Modernisierung der IT: Von der Sicherheit zum Risikomanagement
Die Einführung eines risikobasierten Sicherheitsansatzes erfordert ein erhebliches Umdenken in Bezug auf Sicherheit und digitale Vermögenswerte. Doch dieser Wandel ist notwendig, weil sich digitale Bedrohungen rasant weiterentwickeln und die bestehenden Sicherheitsmodelle nicht in der Lage sind, diese einzudämmen – geschweige denn mit ihnen Schritt zu halten.
Von Paketen über Nutzdaten bis hin zu Prozessen
Bei der Entwicklung herkömmlicher Unternehmensarchitektur-Frameworks wurde die Sicherheit nicht berücksichtigt. Es ist völlig richtig, dass Sicherheit im Allgemeinen eine nachträgliche Überlegung darstellt, da sie sich größtenteils in einem reaktiven Modell entwickelt hat. Das heißt, dass böswillige Akteure Angriffe initiiert haben, für die Anbieter und Technologieführer Abwehrmaßnahmen entwickelt haben. Dies liegt in der Natur der digitalen Transformation. In den Anfangsstadien lag der Schwerpunkt darauf, Produktivität und Effizienz durch Anwendungen zu ermöglichen. Diese Anwendungen waren größtenteils fest und statisch und befanden sich in einem isolierten Rechenzentrum. Da es bis zum Anbruch des Internetzeitalters keine Einstiegspunkte in das Rechenzentrum gab, bestand die Gefahr eines Angriffs von außen kaum.
In ihrer frühesten Form konzentrierte sich Sicherheit auf den Schutz von im Internet verfügbaren Anwendungen auf den untersten Ebenen des Technologie-Stacks: dem Netzwerk. Zu viele Pakete pro Sekunde deuten auf eine Art Denial-of-Service-Angriff hin. Die Reaktion der Sicherheitskräfte? Firewalls, die den Ursprung des Angriffs blockieren können. Ports und Protokolle wurden zur Grundlage für Sicherheitsrichtlinien, mit Schwellenwerten basierend auf dem Volumen und der Geschwindigkeit von Paketen, die versuchten, eine Anwendung zu verwenden. Der Schwerpunkt der Sicherheit in dieser Phase lag darauf, Störungen zu verhindern, indem ein Angriff mithilfe einfacher, statischer Regeln unterbunden wird .
Angesichts einer starken Verteidigung entwickelten sich Angriffe schnell. Da die Anwendungen immer umfangreicher und leistungsfähiger wurden, entdeckten Angreifer schnell Schwachstellen in den Software-Stacks. In der Branche kam es zu Angriffen, die in die Nutzlast der zwischen Benutzern und Anwendungen ausgetauschten Nachrichten eingebettet waren. Dabei versuchte jeder Angriff, bekannte Schwachstellen auszunutzen, um entweder einen Ausfall zu verursachen, unberechtigten Zugriff zu ermöglichen oder Daten abzugreifen. Die Sicherheitsbranche reagierte erneut auf diese neuen Angriffsformen und entwickelte Lösungen, mit denen eingebettete Angriffe erkannt und neutralisiert werden können. Der Sicherheitsschwerpunkt in dieser Phase lag auf der Erkennung und Neutralisierung von in Transaktionen eingebetteten Angriffen.
Mit der Ausbreitung der digitalen Wirtschaft, die immer tiefer in jeden Aspekt unseres Lebens eindringt, haben sich auch die Möglichkeiten für Angreifer vergrößert. Der Wert der Daten und der Zugriff auf Privat- und Unternehmenskonten wächst exponentiell. Man bedenke, dass schätzungsweise Tausende von Videospielkonten von Anbietern wie Steam, EA Sports und Epic „jeden Monat gestohlen werden, wobei große Teile der Kontodatenbanken auf privaten Telegram-Kanälen für Summen zwischen 10.000 und 40.000 US-Dollar gehandelt werden“ ( BitDefender ). Heutzutage sind Kontoübernahmen in allen Branchen weit verbreitet, von der Spielebranche über das Finanzwesen und das Gesundheitswesen bis hin zu staatlichen Diensten. Im Jahr 2021 kostete Betrug die US-Regierung schätzungsweise 87 Milliarden Dollar an Bundesleistungen ( CNBC ). Der Verlust ist vor allem auf das Pandemie-Arbeitslosenprogramm zurückzuführen, das größtenteils über digitale Dienste abgewickelt wurde.
