Taking Enterprise Security to the Next Level

Unternehmenssicherheit – so gewinnen Sie die Aufholjagd

Ein Interview mit John Summers, Enterprise Vice President und General Manager, Akamai Technologies

Cyberbedrohungen kämpfen heutzutage mit allen Tricks. Welche davon müssen Führungskräfte im Unternehmen kennen?

Sie müssen erkennen, dass die Tage universeller Sicherheit vorüber sind. Bedrohungen sind heute speziell auf Ihr Unternehmen abgestimmt – dafür sorgen Kriminelle, die etwas Bestimmtes suchen, wie z. B. geistiges Eigentum oder personenbezogene und finanzielle Daten. Das erklärte Ziel kann aber auch sein, sich einzuschleusen und die Aktivitäten in Ihrem Unternehmen auszuspähen.

Die entsprechenden Akteure sind äußerst talentiert und können auf ausreichend Ressourcen zurückgreifen. Und einige der besten Hacker von Cyberverteidigungen arbeiten im Auftrag von Nationen. Sie sind hartnäckig und geduldig und geben ihr Bestes, um unentdeckt zu bleiben und die Interaktionen mit Ihrer Infrastruktur, Ihrem Unternehmen und Ihren Mitarbeitern alltäglich und harmlos wirken zu lassen. Es wird mit harten Bandagen gekämpft. Die Bedrohungen haben sich in den letzten Jahren immer weiterentwickelt und bergen heute ganz neue Herausforderungen für die Sicherheit.

Gleichzeitig gelten für Unternehmensführungen folgende Maximen: Sie müssen ihre Agilität steigern und Kunden und Geschäftspartnern sowie Liefer- und Vertriebsketten immer wieder einen Mehrwert bieten. In puncto Digitalisierung müssen Unternehmen immer die Nase vorn haben, um sich immer schneller weiterentwickeln zu können. Hierzu verbinden sie immer mehr Geräte, kommunizieren mehr und nutzen häufiger Cloudinfrastrukturen.

Während also die Cyberkriminellen immer raffiniertere Wege finden, in die technologische Infrastruktur einzudringen, müssen Unternehmen genau diese Infrastrukturen durchlässiger gestalten, um Verbindungen zuzulassen, mit deren Hilfe ihr Unternehmen wettbewerbsfähig bleibt. Cybersicherheit wird mit diesem zentralen Konflikt zu einem Kopf-an-Kopf-Rennen. Wie lassen sich Unternehmen so weit öffnen, dass sie schneller agieren können, sich aber dennoch vor allen Bedrohungen schützen?

Was müssen Unternehmensführungen über aktuelle Sicherheitsansätze wissen?

Im Grunde hat sich jeder Mitarbeiter in der Sicherheitsbranche früher einmal mit der Sicherheit auf Netzwerkebene befasst. Das war das Prinzip der Abschottung – als es noch ein Innen und ein Außen gab. Aber dieses Prinzip gilt längst nicht mehr. Hypervernetzte Unternehmen von heute betreiben Teile der Infrastruktur außerhalb des Unternehmens, und auch viele Mitarbeiter befinden sich nicht mehr im Firmengebäude. Sie sitzen nicht versteckt hinter hohen Wänden, sondern sind draußen bei den Kunden und Geschäftspartnern. Von diesen teils abgelegenen Standorten mit geschäftskritischen Anwendungen verbinden sie sich dann mit dem Netzwerk ihres Unternehmens.

Durch diese allumfassende Konnektivität geraten Sie mit dem alten Prinzip der Netzwerksicherheit in aktuellen Szenarien schnell ins Abseits. Wenn externe Nutzer eine Verbindung zu internen Anwendungen herstellen, liegt das Übertragungsnetzwerk – nämlich das Internet – außerhalb Ihrer Kontrolle, und die Sicherheitsmaßnahmen auf Netzwerkebene sind deutlich weniger effektiv bei der Erkennung und Abwehr von Cyberbedrohungen.

Mit welcher Sicherheitsstrategie sollten Unternehmen heute in den Ring steigen?

Die Sicherheitsperspektive muss sich weg vom Netzwerk und hin zu Nutzer-, Daten- und Anwendungsebene verschieben. Das sind die neuen Kontrollpunkte, an denen sich geschäftliche Interaktionen in der Welt der Cloudinfrastrukturen überwachen lassen. Sie müssen wissen, wer Ihre Nutzer sind. Sie müssen wissen, welche Anwendungen sie benötigen, und ihnen Zugriff auf nur diese Anwendungen gewähren. Und Sie müssen sicherstellen, dass zwischen Nutzern und Anwendungen die richtigen Daten übertragen werden – auf sichere Weise. Die Sicherheit hat sich also von „Paket, Port und Protokoll“ hin zu „Nutzer, Daten und Anwendungen“ entwickelt.

