Securing Your Digital Business

So schützen Sie Ihr digitales Geschäft

Ein Interview mit Josh Shaul, Vice President, Web Security Products

Was müssen CIOs und andere Führungskräfte aktuell über die Informationssicherheit wissen, um sich einen Vorsprung zu sichern?

Wir befinden uns in einem neuen Zeitalter der Informationssicherheit. Das traditionelle Abschottungsmodell, bei dem die Unternehmensdaten, -anwendungen und -netzwerke durch Firewalls und andere Sicherheitsmaßnahmen von der Außenwelt abgegrenzt wurden – und auf das sich Unternehmen über Jahrzehnte verlassen haben –, verliert zunehmend an Relevanz. Anwendungen, Daten und Nutzer befinden sich zunehmend außerhalb der Firewall und in der Cloud und nutzen hierbei das öffentliche Internet. Sie haben also die Trutzburg des abgeschotteten Unternehmens verlassen, sodass traditionelle Sicherheitssysteme letztlich ein leeres Gebäude bewachen.

Woher kommt diese Entwicklung hin zur Cloud?

Heutzutage lebt jedes Unternehmen in einer digitalen Welt – das Internet ist für die Infrastruktur zum „Land der unbegrenzten Möglichkeiten“ geworden. Es ist die primäre Verbindung zwischen cloudbasierten Workloads und lokalen Daten und Anwendungen. Das Internet verbindet Millionen – wenn nicht Milliarden – vernetzter Geräte, die gemeinsam das Internet of Things, also das Internet der Dinge, bilden.

Es gibt verschiedenste Gründe, aus denen Unternehmen sich der Cloud zuwenden müssen:
  • Erstens, um Kunden schnelle und ansprechende digitale Erlebnisse zu bieten. Ihre Erwartungen an Geschwindigkeit, Zuverlässigkeit und Personalisierung von Web- und mobilen Erlebnissen steigen täglich weiter an. Mittlerweile gilt: „Langsam“ ist das neue „Nicht verfügbar“. In unserer digitalen Wirtschaftswelt gibt es immer Alternativen, zu denen ungeduldige Kunden abwandern können.
  • Zweitens, um die Produktivität der Mitarbeiter zu steigern. Heutzutage arbeiten viele Mitarbeiter im Homeoffice, unterwegs oder direkt am Kundenstandort und benötigen dabei sicheren Zugang zu ihren Systemen und Anwendungen – überall auf der Welt und auch unterwegs.
  • Drittens, um die Zusammenarbeit mit Geschäftspartnern zu koordinieren. Unternehmen verlassen sich heutzutage auf eine Vielzahl digitaler Zulieferer, Partner und Auftragnehmer auf der ganzen Welt. Und all diese Partner benötigen sicheren, schnellen und zuverlässigen Zugang zu Teilen der Unternehmensdaten und -anwendungen.
  • Und viertens, um den digitalen Wandel voranzutreiben. Unternehmen müssen Cloudressourcen nutzen, um Unternehmensprozesse zu digitalisieren und zu beschleunigen, Produkte und Services durch Technologie zu optimieren, neue digitale Anwendungen für Kunden anzubieten, neue Märkte zu erschließen und ihre Marke global zum Erfolg zu führen.

Wie wirkt sich diese Entwicklung auf die Unternehmensrisiken aus?

Digitale Unternehmen verlassen sich heute häufig darauf, dass das Internet die Geschwindigkeit, Zuverlässigkeit und Sicherheit bietet, die für ihre Ziele erforderlich sind. Das Internet wurde jedoch nicht mit diesem Ziel entwickelt und wird diesem Ruf nicht einmal unter besten Bedingungen gerecht. Gleichzeitig können Cyberangriffe jedoch äußerst schwere Folgen für Umsatz, Geschäftsbetrieb und Markenruf nach sich ziehen.

Das Rückgrat digitaler Unternehmen – also ihre Websites und cloudbasierten Anwendungen – ist der ständigen Bedrohung durch Angriffe von Cyberkriminellen ausgesetzt. Die APIs, die als Verbindungsstück zwischen Anwendungen und digitalen Erlebnissen dienen, schaffen Lücken in der Sicherheit und eröffnen Angreifern den Zugang zu Hunderten oder gar Tausenden neuer Endpoints, die sie ausnutzen können. VPNs, Zugriffskontrollen, sichere Speicher für Anmeldedaten, Authentifizierungssysteme ... all diese traditionellen Sicherheitsmechanismen sind in Wahrheit potenzielle Angriffspunkte.