Die Entwicklung spezialisierter Bots, die Verbrauchern beim Erwerb eines Produkts aus einer begrenzten Auflage helfen sollen, nimmt zu. Diese Bots nutzen Technologie und Geschwindigkeit, um sicherzustellen, dass Verbraucher ein Produkt online in kürzerer Zeit kaufen können, als ein Mensch die richtige Größe und Farbe auswählen kann. Diese Bots wurden als Hilfstechnologie für Verbraucher präsentiert und wurden fast sofort von böswilligen Akteuren ausgenutzt, um Ressourcen schnell zu erschöpfen und sie zu einem höheren Preis weiterzuverkaufen. Sneaker-Bots, Grinch-Bots und andere Spezial-Bots zielen zunehmend auf bestimmte Produkte und Lieferanten mit hoher Nachfrage ab.
„Dank Wiederverkaufsseiten wie StockX und GOAT sind Sammler-Sneaker zu einer Anlageklasse geworden, bei der die Preisgestaltung ungefähr davon abhängt, wie schnell ein Artikel ausverkauft ist. „Ausgefeilte Sneaker-Bots, die Tausende von Dollar kosten können, sind der Schlüssel zur Schaffung einer künstlichen Knappheit, die einen Sneaker wertvoll macht und im Gegenzug eine Marke cool erscheinen lässt.“ ( New York Times )
Die Sicherheitsbranche muss heute nicht nur auf Angriffe reagieren, die sich gegen Netzwerkdienste und -anwendungen richten, sondern auch auf Angriffe, die auf Geschäftsprozesse abzielen, etwa die Anmeldung bei einem Dienst oder den Kauf von Produkten. Herkömmliche Untersuchungs- und Bewertungsmethoden sind bei der Erkennung von Angriffen auf legitime Geschäftsprozesse wirkungslos. Dabei handelt es sich weder um Sicherheitslücken noch sind sie anfällig für Protokoll-Exploits. Dabei handelt es sich um Prozesse, die als digitale Fähigkeit entlarvt werden und anfällig für die Ausbeutung durch diejenigen sind, die über die Mittel oder das Geld verfügen, um die richtigen Zugangsdaten zu erhalten oder zu kaufen.
Die Tools, die die Prozesse schützen, müssen zudem in der Lage sein, zwischen Software und menschlichen Konsumenten zu unterscheiden. Diese Aufgabe wird dadurch erschwert, dass Software (wie etwa Bots) sowohl von Verbrauchern auf der Suche nach Effizienz als auch von Angreifern auf der Suche nach Vorteilen verwendet wird. Die Sicherheit muss sich erneut weiterentwickeln und dieses Mal in Richtung Risikomanagement verlagern.
Die Einführung eines Risikomanagementansatzes bedeutet nicht, dass man frühere Sicherheitsmaßnahmen aufgibt. Tatsächlich kommt es auf jeder Ebene des Technologie-Stacks ständig zu Angriffen, die bekämpft werden müssen. Ein Risikomanagementansatz schließt den Einsatz von Technologien zur Verhinderung volumetrischer Angriffe oder solcher mit bösartigen Inhalten nicht aus. Ein Risikomanagementansatz konzentriert sich nicht auf die Umsetzung Einzelheiten dazu sowie dazu, wie Bedrohungen erkannt und Risiken bestimmt werden.
Indem Unternehmen beim Thema Sicherheit eine risikobasierte Denkweise an den Tag legen, können sie von hektischen Reaktionen auf Angriffe abrücken. Stattdessen können sie gezielt Sicherheitsentscheidungen treffen, die mit den Geschäftsergebnissen im Einklang stehen und die Risikotoleranz des Unternehmens berücksichtigen.
Modernisierung der Sicherheit: Umstellung auf Risikomanagement
Die digitalen Unternehmen von heute vernetzen sich mit ihren Kunden und Partnern, indem sie digitale Erlebnisse über moderne Anwendungen bereitstellen. Daher ist der Schutz von Anwendungen bei der Modernisierung der Sicherheit von größter Bedeutung. Diese Anwendungen – und auf der nächsten Detailebene die Workloads und Dienste, die ihre Bausteine bilden – schaffen einen Mehrwert, indem sie auf die eine oder andere Weise die digitalen Assets des Unternehmens erstellen, anreichern und/oder Zugriff darauf ermöglichen. Sie stehen daher im Mittelpunkt einer modernen Sicherheitsmentalität. Bei Cybersicherheit, wie sie heute allgemein genannt wird, steht der Schutz der Anwendungen und APIs im Vordergrund, die diese Anwendungen bereitstellen, um Benutzer aller Art mit den digitalen Assets zu verbinden, die ein digitales Unternehmen antreiben.
