
IT-Sicherheit für digitale Innovationen + IT-Sicherheit gilt stets als die ungeliebte Nervensäge, wenn es um die schnelle Einführung von Innovationen in einem Unternehmen geht. Die Begeisterung für einen neuen Online-Service ist groß, doch dann kommt die IT-Sicherheitsabteilung und bremst die Euphorie. Es erscheint einfacher, diese lästige Nebensache zu übergehen, oder nur am Rande einzubinden. Doch dieser Eindruck ist falsch und birgt Gefahren.
IT-Sicherheit muss selbst innovativ sein
Dem alten Irrglauben, dass IT-Sicherheit auf Kosten der Innovation ginge, treten die Schweizer Experten von Airlock und ihre Partner vehement entgegen. Airlock veröffentlichte mit seinen Partnern Deloitte, eperi und SHE ein Whitepaper zu diesem Thema. Auf diese Veränderungen müssen Firmen reagieren, die Schutzmethoden müssen schnell angepasst werden können. Neue Applikationen, Daten und Services müssen zuverlässig abgesichert sein, sobald sie dem Internet ausgesetzt werden, egal ob On-Premise oder in der Cloud.
Wird der Applikations- und API-Schutz mitsamt dem dazugehörigen Access Management von Beginn an in sämtliche Geschäftsprozesse einbezogen, dann wissen die Verantwortlichen, wie sie ihre Maßnahmen gestalten müssen. Entwicklung der Neuerung und Absicherung mit Sicherheitslösungen gehen in einer DevSecOps Umgebung Hand in Hand. Wenn die Innovation dann im Internet den Kunden zur Verfügung gestellt wird, ist die Abschirmung vor kriminellen Attacken bereits gewährleistet. Die fatalen Auswirkungen eines erfolgreichen Angriffs fallen weg und die IT-Sicherheit wandelt sich vom ‚Verhinderer‘ zum ‚Beschleuniger‘ eines Geschäftsprozesses und zum Garanten eines langfristigen, weil sicheren Erfolges.
Moderne IT-Security ist mehr als nur Absicherung. Wer das Daten-Management optimiert, der verändert oft ganze Prozess-Landschaften. Die Konsequenz: Business- und IT-Logik müssen heute zusammengedacht werden und gerade bei der Sicherheit sind kohärente Gesamtlösungen gefragt. Ein modernes Sicherheitskonzept muss eine optimale Applikations- und Datensicherheit, eine überzeugende User Experience, eine hohe Kosteneffizienz und Verfügbarkeit vorweisen sowie ein umfassendes Compliance-Management beinhalten – und das alles bei schneller Bereitstellung von innovativen Services.
Nach Angaben der OWASP Top 10 wandeln sich die Bedrohungen und Schwachstellen auf der Applikationsebene von Jahr zu Jahr. Darum ist ein umfassender Schutz von Webapplikationen und neu auch von APIs eine kritische Aufgabe, um den Ausfall von Services, den Datenverlust und einen Reputationsschaden gegenüber Kunden und Partnern zu verhindern. Seit Anfang des Jahres ist nun auch die OWASP Top 10-Liste für API Security veröffentlicht worden.
Integrierte Security-Lösungen sind in Sachen Sicherheit und Benutzerfreundlichkeit optimal aufeinander abgestimmt. Für eine gute Nutzererfahrung sorgt unter anderem eine einfache Registrierung. Social Logins und Social Registration halten die Eintrittsbarriere darüber hinaus tief. Ein Consent Management überlässt dem Nutzer außerdem die Entscheidung, welche Anwendungen Zugriff auf seine Daten bekommen dürfen. Dazu können Nutzer durch Single Sign-on verschiedene Dienste in Anspruch nehmen, ohne eine erneute Authentisierung zu benötigen.
Prozesse vereinfachen und Kosten reduzieren, diese Treiber der Digitalisierung sind auch die Stärken eines vorgelagerten Security Hubs. Integrierte Sicherheitslösungen bauen auf eine kohärenten Systemarchitektur auf und garantieren damit einen attraktiven TCO. Wichtige Stichpunkte in diesem Zusammenhang sind deshalb Standardisierung und Konsolidierung für hohe Flexibilität und schnelle Time-to-Market. Die konsolidierte Sicherheitsarchitektur stellt außerdem sicher, dass unterschiedliche Maßnahmen wie Authentifizierung, Access Management und der Schutz vor Angriffen an einem zentralen Ort verwaltet werden.
Unternehmen müssen heute in kürzeren Zyklen innovative Services lancieren. Neue Software-Lösungen müssen jedoch auch sicher sein, sonst wird das Vertrauen der Kunden aufs Spiel gesetzt. Ein Weg ist hier die Implementierung von Sicherheitsprozessen in agile DevSecOps-Projekte, um Entwicklung und Sicherheit unter einem Dach zu vereinen.
Ob Finanzdienstleister, Krankenhäuser, Versandhäuser oder Tourismus– verschiedene Branchen unterliegen unterschiedlichen Regularien. Darum erfüllen integrierte Sicherheitslösungen standardmäßig eine Vielzahl von Compliance-Richtlinien und dienen zudem als vorgelagerter Durchsetzungspunkt für Richtlinien über alle Applikationen und Services hinweg.
Zahlungsanbindungen, Kundenkonten, Lagerbewirtschaftung: wenn digitale Services ausfallen, stehen oft zentrale Unternehmensaktivitäten still. Darum sind Hochverfügbarkeit und eine Ausfallsicherheit von mindestens 99.99% ein wichtiges Sicherheits-Feature, um selbst bei schweren Angriffen eine lange Downtime zu vermeiden.
Schlussfolgerung
Die digitale Transformation erfordert, dass die IT-Sicherheit als Business-Enabler und nicht als Business-Verhinderer betrachten wird. Um diese Aufgabe zu meistern, bedarf es eines Secure Access Hubs, der aus drei zentralen Komponenten besteht: einem cIAM für das zentrale Access-Management, einer WAF für den Schutz von Web Applikationen vor externen Angriffen und einem API Security Gateway für den Schutz von Schnittstellen.
Autor: Gernot Bekk-Huber, Senior Product Marketing Manager bei Airlock, einer Security-Innovation der Ergon Informatik AG
Fachartikel

