„Nur Sicherheitslücken wachsen schneller als die Budgets für mehr Sicherheit”

May 19, 2016
„Nur Sicherheitslücken wachsen schneller als die Budgets für mehr Sicherheit”

Weise Worte von Pat Gelsinger, CEO von VMware, die mit jedem vergangenen Tag auf mehr Zuspruch treffen. Auf einer höheren Ebene sehen wir nicht nur, wie Sicherheitsbedrohungen eskalieren – wir können ebenfalls verfolgen, dass sich die Art der Angriffe ändert. Die Zeiten lästiger Viren und nerviger Spam-Malware sind vorbei. Heute leben wir in einer ganz anderen Welt, in der Cyber-Bedrohungen und Angriffe zu bedeutenden globalen und politischen Herausforderungen geworden sind.

Für Unternehmen gilt es auch Handels- und Reputationsrisiken zu bewältigen. Trotz vieler verschiedener Schutzmaßnahmen, die Rechenzentrumsnetzwerke nach außen abschirmen – von erweiterten Firewalls bis hin zu präventiven Systemen – schaffen Hacker es weiterhin, die Sicherheitsmaßnahmen zu überwinden. Das erklärt auch, weshalb Gartner ‘lernfähige Sicherheitsarchitektur’ als einen der wichtigsten 10 strategischen Technologie-Trends für das Jahr 2016 nennt. Laut Gartner “erhöht die Komplexität eines digitalen Unternehmens in Kombination mit sich beständig entwickelnden ‘Hacker-Branche’ erheblich die Gefahren, die für jedes Unternehmen bestehen.”

Die neue Security-Welt erfordert einen neuen Lösungsansatz

Software-defined Networking (SDN) und die zugrunde liegende Netzwerk-Virtualisierung haben sich von einer innovativen neuen Technologie zur wichtigsten Priorität für zukunftsorientierte Organisationen entwickelt. Was genau versteht man jedoch unter Software-defined Networking? Kurz gesagt wird dabei das Betriebsmodell einer virtuellen Maschine auf ein Rechenzentrumsnetzwerk übertragen und die Verwaltung von Netzwerk- und Sicherheitsbetrieb für eine bessere Sichtbarkeit und Verwaltung transformiert. Entscheidend ist, dass Mikrosegmentierung zum Einsatz kommt. So kann sich der Wandel von einer harten Abgrenzung nach außen zu einem granularen Sicherheitsmodell vollziehen, indem einzelne Workloads getrennt voneinander abgesichert werden.

Dieses Vorgehen lässt sich mit den unterschiedlichen Sicherheitsmodellen bei Booten und U-Booten vergleichen: Bei einem Boot gibt es eine einzige Hülle, die das Wasser fernhält – entsteht ein Loch, ist es vollkommen ungeschützt und sinkt. Beim U-Boot jedoch gibt es mehrere Bereiche, die einzeln durch Luftdruckschleusen schnell versiegelt werden können – entweder manuell oder automatisch (beispielsweise wenn ein Feuer ausbricht).

Entweder Unternehmen haben einen ausreichenden Schutz gegen die modernen, hochentwickelten Sicherheitsbedrohungen von heute oder sie laufen Gefahr, dass ihre Daten, ihr Betrieb und IP ausgespäht werden, wenn die Sicherheitsvorkehrungen nach außen untergraben werden. Die Herausforderung für IT-Abteilungen ist, dass Themen rund um die IT-Security sehr schnell sehr technisch werden. Das restliche Unternehmen ignoriert die Angelegenheit deshalb gerne – bis es zu spät ist.

In drei Schritten zum SDN

Was kann man tun, um dieses Problem zu lösen? Es ist dringend nötig, etwas dicker aufzutragen, das Thema zur Angelegenheit der kompletten Organisation zu machen und vor Unternehmensspitze triftig zu begründen, dass Investitionen in SDN notwendig sind. Hier die drei wichtigsten Schritte, die die IT zum Ziel führen:

  • Sicherstellen, dass eine Vertrauenskultur herrscht

Viele Unternehmen nutzen mittlerweile Infrastrukturen, die sie nicht besitzen, nicht kontrollieren und somit nicht richtig überprüfen können. Die Rolle der IT-Abteilung ist es, für die Notwendigkeit einer vertrauenswürdigen Umgebung einzutreten. Mitarbeiter müssen auf Verfügbarkeit und sicheres Datenmanagement der neuen Infrastruktur vertrauen können.

