•  

Kaufen um des Kaufens willen? Absurdes Kaufverhalten in der IT

Roland Messmer, Director Central Europe Fidelis Cybersecurity GmbH

Wenn Produkte und Funktionen für die IT-Sicherheit bezahlt, aber nicht genutzt werden + Wir kaufen uns heute lediglich die Option, Dinge zu benutzen + Viele Unternehmen und auch Behörden haben über die Jahre hinweg sehr komplexe und sich überschnei-dende Sicherheitslösungen aufgebaut. Dies gilt insbesondere für die Technologien für Cybersicherheit. Aufgrund von vertraglichen Beschränkungen, des Fachkräfte-mangels und der unzureichenden Schulungsmaßnahmen nutzen große Unternehmen und auch Behörden oftmals nur einen gewissen Prozentsatz des Funktionsumfangs einer Sicherheitslösung.

Von Vereinfachung und Fokussierung profitieren

Sie sollten die Anzahl der Cybersecurity-Lösungen im Unternehmen optimieren bzw. minimieren und die verbleibenden Lösungen in vollem Umfang nutzen. So können sie nicht nur von einem höheren Sicherheitsniveau, sondern auch von Kostenvorteilen profitieren. Um rationalisieren zu können, müssen IT-Manager wissen, was zu einer „Anhäufung“ führt und wie Sie es beenden können.

Zu viel gekauft, zu wenig genutzt, kein Schutz

Viele Unternehmen verfügen über diverse Cybersecurity-Lösungen von zehn bis 20 verschiedenen Anbietern – und dies bringt einen hohen Aufwand für die Administration und den Betrieb mit sich. Häufig nutzen sie nur ein Drittel oder noch weniger des Funktionsumfangs einer Lösung. Die meisten Unternehmen oder Behörden könnten mit einer komprimierten und zielgerichteten Anzahl von Cybersecurity-Lösungen ein ähnlich hohes Sicherheitsniveau – oder sogar auch ein höheres – erreichen. Aber wie kann es eigentlich zu dieser Situation der „Anhäufung“ kommen? Sie ist das Ergebnis von Verträgen und Verordnungen, von Übernahme-Effekten, von mangelndem bereichsübergreifendem Know-how im Bereich der IT-Sicherheit sowie der rasanten Weiterentwicklung der Bedrohungslandschaft.

So sollte eine klassische „Cybersecurity-Lösung“ aussehen

Eine klassische „Cybersecurity-Lösung“ sollte folgende Sicherheitslösungen umfassen: Firewalls, ein System für Intrusion Detection and Prevention (IDS/IPS), eine Lösung für die Malware-Erkennung und Abwehr, Data Loss Prevention (DLP), Forensik und Analyse sowie ein System für das Security und Event Information Management (SEIM). Viele Unternehmen und Behörden haben mehrere Varianten jeder dieser Lösungen im Einsatz, die sich häufig überlappen. Das liegt daran, dass aktuelle Lösungen oftmals die Tools der genannten Lösungskategorien vereinen und es daher zu Überschneidungen kommt. Deshalb ist es an der Zeit, sich mit der Evaluierung von Lösungen und deren Anschaffung zu befassen.

Nur „Gut“ ist nicht gut genug in der IT-Sicherheit

Viele Lösungen, die unter dem festgesetzten Preis gekauft werden, oder auch kostengünstige Lösungsvarianten, die technisch noch akzeptabel sind, bieten letztendlich nur eingeschränkten Schutz, da sie als Insellösung und nicht als Komponente einer ganzheitlichen Sicherheitsplattform erworben werden. So behaupten beispielsweise viele Anbieter von Malware-Lösungen, dass sie inhaltsorientiert arbeiten und DLP leisten können. Das würde bedeuten, dass sie Inhalte wie vertrauliche oder klassifizierte Daten, die sich in E-Mail-Anhängen verbergen, verschleierte Dateien oder Dateien, die in der Payload versteckt sind, erkennen und kennzeichnen können. Malware-Lösungen durchlaufen jedoch nur drei oder vier Ebenen der Dekodierung und Prüfung. Falls sie dort nichts finden, gehen sie davon aus, dass die Inhalte sicher sind. Eine DLP-Lösung muss jedoch die gesamte Session in Echtzeit dynamisch entpacken und dekodieren, insbesondere dann, wenn sich streng vertrauliche und schützenswerte Informationen im Netzwerk befinden.

In Schulungen und Weiterbildung investieren

Die Bemühungen, die kostengünstigsten Lösungen zu finden, können auch dazu führen, dass Unternehmen und Behörden Software erwerben ohne in Schulungen oder Support zu investieren. Sicherheitsspezialisten in den Unternehmen und Behörden sind heute ausgelastet und arbeiten unter Hochdruck. Zudem verfügen sie über zu wenig Zeit, sich kontinuierlich weiterzubilden und den maximalen Nutzen aus jedem Produkt ihres Stacks zu ziehen. Zu viele Lösungen zwingen Sicherheitsverantwortliche dazu, sich breit aufzustellen ohne in die Tiefe zu gehen, so dass leistungsstarke Funktionen ungenutzt bleiben. So verfügen beispielsweise viel Unternehmen über SIEM-Lösungen, um die Logdaten jedes Produkts im Cybersecurity-Stack zu sammeln, doch die Funktionen für die Korrelation der Daten bleiben weitestgehend ungenutzt.

