Cybersecurity: Endlich Schluss mit dem Tool-Wahnsinn

„There’s An App For That.“ Der Satz aus der Apple-Werbung des Jahres 2009 hat inzwischen offenbar auch bei Cybersecurity Einzug gehalten. Unternehmen ersticken heute regelrecht an Sicherheitswerkzeugen, was aber ihre Kernprobleme nicht löst – und gefährlich werden kann.

Einer Studie von IBM aus dem Jahr 2020 gemäß, haben Unternehmen im Durchschnitt 45 verschiedene Sicherheitstools im Einsatz. Ein Drittel der Befragten CISOs und IT-Verantwortlichen nannte sogar mehr als 50 unterschiedliche Tools.[1] Wollte man die Situation in diesen Unternehmen mit einer Alltagssituation vergleichen, wäre das vielleicht so: Ein Tischler hält auf seiner Werkbank ein ganzes Arsenal von Akkuschraubern vor, weil jedes Gerät exakt nur zu einem Schraubentyp kompatibel ist. Das erscheint absurd und doch stellt sich die Lage zumindest im Bereich Security offensichtlich in vielen Unternehmen genauso dar.

Die IBM-Studie liefert noch eine weitere bemerkenswerte Zahl. Denn nach Angaben der Befragten mussten bei der Reaktion auf einen Sicherheitsvorfall im Durchschnitt 19 verschiedene Tools koordiniert werden.

Warum mehr Tools mehr Schaden als Nutzen bringen

Die reinen Zahlen legen bereits den Verdacht nahe, dass ein solcher Ansatz nicht die beste Antwort auf die zweifellos gewachsene Bedrohungslage für Unternehmen ist. Viel hilft eben nicht immer viel – so auch in diesem Fall. Denn interessanterweise schätzen gerade die Befragten, die mehr als 50 Security-Tools im Einsatz haben, ihre eigenen Fähigkeiten, einen Angriff zu erkennen, geringer ein als die Firmen, die mit weniger Werkzeugen auskommen.

Dieses mangelnde Vertrauen ist nur vordergründig eine Überraschung. Bekanntlich ist die Zeit ein entscheidender Faktor, wenn es um die Abwehr von Cyberattacken geht. Je früher ein Angriff oder eine Anomalie im Netzwerk erkannt wird, umso schneller können Gegenmaßnahmen ergriffen werden. Insofern sind CISOs und Security-Mitarbeitende darauf angewiesen, dass die verschiedenen Tools miteinander kommunizieren und die Ergebnisse möglichst zentral zusammenlaufen. Nur ist das leider in der Regel nicht so ohne Weiteres der Fall. Es wartet also die Aufgabe, die unterschiedlichen Lösungen über Schnittstellen miteinander zu verbinden, oder Schnittstellen zu schaffen. Der CISO wird damit zum Systemintegrator, was eigentlich nicht zu seinen Aufgaben gehören sollte. Um angesichts der aktuellen Herausforderungen schneller voranzukommen, wird ein weiteres Tool angeschafft, um bereits vorhandene Lösungen miteinander zu verbinden.

Mit einer wachsenden Zahl an Werkzeugen wächst zwangsläufig die Komplexität an vielen Fronten. Denn die unterschiedlichen Tools müssen ja nicht nur dazu gebracht werden, miteinander Daten auszutauschen oder sie wenigstens an ein zentrales Dashboard zu liefern. Es steigen auch die Aufwände für die Pflege und Wartung der Anwendungen. Denn bei sicherheitsrelevanten Anwendungen sollte es sich von selbst verstehen, dass Updates und Patches so schnell wie möglich installiert werden.

Die größere Komplexität kann bei den Mitarbeitenden zum Stressfaktor werden. Denn jedes Sicherheitstool schreibt Log-Files, teilt den Status mit oder gibt Warnhinweise aus. Das alles muss zeitnah gesichtet und bewertet werden, um dann auch zu reagieren. Und das eigentlich am besten rund um die Uhr.

Diese Probleme können letztlich dazu führen, dass die Sicherheitstools selbst zum Unsicherheitsfaktor werden. Falsch und voreilig konfiguriert, nicht ausreichend gewartet, schwer in Einklang mit den Ergebnissen und Warnungen anderer Anwendungen zu bringen: So ergeben sich fast zwangsläufig Angriffsvektoren, die mit der Anschaffung der Werkzeuge doch eigentlich geschlossen werden sollten.