  • Die richtige Kommunikation: Lösungen statt Hindernisse präsentieren

Oftmals sind wir so damit beschäftigt, unsere täglichen Aufgaben zu erledigen, dass wir uns nur selten die Zeit nehmen, um über den Tellerrand zu schauen. (An dieser Stelle eine kleine Randbemerkung: Zu dem Thema gibt es ein großartiges Buch mit dem Titel “Das Phoenix-Projekt” von Kim, Behr & Spafford.) Wenn wir es nicht schaffen, Veränderungen herbeizuführen und veraltete Netzwerkstrukturen zu modernisieren, sind wir dazu gezwungen, uns weiterhin mit manuellen Änderungen herumzuschlagen. Netzwerk-Virtualisierung als Teil einer umfassenden Automatisierungsstrategie kann der IT dabei helfen, die erforderliche Zeit und die Ressourcen zu schaffen, um proaktiv Lösungen für die geschäftlichen Anforderungen anzubieten und so das Unternehmen bestmöglich zu unterstützen. Allerdings ist dabei auch Unterstützung von der Chefetage nötig. Im Gegenzug ist die IT dazu verpflichtet, um die notwendige Unterstützung zu bitten, damit Änderungen umgesetzt werden können.

  • Die richtige Vorbereitung ist das A und O

In Wahrheit besteht gar nicht die Notwendigkeit, für das Software-defined Networking Rollen neu zu definieren und Mitarbeiter umzuschulen – es ist eher ein „tune up“-Prozess. Beispielsweise können Firewall-Administratoren ihre bisherigen Erfahrungen und ihre Kenntnisse im Bereich Regelwerk-Erstellung zur Sicherung des Kommunikationsflusses bei Applikationen weiterhin nutzen. Anstatt an uralte manuelle Richtliniendefinitionen auf Basis von IP-Adressen oder Port-Nummern gebunden zu sein, was zunehmend mehr Richtlinien nach sich zieht, können sie sich jetzt auf Vorlagen konzentrieren, die automatisch gelten. Denn diese funktionieren auf Basis unterschiedlicher Workloads, die unabhängig von IP-Adressen implementiert werden (z.B. die VM dient der Produktion oder für Tests oder diese VM ist ein Web-Server usw.). Sowohl die Komplexität als auch die Anzahl der Regeln werden reduziert – das Firewall-Team muss sich nicht mehr mit der fehleranfälligen, manuellen Wartung von Regelwerken herumschlagen. In ähnlicher Weise verändert Server-Virtualisierung die Rolle des Server-Administrators. In den meisten Fällen wird dessen Rolle gestärkt – das Gleiche gilt für den Firewall-Administrator.

Dies wird zweifellos tiefer gehende, kontroverse Gespräche in Gang bringen, aber es zahlt sich aus, hart zu bleiben. Um auf den Anfangsgedanken „Nur Sicherheitslücken wachsen schneller als die Budgets für mehr Sicherheit“ zurückzukommen: nur wer Veränderung als Chance sieht, ist in der Lage, den Spieß umzudrehen. Zwar braucht es anfänglich Vorab-Investitionen, um die Unternehmenssicherheit zu modernisieren – die Zahlen sind aber nominell. Vor allem im Vergleich zu den finanziellen Kosten und der Rufschädigung, die entstehen, wenn Organisationen modernen Cyber-Attacken zum Opfer fallen.

Mehr über die Investition Ihres Unternehmens in Software-defined Networking können Sie hier oder auf unserem Twitter-Feed lesen.


 
Related Posts
 

Insbesondere große Unternehmen möchten nicht mit einem Sicherheitsvorfall in den Schlagzeilen landen und haben den Ernst der Lage erkannt. Deshalb schaffen viele von ihnen eine weitere strategische Position: Die des CISOs (Chief Information Security Officer), der sich vorrangig um die IT-Sicherheit im Unternehmen kümmern soll. Doch welche Verantwortlichkeiten bringt diese Position mit sich?

Cyber-Angriffe nehmen weltweit zu und Cyber-Security ist daher eine der …

Read More

Neben den zahlreichen geschäftlichen, operativen und finanziellen Vorteilen, die die digitale Transformation mit sich bringt, gibt es auch einige Herausforderungen, die Unternehmen zu meistern haben. Thomas Wirtz, Pre-sales Director Germany, gibt einen Überblick.

12345passwort – aus dieser Kombination sollte kein Passwort bestehen. Und doch sind die meisten Passwörter heutzutageähnlich schlecht. Was sind die gängigsten Methoden der Hacker, um Kennwörter zu knacken?

 
 
Blog Archive