Rethink! IT Security D/A/CH
25.04.18 - 27.04.18
In Hotel Atlantic Kempinski Hamburg

CEBIT 2018
11.06.18 - 15.06.18
In Hannover

ERP Tage Aachen
19.06.18 - 21.06.18
In Aachen

next IT Con
25.06.18 - 25.06.18
In Nürnberg

XaaS Evolution 2018
01.07.18 - 03.07.18
In H4 Hotel Berlin Alexanderplatz

BudgetDie Technologien und Angriffsmethoden verändern sich ständig, doch viele Unternehmen priorisieren ihre IT-Sicherheitsbudgets nach alten Mustern. Vier Schritte sind notwendig, um die Investitionen richtig festzulegen. 

Viele Unternehmen geben den größten Teil ihres Budgets für IT-Sicherheit nach wie vor zum Schutz des Netzwerkperimeters aus. Doch in Studien nennt inzwischen fast jeder vierte Verantwortliche die Anwendungen als Hauptquelle für Sicherheitsvorfälle. Mehr als die Hälfte der Firmen investieren aber nur ein Prozent des IT-Budgets oder noch weniger in die Anwendungssicherheit. Viele wissen nicht einmal, wie viel Geld sie dafür ausgeben. Fast drei Viertel geben zu, dass ihre Maßnahmen für die Application Security nicht ausgereift sind, obwohl kompromittierte Identitäten als eine der häufigsten Ursachen für Vorfälle gelten. Dabei sollten Unternehmen insbesondere folgende vier Punkte berücksichtigen:

  1. Die Anwendungsebene ist heute das Zugangstor für Cyberkriminelle auf sensible Daten
    Während früher der Netzwerkperimeter eine Barriere zur Abschottung der Unternehmens-Infrastrukturen nach außen ermöglichte, funktioniert dies in der heutigen Welt nicht mehr. Cloud-Nutzung und mobile Geräte führen zur zunehmenden Auflösung dieser Grenze. Zudem konzentrieren sich Cyberkriminelle auf Anwendungen, weil diese traditionell schlechter abgesichert und dadurch einfacher angreifbar sind. Das Netzwerk muss zwar weiterhin geschützt werden, doch die Budgets sollten primär dorthin fließen, wo sie die größte Wirkung erzielen, etwa in die Anwendungssicherheit.
     
  2. Die Prüfung der Nutzer-Identität und der Schutz der Anwendung müssen ortsunabhängig erfolgen
    Durch die Auflösung des Perimeters müssen Unternehmen die Identität des Nutzers unabhängig vom Aufenthaltsort prüfen sowie den Schutz der Anwendung unabhängig vom Speicherort gewährleisten. Das bedeutet, sowohl der Zugang zur Anwendung als auch die Anwendung selbst sind ortsunabhängig zu schützen.
     
  3. Transparenz und Kontextverständnis sind für die Erkennung von Anomalien wichtig
    Unternehmen müssen auch wissen, wie der Normalzustand der Systeme ist und ob sich ihre Anwendungen erwartungsgemäß verhalten. Schließlich ist anormales Verhalten oft das erste Anzeichen eines Sicherheitsvorfalls. Dazu sind alle Funktionen und Subfunktionen für jedes Protokoll zu kontrollieren - für HTTP, SSL und DNS. Dies erfordert die Entschlüsselung des gesamten Traffics, um auch Einblick in verschlüsselte Daten zu gewinnen. Ohne Transparenz und ohne Verständnis des Kontexts ist keine zuverlässige Sicherheitsprüfung möglich.
     
  4. Der Bedarf nach Fachleuten ist höher als das Angebot
    Unternehmen benötigen immer bessere Anwendungen mit mehr Funktionen. In den Bereichen Entwicklung und Sicherheit sind erfahrene Fachkräfte jedoch Mangelware. Wenn dann unerfahrene Entwickler unter hohen Zeitdruck gesetzt werden, ist die Wahrscheinlichkeit für Fehler und Schwachstellen hoch. Daher setzen Firmen zunehmend auf Dienstleister sowie auf weitgehend automatisierte Tools.