Und es ist nicht nur die Verteilung der Infrastruktur und Daten auf die Cloud, die neue Risiken schafft. Es sind eben die Prozesse, die bei der Erstellung der Anwendungen und digitalen Erlebnisse zum Einsatz kommen. Schließlich müssen immer mehr Personen auf Software, Netzwerke und Systeme zugreifen, um die Anwendungen zu entwickeln und zu managen, die für die digitale Strategie eines jeden Unternehmens erforderlich sind.

Doch auch wenn sich Unternehmen der Cloud zuwenden, bleiben die Anforderungen an Sicherheit, Schutz vertraulicher Daten und Compliance gleich. Das bleibt das immer gleiche Spiel. Doch Angriffsfläche und Risiken nehmen zu und müssen auf neue Weise bekämpft werden. Die große Herausforderung für CIOs im digitalen Zeitalter: Die Netzwerke, auf die sich die Unternehmen täglich stärker verlassen, werden immer weiter in der Cloud verteilt. Sicherheit und Compliance sind die Grundpfeiler, die es zu schützen gilt. Unternehmen müssen die Cloud nutzen, und sie müssen die Sicherheit in der Cloud gewährleisten.

Wie verändert sich die Bedrohungslandschaft heute?

Bei den Angreifern von heute handelt es sich nicht mehr nur um Cyberkriminelle, die mit fortschrittlichsten Ressourcen und Tools arbeiten. Jeder Nutzer kann heutzutage komplexe und weit verteilte Angriffe durchführen. Durch kostenlose und äußerst raffinierte Toolsets sowie mietbare Angriffsservices sind nicht mehr nur Cyberkriminelle, sondern auch Neulinge in der Lage, globale Websites mit DDoS-Angriffen in die Knie zu zwingen – für einen Bruchteil der Kosten und mit deutlich weniger Aufwand und Komplexität.

Und die Attacken lassen sich nicht nur immer einfacher durchführen, sondern werden auch stetig komplexer und gefährlicher. In der Vergangenheit bestand das größte Risiko darin, dass vertrauliche Produktdateien gestohlen oder Netzwerkpasswörter kompromittiert wurden. Heutzutage müssen digitale Unternehmen jedoch Hunderte neue Exploits auf dem Schirm haben, die vor einigen Jahren noch wie Science-Fiction gewirkt hätten: Malware, die Dateien als Geisel nimmt, um ihre Besitzer zu erpressen, Scraper-Bots, die Kreditkartendaten in der einen Mikrosekunde erfassen können, in der sie sich unverschlüsselt im Arbeitsspeicher befinden, und koordinierte Angriffe mit ganzen Armeen vernetzter IoT-Geräte, wie z. B. Thermostate, smarte Glühbirnen und WLAN-Router, die ganze Sites ausfallen lassen. Und in jedem einzelnen Fall kann traditionelle Sicherheit einfach nicht den Schutz bieten, der in unserer cloudbasierten Welt erforderlich ist.

Welche neuen Ansätze sorgen für Sicherheit?

Unternehmen benötigen nicht nur einen neuen Ansatz, um die Sicherheit zu gewährleisten, sondern auch um überhaupt erst ihre Sicherheitsanforderungen zu ermitteln.

Was die Bereitstellung angeht, benötigen wir Sicherheit, die optimal zur Funktionsweise der Cloud passt und die Eigenschaften des Internets zu ihrem Vorteil nutzt – und nicht dagegen ankämpft. Wenn Unternehmens-Assets verteilt sind, muss auch ihr Schutz verteilt sein. Traditionelle Ansätze zentralisierter Sicherheit können diese Anforderung einfach nicht erfüllen, und es ist äußerst unpraktisch – wenn nicht unmöglich –, die gesamte Sicherheitsarchitektur in die Cloud zu verlagern.

Bei Akamai gehen wir von zwei Annahmen aus: Erstens: Der Netzwerkrand umfasst nicht mehr nur das Unternehmen, sondern die gesamte Cloud. Oder besser gesagt: Es gibt keinen Netzwerkrand mehr. Und zweitens: Wir arbeiten mit einem sogenannten Zero-Trust-Netzwerk. Das bedeutet, dass sämtlicher Traffic potenziell verdächtig ist. Unter diesen Bedingungen muss Sicherheit allgegenwärtig sein und sich nach Nutzern, Daten und Anwendungen richten – egal, wo sie sich befinden.

