IT-Sicherheit braucht ein Gesamtkonzept
Die it-sa in Nürnberg hat ihre Tore geschlossen, Hersteller von IT-Security-Komponenten haben viele Neuigkeiten vorgestellt. Aber wie pickt man sich aus dieser Fülle genau die Tools heraus, die das eigene Unternehmen sicherer machen? Joachim Astel und Stefan Keller, Vorstände des IT-Dienstleisters und Rechenzentrumsbetreibers noris network, diskutieren in dem Interview auf it-daily.net über das Gesamtkonzept, in dem die vielen auf der it-sa vorgestellten Tools dann tatsächlich deutlich mehr Sicherheit schaffen.
Interview mit Joachim Astel und Stefan Keller, Vorstände des IT-Dienstleisters und Rechenzentrumsbetreibers noris network
Joachim Astel: „Positiv ist zu vermerken, dass der Stellenwert der IT-Sicherheit in den Unternehmen, aber auch in der Öffentlichkeit, erneut gestiegen ist. Das habe ich in meinen vielen Gesprächen schon deutlich wahrgenommen. Die Verantwortlichen in den Unternehmen wissen auch, dass sie laufend in die IT-Sicherheit investieren müssen – sowohl in Tools wie auch in kompetentes Personal. Letzteres fällt angesichts der Lage auf dem Arbeitsmarkt für IT-Fachleute aktuell aber besonders schwer. Die Suche zusätzlicher Fachleute ist schon recht mühsam. Und dann kommt hinzu, dass in solchen Zeiten auch die Personalfluktuation zunimmt und immer wieder Löcher in die Personaldecke reißt.“
Stefan Keller: „Gleichzeitig betreiben viele Unternehmen veraltete Rechenzentren, die nur schwer auf dem Stand zu halten oder zu bringen sind, den neue behördliche, konzerninterne und gegebenenfalls aufsichtsrechtliche Auflagen fordern. Viel Budget fließt in IT-Projekte, die das Angebot der Unternehmen gegenüber den Kunden und damit ihre Wettbewerbsposition verbessern. Oder es werden Cloud-Architekturen aufgebaut und genutzt – da bleibt für Modernisierung, Betrieb und Sicherheit der Rechenzentren oft wenig übrig. Ja, es wird in Tools investiert, aber oftmals fehlt das Gesamtkonzept für die IT-Sicherheit.“
Sollen die Unternehmen denn nicht in neue Sicherheits-Tools und -techniken investieren? Was kritisieren Sie genau?
Stefan Keller: „Bitte nicht falsch verstehen. Fachmessen wie die it-sa sind wichtig, um Verbesserungen bei den Tools zu zeigen. Und natürlich muss laufend in modernere Tools investiert werden. Das tun wir bei noris network ja auch und zwar sehr massiv. Schon weil die Gegenseite der Angreifer ebenfalls nicht schläft und permanent aufrüstet. Aber das ist die Krux von Fach- und Spezialmessen: Die Aussteller sind kompetente Spezialisten, fokussieren mit ihren Tools auf bestimmte Angriffsarten, entwickeln leistungsstarke Tools für Botnet Interception, DDoS Protection und Mitigation oder Firewalls etc. Ich meine aber, dass die Gesamtarchitektur der IT-Sicherheit in den Unternehmen viel entscheidender ist. Auf so einer Messe geht für Besucher gelegentlich der Überblick verloren und sie sehen den Wald vor lauter Bäumen nicht mehr.“
Joachim Astel: „Das stimmt. IT-Sicherheit setzt ein schlüssiges Gesamtkonzept voraus, in das dann leistungsstarke Tools eingebettet werden müssen. Was nützt den Unternehmen eine Super-Firewall, wenn sie unzureichend gegen DDoS-Attacken geschützt sind? Wir lassen unsere Rechenzentren durch eine Vielzahl von Tools schützen. Die ersten Schutzwälle errichten wir mit Botnet Interception, unserem eigenen Backbone, DDoS Protection und gezielten Vulnerability Scans schon weit vor den Systemen in unseren Rechenzentren. Im Rechenzentrum selbst setzen wir auf Sicherheits-Tools wie zum Beispiel Log Cashes und Log Correlation mit Elasticsearch und SIEM-Systemen.“
Wo aber stecken nun genau die Mägnel, die Unternehmen beseitigen müssen? Was benötigen sie um ein umfassendes und abgestimmtes Schutzwall-System wirtschaftlich aufzubauen? Wie gelingt es, mit einem transparenten Reporting nach ISO 27001 die Management-Ebene einzubeziehen? Die Antworten auf diese Fragen finden Sie im dem vollständigen Interview auf it-daily.net.