Einheitliche, integriete Gesamtlösungen sind gefordert

Darüber hinaus bremsen eine hohe Anzahl an Silo-Lösungen, die sich theoretisch an der Defense-in-Depth-Strategie für umfassenden und tiefgreifenden Schutz orientieren, eine gesamtheitliche Betrachtung aus. Cyberkriminelle können ihren Nutzen daraus ziehen, wenn die Sicherheit lediglich von einem Einzelprodukt oder einer Produktkategorie abhängt als von einer orchestrierten, einheitlichen Gesamtlösung.

Die vertraglichen Anforderungen werden oft von Spezialisten einer Produktkategorie verfasst, was zu Ausschreibungen führt, die sich auf bestimmte Lösungsbereiche konzentrieren – zum Nachteil des End-to-End-Schutzes. Diese Situation verschärft sich, wenn Abteilungen neue Aufforderungen zur Angebotsabgabe mit einer alten Vorlage herausgeben. Da die Produktkategorien in der Cybersicherheit immer mehr zusammenwachsen, ist es jetzt an der Zeit, die Art und Weise, wie diese Lösungen erworben werden, zu verändern.

Die Anzahl an einzelnen Cybersecurity-Lösungen optimieren bzw. minimieren

Was Unternehmen benötigen, ist eine kontextbezogene Transparenz über die gesamte IT-Infrastruktur hinweg – von der Cloud über das eigene Netzwerk bis hin zu den Endpunkten. Die Investitionen in den Unternehmen und auch im öffentlichen Sektor steigern zwar, doch um die Sicherheit wirklich zu maximieren, müssen die Anschaffungen übergreifend organisiert sein. Um dies zu erreichen, müssen IT-Manager eine vollständige Analyse der Anforderungen durchführen und die Systemanforderungen verstehen – und sich von dem Blick auf Einzelprodukte lösen. Als nächstes sollten sie ihren „Technologie-Zoo“ unter die Lupe nehmen, Überschneidungen und mögliche Lücken identifizieren und analysieren sowie eine Integration in Betracht ziehen. Zudem sollten IT-Verantwortliche die Assets ihrer Cybersecurity-Lösungen kontinuierlich klassifizieren.

Immer einen Schritt voraus sein

Obgleich das Internet of Things (IoT) ein enormes Potenzial bietet, bedeutet es auch, dass IT-Manager zu jedem Zeitpunkt den Status jedes Geräts kennen müssen, um ihr Netzwerk schützen zu können. Schließlich könnte ein neues oder unbekanntes Gerät im Netzwerk der Einstiegspunkt für potenziellen Angriff sein. Zudem sollten Unternehmen und Behörden die Bedeutung von Ausbildung und Trainings nicht unterschätzen, sowohl in Bezug auf die Lösungen ihres Stacks als auch in Bezug auf die allgemeinen Taktiken und Techniken der Cyberkriminellen. Da Hacker sich weiterentwickeln, sollten es auch Sicherheitsverantwortliche tun. Die Weiterbildung sollte bei dem Erwerb jeder neuen Technologie und Lösung einbezogen werden. Unternehmen und Behörden müssen die Mittel und die Zeit für eine kontinuierliche Fortbildung und Zertifizierung ihrer IT-Mitarbeiter bereitstellen.

„Weniger ist mehr.“ (Robert Browning, englischer Dichter, 1812 – 1889)

Das Beschaffungswesen für Cybersecurity-Technologien umfasst heute meist mehr als zehn verschiedene Kategorien – mit Produkten verschiedener Hersteller in jeder Kategorie. Dies ist zu viel für Sicherheitsteams, die diese verstehen sowie effizient integrieren, einsetzen und pflegen müssen. Verzichten Unternehmen und Behörden auf überflüssige Lösungen, können sie eine kontextabhängige Transparenz schaffen – über alle Ebenen ihrer IT-Umgebung hinweg, das Netzwerk und die Vorgänge im Netz, die Endpunkte, die Cloud und IoT. Nur so können Sicherheitsteams effizienter und effektiver arbeiten. Nur so können Unternehmen und Behörden Übersichtlichkeit schaffen und eine ganzheitliche Sicht auf Bedrohungen erhalten. Zudem reduzieren sie damit die Kosten und vermeiden Frustration bei den Mitarbeitern, die aufgrund zu komplexer IT-Umgebungen auftreten kann. Es mag einige Zeit dauern und neue Denkansätze hinsichtlich der Anschaffungen und der Verträge erfordern, aber es ist zwingend notwendig, dass Unternehmen und Behörden damit beginnen, außerhalb der von gängigen Normen und Lösungsansätzen zu denken. Es ist die Sicherheit, die auf dem Spiel steht.

Autor: Fidelis Cybersecurity GmbH – Roland Messmer – Director Central Europe
https://www.fidelissecurity.com/
https://www.fidelissecurity.com/contact-us

Autor: Roland Messmer

Diesen Artikel empfehlen