Technologieführer sind sich der Tools und Techniken bewusst, die zur Implementierung reaktiver und proaktiver Sicherheit erforderlich sind. Die Frage ist: „Wie stellen Sie Ihre Organisation auf einen Ansatz um, der auf einer Risikobewertung basiert, die weitgehend auf Identität und Vermögenswerten beruht?“
Zwei Kerntechnologien sind für diesen Wandel von zentraler Bedeutung: Authentifizierung und Zugriffskontrolle. Die Authentifizierung stellt Richtlinien mit der Identitätskomponente bereit, während die Zugriffskontrolle für die Verwaltung digitaler Assets sorgt.
Bei der Authentifizierung handelt es sich im Wesentlichen um den Vorgang, die Identität eines Anwendungsnutzers festzustellen und zu verifizieren. In der Vergangenheit waren dies in erster Linie Menschen, die Zugriff auf monolithische Anwendungen in einem privaten Rechenzentrum suchten. Daher könnten sämtliche Authentifizierungssysteme und -dienste im selben Rechenzentrum untergebracht werden. Heutzutage verwenden moderne Anwendungen eine verteilte Architektur und offene APIs. Daher muss sich die Authentifizierung weiterentwickeln. Bei der Authentifizierung müssen heute nicht nur menschliche Verbraucher, sondern auch menschliche Stellvertreter wie etwa automatisierte Agenten erkannt werden. Da verteilte Anwendungen aus Diensten bestehen, die aus mehreren Clouds stammen, muss die Authentifizierung in einer Welt föderierter, unternehmensübergreifender Identitätsspeicher möglich sein. Kurz gesagt: Auch wenn die Authentifizierung noch immer ein zentrales Element der grundlegenden Verteidigung darstellt, erfordert die erweiterte Natur der heutigen digitalen Dienste eine weiterentwickelte Sicht auf die Identität und die Art und Weise, wie die Identität validiert wird.
Bei der Zugriffskontrolle handelt es sich seit jeher um den Vorgang, zu bestimmen, wer – oder was – auf eine Unternehmensressource zugreifen kann. Doch wie bei der Authentifizierung haben sich auch die für die Zugriffskontrolle erforderlichen Funktionen parallel zu den Unternehmensanwendungen weiterentwickelt. Die ersten Inkarnationen der Zugriffskontrolle fanden auf der Netzwerkebene statt; potenzielle Anwendungskonsumenten befanden sich entweder „innerhalb“ oder „außerhalb“ eines durch Netzwerk-IP-Adressen definierten Perimeter. Doch heute, wo mobile Verbraucher auf verteilte Anwendungen zugreifen, die über mehrere Bereitstellungspunkte verteilt sind, gibt es keinen klaren, statischen Rahmen mehr, der die Begriffe „innen“ und „außen“ definiert. Deshalb muss die Zugriffskontrolle auf der Grundlage der Benutzeridentität erfolgen, die durch die Authentifizierung bestätigt wird. Moderne Anwendungskonsumenten können nicht mehr basierend auf ihrem Netzwerkstandort getrennt werden, sondern werden stattdessen basierend auf ihrer Identität klassifiziert.
In Kombination mit einer vollständigen Bestandsaufnahme aller wichtigen digitalen Vermögenswerte können diese Technologien dazu verwendet werden, Entscheidungen im Hinblick auf das Risiko umzusetzen, das mit der Gewährung des Zugriffs auf einen bestimmten Vermögenswert verbunden ist. Diese Entscheidungen basieren auf einem Verständnis darüber, wie diese Vermögenswerte offengelegt werden und wem sie offengelegt werden sollen – oder nicht.
Der erste Schritt bei der Modernisierung der Sicherheit besteht daher in der Erstellung oder Erweiterung eines Anlageninventars. Dabei ist der Schwerpunkt auf die Mittel und Gründe des Zugriffs auf diese Anlagen zu legen. Darüber hinaus sollten Technologieführer bedenken, dass Anwendungen das primäre Mittel sind, mit dem auf alle Daten zugegriffen wird. Daher sollte das Inventar auch in der Lage sein, Assets den Anwendungen zuzuordnen, die mit ihnen interagieren.
Als Nächstes müssen Technologieführer mit Unternehmensführern zusammenarbeiten, um Risiko-/Ertragsprofile für wichtige Vermögenswerte zu erstellen. Die daraus resultierenden Risiko-/Ertragsprofile sollten Sicherheitsmaßnahmen mit Geschäftsergebnissen in Einklang bringen. So erfahren wir beispielsweise aus Untersuchungen von AiteNovarica , dass „Händler durch falsche Ablehnungen 75-mal mehr Umsatz verlieren als durch Betrug“. Das Risiko einer so genannten falschen Ablehnung ist also potenziell größer als das Risiko, eine Transaktion zuzulassen.