Die Herausforderung ist, dass wir deutlich mehr Sicherheitsmitarbeiter benötigen, die in diesen neuen Ansätzen und Kontrollmechanismen geschult sind. Und Anbieter müssen umdenken, was die Sicherheit immer weiter verteilter und hypervernetzter Unternehmen angeht. Mit Akamai sichern Sie sich die Poleposition, denn die sichere Bereitstellung von Inhalten über das Internet ist schon seit langer Zeit unser Fachgebiet. Hier beschäftigen wir uns bereits seit 19 Jahren mit der Sicherheit auf Asset-Ebene – also Nutzer, Daten, Anwendungen und Geräte, die mit uns kommunizieren. Das beinhaltet starke Authentifizierung und Verschlüsselung sowie umfassende Transparenz, unabhängig vom genutzten Netzwerk.

Das Internet besteht aus ca. 15.000 verschiedenen Netzwerken. Wer in dieser Liga spielt, der weiß, dass Sicherheit auf Asset-Ebene der einzig logische Trumpf ist. Und wir freuen uns, die Erkenntnisse, die wir in den vergangenen 19 Jahren auf diesem Gebiet gewonnen haben, mit unseren Kunden zu teilen, um ihre Sicherheit auf das nächste Level zu heben.

Erzählen Sie uns doch einmal, was beim Schutz dieser Assets hinter den Kulissen passieren muss.

Sie benötigen umfassende Einblicke in diese Assets und ihr Verhalten, um zu bestimmen, wie vertrauenswürdig sie sind und wie hoch das Risiko ist, das von ihnen ausgeht.

Bereits im traditionellen Sicherheitsmodell wurden Nutzeridentitäten verwendet. Doch heute verwenden wir diese Identitäten, um auf Anwendungen zuzugreifen, einschließlich SaaS-Anwendungen, die sich nicht mehr im Rechenzentrum, sondern in der Cloud befinden.

Zur Erweiterung der Nutzeridentität müssen wir auch Informationen zum verwendeten Gerät kennen. Wird es vom Unternehmen gemanagt, oder handelt es sich um ein weitestgehend ungemanagtes Privatgerät? Sicherheitsrichtlinien und -praktiken müssen auch BYOD-Geräte beinhalten, um Nutzern die Arbeit zu erleichtern.

Wenn wir über Anwendungen in der Cloud verfügen, müssen wir darüber hinaus wissen, ob der Nutzer auch auf die richtige Anwendung zugreift und ob die Anwendung vertrauenswürdig, riskant oder gänzlich unbekannt ist. Dieser Aspekt ist äußerst wichtig, wenn beispielsweise Nutzer auf Spear-Phishing hereinfallen und auf E-Mail-Links klicken, die von vermeintlich bekannten Quellen stammen oder normale Geschäftsprozesse imitieren. Um mögliche Angriffe zu erkennen, müssen wir wissen, welche Daten an das Ziel übertragen werden und wie vertrauenswürdig das Ziel ist.

Und dann wären da noch die Daten. Wer sie schützen will, muss zunächst einmal verstehen, warum sie so wichtig sind. Sind die zwischen Nutzer und Anwendung übertragenen Daten geschäftskritisch, sind sie wichtig oder ist es eigentlich gänzlich egal, ob sie gestohlen werden? Immer mehr Unternehmen klassifizieren ihre Daten nach einem solchen Schema. Viele Verantwortliche sehen diese Klassifizierung als notwendig an, jedoch gehen nur wenige Unternehmen die Sache richtig an. Ein Verantwortlicher eines Finanzdienstleisters hat mir beispielsweise anvertraut, dass er Daten in nur zwei Kategorien aufteilt: „Daten, bei denen ich in Schwierigkeiten kommen kann, und alles andere.“

Wenn wir all diese Assets schützen wollen, müssen wir erkennen, dass Sicherheitsentscheidungen und -aktionen nicht mehr wie früher nach Schema F erfolgen können. Es geht nicht mehr einfach nur darum, IP-Adressen zuzulassen oder zu blockieren. Es gibt nicht mehr nur Schwarz und Weiß. Wir müssen unsere Sicherheitsentscheidungen deutlich differenzierter treffen, wir benötigen sehr viel detailliertere Einblicke in Aktivitäten, und wir müssen uns bei der Anwendung von Sicherheitsrichtlinien stärker auf Unternehmensrisiken konzentrieren.

Wie lauten die Vorteile eines risikobasierteren Cybersicherheitsmodells?

Ziel ist es, die Risiken für Unternehmen und Marken zu minimieren, ohne hierbei Innovation und Fortschritt zu behindern. Idealerweise ermöglichen Sicherheitspraktiken ein hohes Maß an Unternehmensagilität – damit das Unternehmen neue Anwendungen veröffentlichen kann, ohne dass es durch neue Releases auch neuen Risiken ausgesetzt wäre.