ChatGPT bei der Arbeit nutzen? Nicht immer eine gute Idee

Das Aktualisieren von Software-Agenten als wichtige Praktik der Cyberhygiene auf MSP-Seite

Kosteneinsparungen und Optimierung der Cloud-Ressourcen in AWS

CVE-2023-23397: Der Benachrichtigungston, den Sie nicht hören wollen

Wie sich kleine und mittlere Unternehmen proaktiv gegen Ransomware-Angriffe wappnen
Studien

Studie zeigt 193 Millionen Malware-Angriffe auf Mobilgeräte von Verbrauchern im EMEA-Raum

2023 State of the Cloud Report

Trotz angespannter Wirtschaftslage: die Security-Budgets steigen, doch der IT-Fachkräftemangel bleibt größte Hürde bei Erreichung von Security-Zielen

BSI-Studie: Viele Software-Produkte für Onlineshops sind unsicher

Wie Cloud-Technologie die Versicherungsbranche revolutioniert
Whitepaper

Aufkommende Trends in der externen Cyberabwehr

Cyber-Sicherheit für das Management – Handbuch erhöht Sicherheitsniveau von Unternehmen

Aktueller Datenschutzbericht: Risiko XXL am Horizont

Vertrauen in die Lieferkette durch Cyber-Resilienz aufbauen

TXOne Networks und Frost & Sullivan veröffentlichen Jahresbericht 2022 über aktuelle Cyberbedrohungen im OT-Bereich
Unter4Ohren

Optimierung der Cloud-Ressourcen und Kosteneinsparungen in AWS

DDoS – der stille Killer

Continuous Adaptive Trust – mehr Sicherheit und gleichzeitig weniger mühsame Interaktionen

Datenschutz und -kontrolle in jeder beliebigen Cloud bei gleichzeitiger Kostensenkung, Reduzierung der Komplexität, Verbesserung der Datenverfügbarkeit und Ausfallsicherheit
