wenn das eines der Hauptverkaufsargumente für Automatisierungslösungen ist. Es geht darum, dass diese Änderungen korrekt implementiert werden.

Der Markt für Policy-Automatisierung steckt noch in den Kinderschuhen. Aber er wächst sozusagen mit seinen Herausforderungen. Kunden verlangen bessere Kontrollen und gleichzeitig Lösungen, die individuell auf unterschiedliche Bedarfe hin ausgerichtet sind. Nur so lässt sich in der Praxis ein sicheres und effizientes Change Management umsetzen, das hilft Risikopotenziale zu senken.

Empfehlungen

Für die Übergangszeit haben wir einige Empfehlungen zusammengestellt wie Unternehmen sicherstellen, dass innerhalb eines Change Management-Prozesses und in allen Stadien der Implementierung die jeweiligen praktischen Bedürfnisse tatsächlich abgebildet werden:

  • Set Up – Vollständig flexible Workflows sorgen dafür, dass unterschiedliche Anforderungsprofile und Prozesse während der Automatisierung jederzeit berücksichtigt werden. Out-of-the-box-Funktionalitäten versagen an Stellen, wo es vielleicht besser ist, manuelle Prozesse beizubehalten. Das gilt beispielsweise für hoch komplexe oder riskante Änderungen.
  • Anfragen – Integrieren Sie den Automatisierungsprozess in die bestehenden Ticket-Systeme. Damit stellen Sie sicher, dass neu eingehende Anfragen direkt in die Change-Automation-Plattform einfließen. Sammeln Sie bereits vorab alle für den Automatisierungsprozess notwendigen Informationen um die spätere Verwaltung zu erleichtern. Und behalten Sie dieses Vorgehen im präferierten System während des gesamten Lebenszyklus eines Tickets bei.
  • Design – Stehen neue Änderungen an, sollte der Prozess sich am Kontext der bereits existierenden Richtlinienbasis orientieren. Wenn diese Änderung bereits existiert oder eine bestehende Regel modifiziert werden kann, ist es nicht notwendig eine komplett neue Regel zu erstellen und umzusetzen. Weniger überflüssige Regeln verlängern die Lebensdauer eines Gerätes und reduzieren das Risiko.
  • Analysieren – Gilt es als erwiesen, dass eine Regel nötig ist, analysieren Sie die potenziellen Auswirkungen auf die Sicherheit und Compliance bevor Sie die Regeln endgültig implementieren. Anpassbare Kontrollen sorgen dafür, dass die in einem Unternehmen bewährten Praktiken bei jeder neuen Anfrage berücksichtigt und gestärkt werden.
  • Überprüfen – Hat die Regel den Design- und Analyseprozess durchlaufen, kann man sich anschließend entscheiden, ob man den übrigen Prozess ebenfalls automatisieren will oder nicht. Grundsätzlich ist es empfehlenswert nur risikoarme Prozesse zu automatisieren. Definieren Sie während der Analysephase Kriterien, die automatisierte Überprüfungen, Implementierung und Verifizierung auslösen. Oder auch einen Mix aus allen dreien.
  • Implementierung – Es passiert häufiger, dass Regeln, die nicht im Einklang mit den geltenden Richtlinien oder Kriterien stehen, den Automatisierungsprozess dennoch unbehelligt durchlaufen. Solange bis sie kompromittiert werden. Hierin liegt das Dilemma begründet, ob man wirklich sämtliche Stadien des Change Management Prozesses automatisieren will. Wenn man sich nicht schon im Vorfeld ausreichend viele Gedanken über die möglichen Folgen der Automatisierung macht hat man Ende mehr Schwierigkeiten als einem lieb ist.
  • Verifizieren – Auch dieser Teil des Prozesses lässt sich automatisieren. Der Zuständige entscheidet vorab, welche Änderungen manuell und welche automatisiert verifiziert werden sollen. Auf Änderungen die außerhalb der bestehenden Regeln gemacht wurden sollte man sein besonderes Augenmerk richten.
  • Monitoring/Überprüfen – Bestehende Richtlinien sollten Sie stetig überprüfen, verbessern oder stilllegen und an geschäftliche Anforderungen und potenzielle Bedrohungen anpassen. Ist die Change Automation-Plattform mit rezertifizierten Workflows integriert, vereinfacht das den Stilllegungsprozess. Wenn nun eine solche individualisierte Regel (nach Datum, Event, aufgetretener Bedrohung und so weiter) zur Überprüfung angetriggert wird lassen sich innerhalb des Change Management Workflows Tickets erstellen und der Zugriff entsprechend anpassen.

Sachkundige Mitarbeiter für die Change-Automation-Lösung  

Der Mensch hinter der Sicherheitstechnologie wird dadurch nicht überflüssig werden. Zu guter Letzt kennt ja niemand dieses Geschäft besser als der Administrator, der das dahinter liegende Netzwerk verwaltet. Wenn man aber auf jegliche Automatisierung verzichtet, stauen sich die Änderungsanfragen nur auf. Mit diesem Gedanken im Kopf und wenn Automatisierung ganze Industriezweige wirklich revolutionieren soll muss das auf eine bestimmte Art und Weise passieren. Automatisierung ist nur dann sinnvoll, wenn alle Feinheiten und Abhängigkeiten innerhalb einer Organisationsstruktur berücksichtigt und in einen Kontext gesetzt worden sind. Ja, Administratoren können Richtlinienänderungen sehr viel schneller umsetzen, wenn sie sich dabei auf automatisierte Prozesse stützen. Ganz entscheidend sind aber die übrigen Prozesse. Das, was unmittelbar vor und unmittelbar nach einer Änderung passiert, entscheidet darüber, ob eine Änderung tatsächlich in jeder Hinsicht korrekt umgesetzt worden ist.

Wenn so viel auf dem Spiel steht wie in der Cybersecurity, dann sollten Unternehmen sich nicht mit einer One-size-fits-all-Lösung zufriedengeben. In der Praxis sind sie gehalten eine passende Change-Automation-Lösung zu implementieren und sachkundige Mitarbeiter an dieser Schnittstelle einzusetzen. Das stellt sicher, dass die unternehmerischen Anforderungen berücksichtigt werden, ohne bei der Informationssicherheit Kompromisse einzugehen.

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet