Digital als Standard: Umgang mit unbeabsichtigten Folgen

Das Ziel der digitalen Transformation war schon immer ein Betriebsmodell, bei dem die Digitalisierung die Standardeinstellung ist. Ich kann mich nicht erinnern, wann zum letzten Mal jemand ein Telefonbuch auf meiner Veranda liegen gelassen oder mir die DVD eines neuen Films zum Anschauen gegeben hat. Wenn ich ein neues Spiel spielen möchte, verwende ich den Store auf meiner Konsole. Ich stehe bestimmt nicht mehr auf, fahre zu einem Spieleladen und schaue mir die Kassetten an. Und Updates? Die Zustellung erfolgt automatisch.  Im Ernst, sogar meine liebsten Pen-&-Paper-Rollenspiele sind heute digital. Ich muss nicht dreizehn Bücher und mehrere Pfund Würfel zu jemandem nach Hause schleppen, um zu spielen. Ich brauche nur meinen Laptop.

Nicht, dass ich meine Würfel aufgebe. Denn das ist einfach verrücktes Gerede.

Aber ich nutze mehr Digitales, weil die Wirtschaft uns mehr Digitales bietet.

Im vergangenen Jahr sind alle Branchen – aus der Not heraus – rasch in die zweite und dritte Phase der digitalen Transformation vorgerückt.

Phase 1

Aufgabenautomatisierung 

In dieser Phase führt die Digitalisierung dazu, dass Unternehmen menschenorientierte Geschäftsaufgaben auf verschiedene Formen der „Automatisierung“ umstellen, was bedeutet, dass im Rahmen des Geschäftsablaufs weitere Anwendungen eingeführt oder erstellt werden. Dies begann mit der Automatisierung klar definierter, einzelner Aufgaben zur Verbesserung der Effizienz. Ein gängiges Beispiel sind IVR-Systeme, die allgemeine Fragen zu einem Produkt oder einer Dienstleistung beantworten, aber möglicherweise an einen menschlichen Mitarbeiter weiterleiten müssen. In dieser Phase werden einzelne Aufgaben automatisiert, aber nicht durchgängig integriert. 

Die unbeabsichtigte Folge: Mehr Code 

Mehr Code entsteht nicht nur durch mehr Anwendungen, sondern auch durch neue Anwendungsarchitekturen. Die durchschnittliche iPhone-App benötigt weniger als 50.000 Zeilen Code. Google? Mehr als 2 Millionen. Die meisten Apps liegen irgendwo dazwischen. Der gesamte Code muss gewartet, aktualisiert und gesichert werden, und Unternehmen erweitern ihre Codebasis seit Jahren über verschiedene Architekturen hinweg. Jetzt betreiben sie fünf verschiedene Architekturen und drei bis vier verschiedene Codebasen von COBOL über C und JS bis Go.

Und dabei ist die zunehmende Nutzung von JSON, YAML und Python noch gar nicht berücksichtigt, da Unternehmen „Infrastruktur als Code“ einführen. Laut unserer jährlichen Umfrage ist das mehr als die Hälfte (52 %), und dieser Anteil wird weiter steigen, da Unternehmen, die erste Schritte in Richtung KI und ML unternehmen, beginnen, Betriebspraktiken zu übernehmen, die auch „Modelle und Algorithmen“ als Code beinhalten.

Phase 2

Digitale Expansion 

Wenn Unternehmen beginnen, die Vorteile cloudnativer Infrastrukturen zu nutzen und die Automatisierung durch ihre eigene Softwareentwicklung voranzutreiben, führt dies zu einer neuen Generation von Anwendungen, die die Skalierung und weitere Erweiterung ihres digitalen Modells unterstützen. Der Motor dieser Phase sind Unternehmensleiter, die an Anwendungsentscheidungen beteiligt werden, die darauf abzielen, sich von der Konkurrenz abzuheben oder ein einzigartiges Kundenengagement zu bieten. Beispielsweise integrieren Gesundheitsdienstleister Patientenakten und Abrechnungen zunehmend in ihre Aufnahme-, Entlassungs- und Terminplanungssysteme. Durch automatische Terminerinnerungen können manuelle Prozesse entfallen. Die Konzentration auf die End-to-End-Verbesserung der Geschäftsprozesse ist das gemeinsame Thema dieser Phase.   

Die unbeabsichtigte Folge: Weitere Verbindungen

Aber warten Sie, es gibt noch mehr. Digital als Standard und die Modernisierung der IT bedeuten mehr Verbindungen – zwischen Anwendungen, Systemen, Geräten, Verbrauchern, Partnern und APIs. Jeder einzelne von ihnen stellt einen potenziellen Einstiegspunkt dar, der letzten Endes zu einer schwerwiegenden Verletzung oder Beeinträchtigung von Systemen führen könnte.

Hier steht viel auf dem Spiel. Schadsoftware. Ransomware. Betrug. Umsatzeinbußen. Die Kosten, die entstehen, wenn es nicht gelingt, alle möglichen Angriffspunkte abzusichern, sind enorm – und die Frage ist, wie Sie dies erreichen wollen.

Phase 3

KI-gestütztes Geschäft 

Wenn Unternehmen ihre digitale Reise weiter vorantreiben und erweiterte Funktionen in Anwendungsplattformen, Geschäftstelemetrie und Datenanalyse sowie ML/KI-Technologien nutzen, werden sie zunehmend KI-gestützt. Diese Phase eröffnet neue Bereiche für Produktivitätssteigerungen im Unternehmen, die bislang nicht verfügbar waren. So stellte beispielsweise ein Einzelhändler fest, dass 10 bis 20 % seiner fehlgeschlagenen Anmeldeversuche auf legitime Benutzer zurückzuführen waren, die Probleme mit dem Validierungsprozess hatten. Die standardmäßige Zugriffsverweigerung stellte einen potenziell erheblichen Umsatzverlust dar. Durch Verhaltensanalysen können legitime Benutzer von Bots unterschieden werden, die versuchen, Zugriff zu erlangen. Technologie und Analyse haben eine KI-gestützte Identifizierung dieser Benutzer ermöglicht, um ihnen den Zugang zu ermöglichen, was den Umsatz steigert und die Kundenbindung verbessert.    

Die unbeabsichtigten Folgen: Weitere Daten

Und schließlich führt die digitale Grundeinstellung zwangsläufig zu mehr Daten. Nicht nur Kundendaten – Bestellungen, Produkte, Adressen, Zahlungsdetails – sondern auch Betriebsdaten wie Metriken und Protokolle. Ein digitales Unternehmen benötigt Telemetrie, um Besucher, Engagement-Muster, Leistung, ungewöhnliche Abläufe und anomales Verhalten zu verstehen. Diese Telemetriedaten können nicht analysiert und dann weggeworfen werden, zumindest nicht sofort. Es können Tage, wenn nicht Wochen oder Monate der Telemetrie erforderlich sein, um ordnungsgemäße Betriebsgrundlagen zu ermitteln und dann Muster aufzudecken, die in Geschäftsentscheidungen einfließen, sowie Anomalien, die auf einen Angriff hinweisen.

All diese Daten erfordern Aufmerksamkeit. Es muss normalisiert, gespeichert, verarbeitet, analysiert und kuratiert werden. Und es muss sicher sein, denn einige dieser Daten können geschützte Kundendaten enthalten, die einer Einhaltung der Vorschriften und einer behördlichen Aufsicht bedürfen.

Die unbeabsichtigten Folgen der digitalen Transformation: Mehr Komplexität 

Unabhängig davon, wie schnell oder langsam eine Organisation diese Phasen durchläuft, ist das Ergebnis dasselbe: mehr Komplexität.

Und wir alle wissen, dass Komplexität der Feind der Sicherheit ist.

Für Sicherheitsexperten bedeutet die standardmäßige Digitalisierung also neue Herausforderungen. Eine Möglichkeit, mit diesen Sicherheitsherausforderungen umzugehen, besteht darin, sie in überschaubarere Kategorien zu unterteilen.

Vereinfachen Sie, um Ihren Verstand zu behalten

Die meisten Sicherheitsherausforderungen lassen sich grob in drei Kategorien einteilen: Anwendung, Infrastruktur und Geschäft. Diese Kategorien höherer Ebene eignen sich gut für die Verwaltung nach oben, wenn Sie Finanzmittel oder Führungsunterstützung benötigen. Sie eignen sich auch gut für die Triage, wenn es darum geht, die beste Vorgehensweise zu ihrer Eindämmung zu bestimmen.  

Anwendungsebene → DevSecOps

Schwachstellen auf App-Ebene können mit einem Shift-Left-Ansatz behoben werden, d. h., Sicherheit wird zu einem Bestandteil jeder Pipeline – von der Entwicklung über die Bereitstellung bis hin zum Betrieb. Dabei handelt es sich fast immer um unbeabsichtigte Schwachstellen, die im Allgemeinen durch eine menschliche Handlung verursacht werden – sei es absichtlich oder versehentlich. Sie erstrecken sich über den gesamten Stapel, von über persönliche Entwickler-Repositories geteilten Geheimnissen bis hin zur Fehlkonfiguration von S3-Buckets. Tools können Schwachstellen in Komponenten von Drittanbietern und anderen Abhängigkeiten identifizieren, um sicherzustellen, dass Sie die neueste, beste und hoffentlich sicherste Version dieses Skripts verwenden.

Von WAF über DAST und RASP bis hin zu SAST gibt es zahlreiche Tools, die beim Scannen und Sichern von Code helfen. Die meisten von ihnen können vollständig in die Entwicklungspipeline integriert werden. Durch die Automatisierung von Scans vermeiden Sie effektiv eine Übergabe – und den damit verbundenen Zeitaufwand. In der Branche wird es DevSecOps genannt, man könnte es aber auch Parallelverarbeitung oder Multitasking nennen. Das bedeutet, dass der Zeitplan nicht endet, wenn ein Team oder eine Einzelperson nicht verfügbar oder überbucht ist. Dies ermöglicht eine gründlichere Analyse und die Möglichkeit, Fehler früher im Prozess zu erkennen.