Daher sollten Interaktionen im Zusammenhang mit dieser Transaktion je nach Risikotoleranz der Organisation zugelassen oder verweigert werden. Zu den Faktoren, die die Entscheidung beeinflussen können, gehören der Wert der Transaktion und die mit der Legitimität des Benutzers verbundene Sicherheit. Ist das System zu 50 % sicher, dass der Benutzer legitim ist? Sicherer? Weniger? Jede Organisation ermittelt ihre Risikotoleranz und passt ihre Profile auf der Grundlage dieser Toleranz an, um die Sicherheit innerhalb dieser Grenzen zu gewährleisten. Anhand eines Risiko-/Ertragsprofils können Menschen und Systeme bestimmen, wie mit potenziellen Risiken umgegangen wird. Risikoscheuere Organisationen neigen dazu, Risiken höher zu gewichten und Kontrollen anzuwenden, um sie zu vermeiden. Umgekehrt werden Organisationen mit einer höheren Risikotoleranz den Nutzen als wichtigeren Faktor bei der Entscheidung über die Anwendung von Sicherheitskontrollen einschätzen.
Die hier gegebene Granularität – also die Auswertung auf Transaktionsebene – impliziert die Fähigkeit, digitale Interaktionen kontinuierlich zu beurteilen und Sicherheitsentscheidungen auf der Grundlage eines Echtzeitkontexts anzupassen, der anhand von Richtlinien beurteilt wird. Dieser Ansatz ist eine Schlüsselfunktion von Zero-Trust-Ansätzen, ebenso wie die Schlüsseltechnologien, die zur Durchsetzung von Entscheidungen verwendet werden: Authentifizierung (wer) und Zugriffskontrolle (was), wie in diesem Whitepaper beschrieben: „ Zero Trust Security: Warum Zero Trust wichtig ist (und zwar für mehr als nur den Zugriff) .“
Die Fähigkeit, digitale Interaktionen kontinuierlich zu bewerten, hängt von einer Daten- und Beobachtungsstrategie auf Unternehmensebene ab. Das heißt, dass das Unternehmen über eine Strategie verfügt und darauf hinarbeitet, eine vollständige Beobachtung des Stapels zu ermöglichen sowie eine Möglichkeit, Interaktionen zwischen unterschiedlichen Geschäften zu verbinden und zu korrelieren, wenn die Daten nicht bereits in einem einzigen Geschäft zentralisiert sind.
Bei der Umstellung auf Risikomanagement geht es daher um die Einführung von drei spezifischen Technologien: Identität, Beobachtbarkeit und Zugriffskontrolle mit einem übergreifenden Zero-Trust-Ansatz für die Ausführung.
IT-Modernisierung muss Sicherheit einschließen
Eine Schlüsselkompetenz eines digitalen Unternehmens ist die Sicherheit – die Sicherheit seiner digitalen Vermögenswerte, seiner Daten und der finanziellen und persönlichen Informationen seiner Kunden.
In einem digitalen Unternehmen werden nahezu alle Interaktionen digital durchgeführt. Daher sollte die Sicherheit ein vorrangiges Anliegen des Unternehmens und – im Falle der IT – der Unternehmensarchitektur werden. Für die meisten bedeutet dies, dass sie ihre Sicherheitsmaßnahmen, -tools und -richtlinien – viele davon werden ad hoc eingeführt, um zunehmende Angriffe und neue Bedrohungen abzuwehren – daraufhin überprüfen müssen, ob sie in einer vorwiegend digitalen Umgebung weiterhin relevant sind. Um alle digitalen Ressourcen und Interaktionen, die das Unternehmen für seinen Erfolg in einer digitalen Wirtschaft benötigt, umfassend zu schützen, ist ein gezielterer und umfassenderer Ansatz erforderlich.
Viele Aspekte der Funktionsweise eines digitalen Unternehmens wurden nicht berücksichtigt, als Unternehmen die technologischen Grundlagen in Form einer Unternehmensarchitektur schufen. Sicherheit ist einer dieser Aspekte, die nicht ausreichend berücksichtigt werden.
Während wir auf eine Welt zusteuern, in der die Digitalisierung zum Standard wird, müssen Unternehmen ihre IT modernisieren, um das für den Erfolg in der Zukunft erforderliche Tempo der Veränderungen und die datengesteuerte Entscheidungsfindung zu unterstützen und zu ermöglichen. Ein wichtiger Schritt ist die Modernisierung der Unternehmensarchitektur. Dazu muss ein umfassenderer, umfassenderer und letztlich adaptiver Sicherheitsansatz gehören: ein Risikomanagementansatz.
Weitere Informationen zur Modernisierung der Architektur – insbesondere der Sicherheit – für ein digitales Unternehmen finden Sie in unserem neuen Buch von O'Reilly „ Enterprise Architecture for Digital Business “.