Wenn IT-Sicherheit zur Kulturfrage wird
In dem Interview hebt Joachim Astel hervor, dass Service Management nach ITIL eine Frage der Unternehmenskultur ist, die deutlich mehr als nur technische Kompetenz voraussetzt. Einer ebenfalls veränderten Kultur steht gegenüber, wer die Migration von klassischer IT zu Cloud-Native-Anwendungen verantwortet. Dieser Umstieg ist mit neuen Techniken und Methoden verbunden. Microservices fokussieren stark auf ihre Kernfunktionen. Daraus entsteht bei der Migration die Gefahr, dass Sicherheitsaspekte vernachlässigt werden. Wie lassen sich diese Risiken in den Griff bekommen?
Die Sicherheit von Anwendungen, Daten und Netzwerken war in der klassischen Applikationsentwicklung eher eine von der Entwicklung unabhängige Aufgabe, somit eine Frage des abgesicherten Betriebs. Mit der Trennung von Entwicklungs-, Test- und Produktivumgebungen sowie technischen Einrichtungen wie Firewalls und Zugriffsschutz bildeten Security-Experten eine den Anwendungen vorgelagerte Verteidigungslinie.
Die Containertechnologie und die schnelle Entwicklung von Microservices bieten Unternehmen ungeahnte Flexibilität in der Bereitstellung skalierbarer Applikationen. Doch die bisher gültige Trennung von Entwicklung und sicherem Betrieb funktioniert in den neuen Strukturen nicht mehr. Im Bestreben immer schlanker zu entwickeln, steigt die Gefahr, Sicherheit zu vernachlässigen. Denn: Streng genommen müsste jeder Container mit eigenen Sicherheitsmechanismen ausgestattet werden. Laut Global Developer Report 2019 von GitLab haben allerdings 49 Prozent der befragten Sicherheitsprofis Schwierigkeiten damit, Entwickler dazu zu bringen, der Behebung von Sicherheitsschwachstellen die erforderliche Priorität einzuräumen. Das Abarbeiten von Checklisten ist kein Teil der Cloud-Native-Kultur.
Alternative Ansätze, mit denen sich die Risiken von Containern und Cloud-Native-Anwendungen in den Griff bekommen lassen, finden interessierte Leser in diesem Beitrag auf it-daily.net.
Weitere Informationen:
Ansprechpartner:
Ulrich Parthier
it Verlag GmbH, Rudolf-Diesel-Ring 21, 82054 Sauerlach
Telefon: +49-8104-649414, E-Mail: u.parthier@it-verlag.de
Die it verlag für Informationstechnik GmbH publiziert das Magazin it management mit dem Supplement it security. Im Online-Bereich stehen mit der News-Portal www.it-daily.net und diversen Newslettern wertvolle Informationsquellen für IT Professionals zur Verfügung. Mit eBooks, Whitepapern und Konferenzen zu Themen des Print-Magazins rundet der Verlag sein Angebot zu News aus der IT-Welt ab.
www.it-daily.net
IT Verlag für Informationstechnik GmbH
Ludwig-Ganghofer-Str. 51
83624 Otterfing
Telefon: +49 (8104) 649426
Telefax: +49 (8104) 6494-22
https://www.it-daily.net
Redaktion it management / it security
Telefon: +49 (8104) 6494-26
Fax: +49 (8104) 6494-22
E-Mail: s.parthier@it-verlag.de