Sicherheit, Richtlinien und Kontrollen müssen vom Unternehmen an den Rand der Cloud verlagert werden. Sicherheit wird damit umfassender und mobiler. Ein Beispiel: Wenn Sicherheit nicht länger an eine bestimmte Infrastrukturkonfiguration gebunden ist, können Unternehmen bei einem Ausfall des Internetproviders einfach zu einem anderen Provider wechseln. Dabei können sie sich darauf verlassen, dass Nutzer, Anwendungen und Daten auch in der neuen Umgebung geschützt sind.

Und welches Sicherheitsdesign empfehlen Sie?

Unternehmen versuchen für gewöhnlich, ein Maß an Schutz zu erreichen, das auf dem Wert und der Vertraulichkeit der entsprechenden Assets basiert. So erhalten beispielsweise Kundendaten häufig zusätzliche Schutzmaßnahmen. Aber dieser rudimentäre Ansatz bietet keine sonderlich detaillierte Abstufung: Es ist einfach nur zusätzlicher Schutz. Ja oder Nein. Schwarz oder Weiß. Und das ist nur die eine Seite. Die andere ist, wie Assets durch Anwendungen bzw. Übertragung offengelegt werden. Welche spezifischen Gefahren bestehen für das Unternehmen, und wie lassen sie sich abwehren? Spielen Sie einen Angriff durch, und bewerten Sie verschiedene Verlustszenarien. Die Kombination aus Asset-Wert und potenzieller Offenlegung sollte die Taktik für den Schutz ergeben.

Auf Makroebene können Unternehmen den Prozeduren und Best Practices folgen, die in internen Standards, Branchenpraktiken und gesetzlichen Bestimmungen enthalten sind – und sind dennoch nicht vor Cyberangriffen geschützt. Grund dafür ist, dass sich die Bedrohungs- und Sicherheitslandschaft wie erwähnt in ständiger Bewegung befindet. Das Ziel ist es, agil genug zu sein, um schnell auf neue Gefahren zu reagieren. Und das schreit nach einer flexiblen Sicherheitsplattform, nicht nur nach einer Sammlung aktueller Punktlösungen. Entwickeln Sie Ihren Sicherheitsansatz also mit Blick auf künftige Flexibilität und umgehenden Schutz.

Wie funktioniert verteilte Sicherheit?

In der Cloud gilt: Je größer, desto besser. Die Performance- und Sicherheitsanforderungen einer Cloud-Delivery-Plattform lassen sich einfach nicht ohne massive Skalierung und Verteilung erreichen. Deshalb nutzt Akamai mehr als 200.000 Server in 130 Ländern auf der ganzen Welt, die jederzeit ca. 30 Prozent des globalen Webtraffics übertragen.

Durch umfassende Skalierung und Verteilung entsteht zudem umfangreiche Transparenz in Form von riesigen Mengen an Echtzeitdaten über Nutzer sowie die Endpoint-, Netzwerk- und Internetperformance. Diese Informationen bilden das Rückgrat des Sicherheitsansatzes mit Netzwerkrand in der Cloud. Sie bieten unvergleichliche Echtzeiteinblicke in neue Exploits, einschließlich aller Angriffe auf sämtliche von uns unterstützte Unternehmen.

Mithilfe dieser Echtzeit-Sicherheitsinformationen können sich die Schutzmaßnahmen in derselben Geschwindigkeit entwickeln wie die Bedrohungen, sodass Angriffe auf Webanwendungen und DDoS-Attacken schon am Rand des Internets aufgehalten werden. So kann Akamai die meisten Angriffe innerhalb eines Netzwerk-Hops vom Angreifer blockieren. Der schädliche Traffic gelangt damit gar nicht erst in die Nähe der Rechenzentren des Unternehmens.

Sie können Traffic nur dann schneller routen als das Internet, wenn Sie überall gleichzeitig sind und jeden erdenklichen Pfad messen und vergleichen. Sie können nur dann neue Sicherheitsbedrohungen erkennen, wenn Sie sich in dem Netzwerk befinden, in dem sie entstehen – überall auf der Welt. Und Sie können sich nur dann zuverlässig vor DDoS-Angriffen schützen, wenn Ihre Kapazität die der Attacke übersteigt. Das Motto lautet also: Je größer, desto besser.

Wie können Unternehmen ihren Schutz mit cloudbasierter Sicherheit neu konfigurieren und optimieren?

