Wie Sie Ihr Sicherheitsbudget richtig ausgeben - und wie nicht

Vielleicht erinnern Sie sich daran,  als man noch VHS-Videos ausgeliehen hat, Doc Martens trug und im Radio Grunge hörte? Die 90er-Jahre sind für viele nur noch eine blasse Erinnerung, in den Rechenzentren großer Unternehmen leben sie jedoch noch weiter. Überraschend viele IT-Organisationen führen nach wie vor Netzzugriffsprotokolle und lassen Logdateien parsen - wie im Jahr 1999.

Damals lief alles noch auf Servern, die sich hinter einer Firewall im Rechenzentrum befanden. Software bekam man in einer Schachtel, und man installierte sie auf Maschinen, die dem Unternehmen gehörten. Alle Clients im Netzwerk waren identifizierbar - so ließ sich der Zugriff auf Anwendungen und Daten ziemlich genau steuern. Die größte Gefahr ging von Insidern aus, von versehentlichen Datenschutzverletzungen und gelegentlichen Malware-Unfällen wie dem Wurm Melissa.

Heute dagegen befindet sich Ihre Geschäftssoftware auf den Servern von jemand anderem in der Cloud. Ihre Mitarbeiter und vielleicht sogar auch einige Ihrer Kunden greifen über einen Webbrowser oder eine Smartphone-App darauf zu. Ihre Endpoitns befinden sich praktisch überall, und die Gefahren gehen nicht mehr von Ihrem Netzwerk aus, sondern von jedem der 3,2 Milliarden Menschen im Internet, der böse Absichten hegt.

Die gute Nachricht: Nicht nur die Bedrohungen sind zahlen- und volumenmäßig gestiegen, auch die Sicherheitsbudgets sind gewachsen. Die Unternehmen investieren so viel in Sicherheit wie nie zuvor. Die schlechte Nachricht jedoch: Falls Sie nicht an den richtigen Stellen investieren, könnte sich Ihre Angriffsfläche weiter ausdehnen. Wenn Sie sich Gedanken über Ihre Investitionen machen, berücksichtigen Sie die folgenden vier Fakten.

Die Gefahren gehen nicht mehr von Ihrem Netzwerk aus, sondern von jedem der 3,2 Milliarden Menschen im Internet, der böse Absichten hegt.

1. Sicherheitsverletzungen über Applikationen nehmen zu

Eine steigende Anzahl von Sicherheitsverletzungen erfolgt heute über Anwendungen, der Großteil der Budgets für IT-Sicherheit fließt jedoch nach wie vor in die Absicherung des Netzwerks. Das Angriffsziel ist nun die Applikationsebene, die das Tor zu Ihren Daten geworden ist. Das heißt nicht, dass Sie die Ausgaben für die Netzsicherheit komplett streichen sollen - Sie müssen aber Prioritäten setzen und sicherstellen, dass das Geld dorthin fließt, wo es die größte Wirkung hat.

2. Identitäts- und Zugangskontrolle sind der Schlüssel

Zwei Sicherheitsbereiche sind in Zeiten der digitalen Transformation kritisch: Zum einen die Fähigkeit, die Identität eines beliebigen Nutzers zu verifizieren - unabhängig davon, von wo aus er Zugriff anfordert. Zum anderen der Schutz der Anwendung - unabhängig davon, wo sie sich befindet. Anders gesagt: Sie müssen sowohl den Zugang zur Anwendung als auch die Anwendung selbst schützen. Das Netzwerk ist dabei nur eine Komponente, nicht der primäre Fokus.

3. Sie können nichts absichern, was Sie nicht verstehen

Transparenz und Kontextverständnis sind zentrale Aspekte. Sie müssen wissen, was Ihre Anwendungen tun und ob sie sich so verhalten, wie Sie es erwarten. Schließlich ist anomales Verhalten der Applikation oft das erste Anzeichen einer Sicherheitsverletzung. Sie müssen also in der Lage sein, Ihren gesamten Traffic zu entschlüsseln und sämtliche Funktionen und Subfunktionen für jedes Protokoll zu kontrollieren - für HTTP, SSL und DNS. Ohne Einblick in die Prozesse und ohne Kontextverständnis dafür, wie sich Ihre Anwendungen verhalten (sollen), arbeiten Sie im Blindflug.

200,000

Im Bereich Cybersicherheit gibt es 200.000 offene Stellen mehr als Bewerber.

4. Der Bedarf an Fachleuten ist höher als das Angebot

Der Appetit nach besseren Anwendungen mit mehr Funktionen ist in den Unternehmen fast unendlich groß, das Angebot an erfahrenen Anwendungsentwicklern dagegen begrenzt. Wenn aber  unerfahrene Entwickler unter hohem Druck stehen, immer mehr Anwendungen in immer kürzerer Zeit zu liefern, ist die Wahrscheinlichkeit hoch, dass sie Fehler machen. Auch Sicherheitsexperten, die Sicherheitslücken aufdecken und den Schaden minimieren können, sind Mangelware - aktuellen Schätzungen zufolge gibt es in der Cybersicherheitsbranche etwa 200,000 offene Stellen mehr als Bewerber. Entwickler mit wenig Erfahrung in Kombination mit einem Mangel an Experten mit Erfahrung - da ist die Katastrophe abzusehen. Wenn Sie Probleme haben, erfahrene Mitarbeiter zu finden: Ziehen Sie die Partnerschaft mit einem Dienstleister in Erwägung, der Tools etwa für dynamische Anwendungssicherheitstests (Dynamic Application Security Testing - DAST) bereitstellt, mit denen sich das Testen auf vorhandene oder neue Schwachstellen automatisieren lässt. 

Fazit:

Wenn Ihr Unternehmen so ist wie viele, geben Sie wahrscheinlich noch immer den Großteil Ihres Sicherheitsbudgets für das Netzwerk aus. Damit können Sie sich jedoch angreifbar machen. Aber dagegen lässt sich etwas tun: Zunächst gilt es, den Fokus auf die Anwendungssicherheit legen - höchste Priorität sollten der Schutz der Nutzeridentitäten und der kontrollierte Zugriff auf die Anwendungen haben. Außerdem brauchen Sie Transparenz in Bezug auf den gesamten Traffic, inklusive Einblick in verschlüsselte Daten. Darüber hinaus müssen Sie wissen, wie sich die Systeme im Normalzustand verhalten, so dass Sie anomales Verhalten erkennen können. Zu guter Letzt: Wenn Sie nicht genügend Sicherheitsexpertise im Unternehmen haben, sollten Sie Partner suchen, die für den Schutz sorgen, den Ihr Unternehmen braucht.