So sind die Investitionen richtig angelegt

Um diese Herausforderungen zu lösen, sind folgende konkrete Schritte nötig:

Schritt 1: Priorisieren, was schützenswert ist
Anwendungen, die von der IT-Abteilung implementiert wurden, sind relativ leicht zu überprüfen. Doch Cloud-Anwendungen oder gar Schatten-IT werden häufig übersehen. Diese sollten ermittelt und deren Risiko bewertet werden. Dazu ist eine Befragung der einzelnen Geschäftseinheiten sowie das Prüfen der Protokolle der Webfilter-Software und der mit Cloud-Anbietern geschlossenen Verträge nötig. Anschließend sind sämtliche Anwendungen zu analysieren und die am stärksten verwundbaren zuerst abzusichern.

Schritt 2. Prüfen, ob Budget den Bedrohungen angemessen ist
Unternehmen sollten regelmäßig analysieren, wofür sie ihr IT-Sicherheitsbudget ausgeben. Wer sich auf den Perimeter konzentriert, aber viele Cloud-Lösungen und mobile Anwendungen nutzt, ist möglicherweise auf dem falschen Weg. Wer sich nur mit Compliance beschäftigt, übersieht häufig kritische Schwachstellen in Applikationen oder Wildwuchs der Nutzeridentitäten. Daher sollte eine umfassende Risikoanalyse durchgeführt und mit dem Budgetplan abgeglichen werden.

Schritt 3. Die richtigen Investitionen festlegen
Die Ergebnisse sind der Geschäftsleitung und dem Vorstand mitzuteilen. Dabei sollten insbesondere die Lücken zwischen Ausgaben und besonders schützenswerten Bereichen diskutiert werden. Präzise Empfehlungen, eine Kosten-Nutzen-Analyse geeigneter Investitionen sowie unabhängige Bewertungen von externen Beratern können bei der Entscheidungsfindung für das passende Budget helfen. Wichtige Bereiche sind hier Identitäts- und Zugangsmanagement, Anwendungssicherheit und moderne Firewalls.

Schritt 4. Kontrollen einführen und Hilfe sichern
Nach der Einführung entsprechender Maßnahmen müssen Unternehmen prüfen und dokumentieren, ob die erwünschten Effekte eintreten. Die Ergebnisse sind regelmäßig dem Vorstand und der Geschäftsleitung zu berichten. Da es jedoch keine hundertprozentige Sicherheit gibt, sollten sich Unternehmen die Unterstützung einer spezialisierten Firma sichern, die im Notfall einspringt und den Schaden eindämmt.

Fazit

Unternehmen können niemals alle Schwachstellen beheben und sämtliche Sicherheitsgefahren abwehren. Einerseits entstehen ständig neue Bedrohungen, andererseits sind die Kosten manchmal höher als das Risiko. Die Unternehmensleitung trägt zwar letztlich die Verantwortung für alle Entscheidungen. Doch mit einer angemessenen Priorisierung des IT-Budgets anhand der tatsächlichen aktuellen Gefahrenlage sowie dem Support durch externe Experten sollten die größten Risiken weitgehend reduziert sein.

Ralf SydekumRalf Sydekum, Technical Manager DACH, F5 Networks 

 

 
GRID LIST
Tb W190 H80 Crop Int 7b240a672f346adba7106f43f59804b0

Thycotic veröffentlicht kostenloses Least Privilege Discovery Tool

Thycotic, ein Anbieter von Privileged Account Management-Lösungen, hat mit Least…
Risiko Businessman

Das Sicherheitsrisiko von Vorständen ermitteln

NTT Security (Germany) erweitert seine umfangreiche Angebotsreihe um den „Management…
Tb W190 H80 Crop Int D1a9e4fb59f56aef82a0754bb96c5f75

Malwarebytes mit neuer Endpoint Protection and Response-Lösung

Malwarebytes gibt die Veröffentlichung der Malwarebytes Endpoint Protection and…
Policy

EuroCloud: Durchsuchung wichtiges Element der IT-Security-Policy

Wenn Staatsanwalt, Polizei, Steuer- oder Zollfahndung zwecks Durchsuchung vor der Tür…
Jochen Koehler

IT-Sicherheit: Resignation ist unangebracht

Je besser ein Hausbesitzer Fenster und Türen absichert, desto ruhiger kann er schlafen.…
Tb W190 H80 Crop Int 2a9bb0e951b163b628cae908b73607c3

Integrierte Sicherheit ohne Kompromisse

profine ist einer der weltweiten Hersteller von Kunststoffprofilen für Fenster und…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security