Infrastrukturschwachstellen → Verteilte Verteidigung

Traditionellere Schwachstellen wie volumetrisches DDoS und DNS-Amplification liegen in der Infrastrukturschicht. Sie können diese Angriffe nicht wirklich durch einen anderen Ansatz eindämmen, und Sie können sie definitiv nicht eliminieren, weil Sie die Angreifer nicht kontrollieren. Sie können nur Ihre Antwort kontrollieren.

Schwachstellen auf Infrastrukturebene erfordern einen stärkeren Schutzansatz, bei dem Sicherheitsdienste sich gegen Live-Angriffe verteidigen, da es Möglichkeiten gibt, diese zu „beseitigen“.

Heutzutage ist die App der Perimeterschutz und Organisationen haben überall auf der Welt Apps. Wenn man SaaS außer Acht lässt, nutzen Unternehmen im Durchschnitt 2,7 verschiedene öffentliche Clouds, die bestehende Rechenzentren erweitern. Das ist Plural.

Sie haben auch viele verteilte Endpunkte – wie meinen Firmenlaptop. Schon bevor die Arbeit von zu Hause aus mehr oder weniger dauerhaft üblich wurde, waren die Menschen unterwegs – und das führte zu mobilen, verteilten Endpunkten.

Dies führt zu einem Bedarf an verteilten App- und identitätszentrierten Lösungen zum Schutz von Infrastruktur und Anwendungen. Das bedeutet SASE und Zero Trust sowie die Nutzung von Edge, um die Verteidigungsdienste der Infrastruktur näher an den Ursprung der Angriffe zu bringen. SASE und ZTNA verlagern die Richtlinien von IP-Adressen und Netzwerken auf Benutzer und Geräte und erfordern einen Identitätsnachweis für den Zugriff auf Anwendungen und Ressourcen.

Geschäftsschwachstellen → KI-Assistenz

Schließlich gibt es noch Schwachstellen auf Geschäftsebene. Diese sind, ebenso wie die Schwachstellen auf Infrastrukturebene, inhärent und können nicht durch entsprechende Maßnahmen behoben werden. Sie können eine Anmeldeseite oder einen Vorgang zum Zurücksetzen des Passworts nicht wirklich vermeiden und müssen sich daher gegen Angriffe verteidigen, die Ihre Abwehrmechanismen unweigerlich erschüttern.

Und sie werden sie verprügeln. Untersuchungen von F5 Labs zeigen, dass die durchschnittliche Größe von DDoS-Angriffen im vergangenen Jahr um 55 % zugenommen hat. Der Bildungsbereich war Anfang 2021 eine der am häufigsten angegriffenen Branchen. Im Jahr 2020 kam es zu mehr als 500.000 Credential-Stuffing-Angriffen pro Stunde gegen Videospieler. Diese müssen in Echtzeit behandelt werden.

Deshalb ist es keine Überraschung, dass KI-gestützte Sicherheit in rasender Geschwindigkeit eingeführt wird, um mit der verrückten Geschwindigkeit Schritt zu halten, mit der neue Angriffe und neue Möglichkeiten zur Ausführung alter Angriffe entwickelt und gestartet werden.

Bedenken Sie, dass der Mensch der Wissenschaft zufolge nur etwa 50 bis 60 Bits pro Sekunde verarbeiten kann. Deshalb ist Multitasking so schwierig. Daten fließen von Systemen, Geräten, Anwendungen, Clients und dem Netzwerk mit einer viel höheren Geschwindigkeit ein, als wir Menschen verarbeiten können. Aus diesem Grund verfügen wir über Dashboards und Visualisierungen, die uns jedoch keine Auskunft darüber geben, was wirklich vor sich geht. Es handelt sich um Momentaufnahmen, die allzu häufig ausschließlich auf binären Maßzahlen basieren – rauf, runter, schnell, langsam. 45 % der Teilnehmer unserer jährlichen Umfrage gaben an, dass ihren aktuellen Überwachungslösungen die Fähigkeit zur genauen Verarbeitung und Vorhersage potenzieller Angriffe „fehlt“. Eine Antwort darauf ist künstliche Intelligenz. Sie verspricht eine Echtzeitanalyse der Daten durch trainierte Modelle, die mögliche Angriffe erkennen und uns davor warnen können.

Digital als Standard ist die neue Normalität 

Letztendlich führt die Digitalisierung zu einer verteilten und datengesteuerten Welt. Es ist standardmäßig digital. Und das bedeutet mehr Möglichkeiten für Angreifer, Zugriff zu erhalten, Daten abzugreifen und allgemein Chaos zu verursachen. In einer standardmäßig digitalen Welt erfordert Sicherheit einen digitalen Stack und das bedeutet DevSecOps, ein verteiltes Verteidigungsmodell und KI-gestützte Sicherheit.