Im Grunde dreht sich alles um den Zugriff. Wir müssen Nutzern Zugang zu Anwendungen und Daten bieten – unabhängig davon, ob sich diese in der Cloud oder im traditionellen Rechenzentrum befinden. Hierzu müssen wir Zugriffsmethoden bereitstellen, die eine riesige potenzielle Angriffsfläche für Cyberkriminelle bieten. Wie können Unternehmen also schnellen, einfachen und sicheren Remotezugriff bieten, mit dem Kriminelle ferngehalten werden, ohne dass der normale Geschäftsbetrieb beeinträchtigt wird? Schauen wir uns hierzu zwei Beispiele an.

Beim traditionellen Sicherheitsmodell mit Firewall gewähren Sie externen Nutzern den Zugriff auf das Unternehmensnetzwerk für gewöhnlich per VPN. Manchmal kommen hierbei sogar spezielle Unternehmenslaptops zum Einsatz, auf denen der Zugang vorkonfiguriert ist. Leider stellt der VPN-Zugriff einen potenziellen Angriffsvektor dar, der in der Vergangenheit schon häufig die Grundlage vieler nennenswerter Sicherheitsvorfälle bildete. Die bessere Alternative: Verbinden Sie Anwendungen hinter der Firewall nur mit einer kleinen Webanwendung, die dann über das öffentliche Internet verfügbar ist. So verhindern Sie, dass Sie VPN-Nutzern Zugang zum gesamten Netzwerk gewähren, da der Connector der Firewall nur mit der entsprechenden Anwendung und nicht mit dem Rest des Netzwerks kommunizieren kann.

Ein anderes weit verbreitetes Szenario ist der Zugriff auf Unternehmensanwendungen von Niederlassungen aus. Traditionell würde man das Niederlassungsnetzwerk mit einem privaten WAN und dieses wiederum mit dem Unternehmensrechenzentrum verbinden, damit sich der Traffic innerhalb des Unternehmensnetzwerks befindet und durch die klassische Firewall geschützt ist. Aber was passiert, wenn ein Mitarbeiter in der Niederlassung über eine direkte Verbindung auf das öffentliche Internet zugreift? Dann fallen alle Schranken. Die Verbindung kann einfach von Malware, Phishing-Angriffen und anderen Bedrohungen ausgenutzt werden – alles außerhalb der Unternehmenssicherheit.

Akamai verfolgt dazu folgenden Ansatz: Wir überwachen Serviceanfragen mit Domänennamen im gesamten Internet in Echtzeit und weisen entsprechenden Domänen eine intelligente Risikobewertung zu. Nutzern wird dann umgehend und automatisch der Zugriff – ob versehentlich oder absichtlich – auf die schädlichen Domänen und Services verwehrt. Diese Bewertung erfolgt in Millisekunden, noch bevor eine IP-Verbindung hergestellt wurde, sodass Bedrohungen schon sehr früh in der Kill Chain und somit weit entfernt vom Unternehmensnetzwerk aufgehalten werden.

Welche Punkte sind für CIOs und andere Führungskräfte im Bereich Geschäft und Technologie besonders wichtig?

Wenn Ihr Unternehmen noch nicht digital agiert, wird es bald so weit sein – und wenn Sie noch nicht auf die Cloud setzen, ist auch das nur eine Frage der Zeit. Und wenn es so weit ist, müssen Sie Kunden, Mitarbeitern und Geschäftspartnern bestmögliche und sichere digitale Erlebnisse bieten – unabhängig davon, wo sie sich befinden und welche Geräte sie nutzen.

Und da sich das digitale Geschäft von heute in der Cloud abspielt, müssen wir auch die Informationssicherheit in die Cloud verlagern. Der Schlüssel zu cloudbasierter Performance und Sicherheit sind umfassende Skalierung, Verteilung und Transparenz. Sie müssen wissen, was gerade wo passiert, um Bedrohungen in Echtzeit abwehren zu können.

Digitale Assets befinden sich längst nicht mehr sicher hinter der Unternehmensmauer und somit auch nicht länger unter der Kontrolle traditioneller Sicherheitsmaßnahmen. Und deshalb ist cloudbasierter Schutz ein absolutes Muss. Er kann die Sicherheit des Unternehmens deutlich steigern und gleichzeitig die Risiken minimieren. Durch ihn können Unternehmen das digitale Geschäft ohne Einschränkungen erfolgreich für sich nutzen und erweitern.

Verwandte CIO-Inhalte