Thought Leadership
Die Technologien und Angriffsmethoden verändern sich ständig, doch viele Unternehmen priorisieren ihre IT-Sicherheitsbudgets nach alten Mustern. Vier Schritte sind notwendig, um die Investitionen richtig festzulegen.
Viele Unternehmen geben den größten Teil ihres Budgets für IT-Sicherheit nach wie vor zum Schutz des Netzwerkperimeters aus. Doch in Studien nennt inzwischen fast jeder vierte Verantwortliche die Anwendungen als Hauptquelle für Sicherheitsvorfälle. Mehr als die Hälfte der Firmen investieren aber nur ein Prozent des IT-Budgets oder noch weniger in die Anwendungssicherheit. Viele wissen nicht einmal, wie viel Geld sie dafür ausgeben. Fast drei Viertel geben zu, dass ihre Maßnahmen für die Application Security nicht ausgereift sind, obwohl kompromittierte Identitäten als eine der häufigsten Ursachen für Vorfälle gelten. Dabei sollten Unternehmen insbesondere folgende vier Punkte berücksichtigen:
- Die Anwendungsebene ist heute das Zugangstor für Cyberkriminelle auf sensible Daten
Während früher der Netzwerkperimeter eine Barriere zur Abschottung der Unternehmens-Infrastrukturen nach außen ermöglichte, funktioniert dies in der heutigen Welt nicht mehr. Cloud-Nutzung und mobile Geräte führen zur zunehmenden Auflösung dieser Grenze. Zudem konzentrieren sich Cyberkriminelle auf Anwendungen, weil diese traditionell schlechter abgesichert und dadurch einfacher angreifbar sind. Das Netzwerk muss zwar weiterhin geschützt werden, doch die Budgets sollten primär dorthin fließen, wo sie die größte Wirkung erzielen, etwa in die Anwendungssicherheit.
- Die Prüfung der Nutzer-Identität und der Schutz der Anwendung müssen ortsunabhängig erfolgen
Durch die Auflösung des Perimeters müssen Unternehmen die Identität des Nutzers unabhängig vom Aufenthaltsort prüfen sowie den Schutz der Anwendung unabhängig vom Speicherort gewährleisten. Das bedeutet, sowohl der Zugang zur Anwendung als auch die Anwendung selbst sind ortsunabhängig zu schützen.
- Transparenz und Kontextverständnis sind für die Erkennung von Anomalien wichtig
Unternehmen müssen auch wissen, wie der Normalzustand der Systeme ist und ob sich ihre Anwendungen erwartungsgemäß verhalten. Schließlich ist anormales Verhalten oft das erste Anzeichen eines Sicherheitsvorfalls. Dazu sind alle Funktionen und Subfunktionen für jedes Protokoll zu kontrollieren – für HTTP, SSL und DNS. Dies erfordert die Entschlüsselung des gesamten Traffics, um auch Einblick in verschlüsselte Daten zu gewinnen. Ohne Transparenz und ohne Verständnis des Kontexts ist keine zuverlässige Sicherheitsprüfung möglich.
- Der Bedarf nach Fachleuten ist höher als das Angebot
Unternehmen benötigen immer bessere Anwendungen mit mehr Funktionen. In den Bereichen Entwicklung und Sicherheit sind erfahrene Fachkräfte jedoch Mangelware. Wenn dann unerfahrene Entwickler unter hohen Zeitdruck gesetzt werden, ist die Wahrscheinlichkeit für Fehler und Schwachstellen hoch. Daher setzen Firmen zunehmend auf Dienstleister sowie auf weitgehend automatisierte Tools.
So sind die Investitionen richtig angelegt
Um diese Herausforderungen zu lösen, sind folgende konkrete Schritte nötig:
Schritt 1: Priorisieren, was schützenswert ist
Anwendungen, die von der IT-Abteilung implementiert wurden, sind relativ leicht zu überprüfen. Doch Cloud-Anwendungen oder gar Schatten-IT werden häufig übersehen. Diese sollten ermittelt und deren Risiko bewertet werden. Dazu ist eine Befragung der einzelnen Geschäftseinheiten sowie das Prüfen der Protokolle der Webfilter-Software und der mit Cloud-Anbietern geschlossenen Verträge nötig. Anschließend sind sämtliche Anwendungen zu analysieren und die am stärksten verwundbaren zuerst abzusichern.
Schritt 2. Prüfen, ob Budget den Bedrohungen angemessen ist
Unternehmen sollten regelmäßig analysieren, wofür sie ihr IT-Sicherheitsbudget ausgeben. Wer sich auf den Perimeter konzentriert, aber viele Cloud-Lösungen und mobile Anwendungen nutzt, ist möglicherweise auf dem falschen Weg. Wer sich nur mit Compliance beschäftigt, übersieht häufig kritische Schwachstellen in Applikationen oder Wildwuchs der Nutzeridentitäten. Daher sollte eine umfassende Risikoanalyse durchgeführt und mit dem Budgetplan abgeglichen werden.
Schritt 3. Die richtigen Investitionen festlegen
Die Ergebnisse sind der Geschäftsleitung und dem Vorstand mitzuteilen. Dabei sollten insbesondere die Lücken zwischen Ausgaben und besonders schützenswerten Bereichen diskutiert werden. Präzise Empfehlungen, eine Kosten-Nutzen-Analyse geeigneter Investitionen sowie unabhängige Bewertungen von externen Beratern können bei der Entscheidungsfindung für das passende Budget helfen. Wichtige Bereiche sind hier Identitäts- und Zugangsmanagement, Anwendungssicherheit und moderne Firewalls.
Schritt 4. Kontrollen einführen und Hilfe sichern
Nach der Einführung entsprechender Maßnahmen müssen Unternehmen prüfen und dokumentieren, ob die erwünschten Effekte eintreten. Die Ergebnisse sind regelmäßig dem Vorstand und der Geschäftsleitung zu berichten. Da es jedoch keine hundertprozentige Sicherheit gibt, sollten sich Unternehmen die Unterstützung einer spezialisierten Firma sichern, die im Notfall einspringt und den Schaden eindämmt.
Fazit
Unternehmen können niemals alle Schwachstellen beheben und sämtliche Sicherheitsgefahren abwehren. Einerseits entstehen ständig neue Bedrohungen, andererseits sind die Kosten manchmal höher als das Risiko. Die Unternehmensleitung trägt zwar letztlich die Verantwortung für alle Entscheidungen. Doch mit einer angemessenen Priorisierung des IT-Budgets anhand der tatsächlichen aktuellen Gefahrenlage sowie dem Support durch externe Experten sollten die größten Risiken weitgehend reduziert sein.
Ralf Sydekum, Technical Manager DACH, F5 Networks