Tools allein lösen die großen Herausforderungen nicht

CISOs müssen sich heute gleich mehreren dringenden Herausforderungen stellen. Da ist zum einen die nachweislich gestiegene Bedrohungslage für Unternehmen selbst. Gleichzeitig werden IT-Landschaften immer komplexer und weitreichender. Edge- und Near-Edge-Computing, Mikroservices, Cloud und BYOD-Strategien öffnen immer weitere Angriffsvektoren. Gleichzeitig müssen auch CISOs stärker auf die Kosten achten und enge Budgetgrenzen einhalten, denn die konjunkturellen Aussichten haben sich in allen Wirtschaftszweigen deutlich eingetrübt. Und schließlich gibt es einen ausgesprochenen Mangel an Fachleuten in Sicherheitsfragen. Die fehlenden Experten sind ohne Zweifel eines der größten Probleme. Oft bleibt Unternehmen gar keine andere Wahl, als Abstriche bei ihren Forderungen nach Qualifikationen zu machen. Das muss sich naturgemäß negativ auf das Arbeitsergebnis auswirken (Fehler bei der Konfiguration von Systemen, falsche Einschätzung zur Bedeutung von Warnhinweisen, unzureichende Reaktion auf einen echten Sicherheitsvorfall).

So reagieren viele Unternehmen auf naheliegende Weise: Mit der reflexhaften Anschaffung eines weiteren Sicherheitstools, das sich um neu aufgetauchte Risiken kümmern soll. Eine zweifelhafte Kur, denn damit steigt wiederum die Komplexität der IT-Landschaft an, die Mitarbeitenden müssen sich in ein weiteres Werkzeug einarbeiten und es beherrschen. Der Einstieg für neue Beschäftigte wird noch schwieriger.

Weniger ist auch hier mehr: Mitarbeitende und Budgets entlasten

Da Tools allein nicht die Antwort auf die Herausforderungen in der IT-Security sind, stellt sich die berechtigte Frage, wie CISOs am besten reagieren sollten. Zunächst sollte es darum gehen, die Mitarbeitenden stärker zu entlasten. Hier käme eine intensivere Nutzung von Automatisierungslösungen in Betracht. Rund um das Identitäts- und Zugriffsmanagements (IAM) fallen in der Regel viele zeitaufwendige manuelle Aufgaben an (OnBoarding neuer Beschäftigte, Änderungen, Trennung von Mitarbeitenden), die mit automatisierten Tools gut in den Griff zu bekommen sind.

Gleich zwei kombinierte Maßnahmen schaffen Ordnung in der Toolsammlung und bauen Komplexität ab. Zunächst sollten die größten Risiken, denen das Unternehmen ausgesetzt ist, identifiziert und bewertet werden. Die Fokussierung auf diese Hauptrisiken legt damit die Richtung für das IT-Budget fest und bietet zugleich die Basis für den zweiten Schritt. In diesem werden die vorhandenen Security-Produkte neu bewertet. Damit finden CISOs heraus, welche davon am wichtigsten sind, können deren Nutzen überprüfen und bestimmen, welche tatsächlich wertvoll sind. Die Bewertung bietet zusätzlich die Option, eventuell mit den Anbietern erneut die Lizenzkosten zu verhandeln.

In vielen Organisationen wurden Sicherheitstools auf Ebene von Abteilungen angeschafft. Als Folge kommen die gleichen Werkzeuge teilweise mehrfach zum Einsatz – mit den entsprechenden Kosten. Im Rahmen einer Bestandsaufnahme sollte darauf geachtet werden.

Schließlich sollten ernsthaft die Möglichkeiten geprüft werden, welche Funktionen sich an Managed-Service-Anbieter auslagern lassen. Fähige Mitarbeitenden sind nicht nur schwer zu finden, sondern auch nicht einfach zu halten. Die Auslagerung von Aufgaben und die partnerschaftliche Zusammenarbeit mit externen Anbietern kann die notwendigen Freiräume schaffen, um einer Überlastung der Security-Experten vorzubeugen. Und finanziell attraktiv kann die Auslagerung durch die Einsparung direkter Lizenzkosten auch noch sein.

Mehr über uns erfahren Sie unter www.open-systems.com

Über den Autor

Moritz Mann ist Chief Strategy Officer bei Open Systems. Er studierte an der Dualen Hochschule Baden-Württemberg (DHBW) sowie London und hat einen Abschluss in Wirtschaftsinformatik und Business Administration.

[1] Siehe dazu: https://newsroom.ibm.com/2020-06-30-IBM-Study-Security-Response-Planning-on-the-Rise-But-Containing-Attacks-Remains-an-Issue