Das ist im Prinzip eine neue Taktik. Der Begriff „Sicherheit“ galt früher eher als ein Tor, das es zu öffnen galt, um Geschäftsziele zu erreichen. Und Sicherheitsexperten sahen sich hierbei oft als eine Art Pförtner, die Nutzern Aktivitäten erlauben oder verbieten sollten.

Stattdessen müssen Unternehmen beim Thema Sicherheit dahingehend beraten werden, wie sie die gesetzten Ziele mit geringstmöglichem Risiko und besten Chancen erreichen können. Sicherheit dreht sich um Risikobewertung und darum, die Risiken so weit zu senken, dass es für Unternehmen sinnvoll ist, die entsprechende Geschäftschance zu verfolgen. Hier müssen CSOs ihren Kollegen gewisse Risiken eingestehen. Denn ein Restrisiko bleibt immer – selbst wenn Sie mit einem Sicherheitsunternehmen zusammenarbeiten.

Können Sie uns ein Beispiel für Sicherheitspraktiken nennen, die Unternehmensagilität ermöglichen und mit denen sich Unternehmen agil an den Bedrohungen vorbei manövrieren können?

Wir haben mit dem digitalen Team eines großen Finanzdienstleisters zusammengearbeitet. Die Zielvorgaben lauteten: neue Anwendungen, schnelle Innovation und Tests und neuen Mehrwert für das Unternehmen. Sie wollten neue Anwendungen schnell bereitstellen können, ohne sich um die Sicherheit sorgen zu müssen. Gemeinsam haben wir ein Framework zur Anwendungsbereitstellung mit integrierter Sicherheitsebene entwickelt, damit alle Anwendungen von Grund auf skalierbar und sicher waren.

Die Sicherheitstools, die sie für Tests und Überwachung, Authentifizierung und Zugriffskontrolle nutzten, waren allesamt in das Framework integriert. Die Entwickler konnten also einfach ihre Arbeit machen und neue Anwendungen erstellen. Sicherheit war plötzlich kein zusätzlicher Schritt mehr, sondern wurde einfach integriert. Das Sicherheitsmodell hat sich also weg von einer Hürde, hin zu einer Steilvorlage entwickelt.

Doch mit diesem Ansatz sind wir noch lange nicht am Ende. Anwendungen nutzen immer häufiger APIs und intermaschinelle Kommunikation. In den meisten Unternehmen wird die Sicherheit von Kommunikation zwischen Maschinen, APIs oder Software kaum beachtet. Verantwortliche verbinden einfach eine Reihe verschiedener APIs und fügen an genau der Stelle, an der die Anwendung mit dem Internet oder dem Nutzer kommuniziert, eine Sicherheitsebene hinzu.

Wenn die sichere Kommunikation jedoch schon auf API-Ebene integriert wird, bietet das deutliche Vorteile für alle Anwendungen, die die entsprechenden APIs nutzen. So wird die Sicherheit rund um die Daten, die die API senden und empfangen darf, in die Software integriert. Anwendungen können schneller bereitgestellt werden und bieten ein höheres Maß an Sicherheit.

Hierbei lautet das grundlegende Prinzip, dass die Sicherheit bereits bei der Entwicklung der Unternehmensinfrastruktur berücksichtigt und in diese Infrastruktur integriert werden muss – und nicht später hinzugefügt wird. Sie sollten bereits bei der Erstellung neuer Daten über die Bedeutung der Sicherheit nachdenken, anstatt zu einem späteren Zeitpunkt zu versuchen, eine Sicherheitsklassifizierung hinzuzufügen. Wenn Sie Anwendungen bereitstellen, sollte die Sicherheit bereits implementiert sein. Das ist die nächste Entwicklung im Bereich der Sicherheitspraktiken, die Unternehmen berücksichtigen sollten.

Wie können Unternehmen mit stärkerer Asset- und risikobasierterer Sicherheit ins Rennen gehen?

Wenn Sie die Sicherheit stärker in Ihr Unternehmen integrieren wollen, sollten Sie sich auf Unternehmensprozesse und nicht auf die Infrastruktur konzentrieren. Sehen Sie sich die Daten an, die in den verschiedenen Schritten eines Prozesses ausgetauscht werden, und bewerten Sie die potenziellen Risiken für das Unternehmen, sollten die Daten bei einem dieser Schritte verloren gehen. Richten Sie dann die richtigen Sicherheitskontrollen ein, um festzulegen, wer an den entsprechenden Prozessen teilnehmen darf, welche Authentifizierung am Ende der Kommunikation erforderlich ist und welchen Beschränkungen und Kontrollen die Kommunikation unterliegt. Wenn Sie die Sicherheit bereits auf Ebene der Unternehmensprozesse berücksichtigen, ist die Integration auf Infrastrukturebene deutlich einfacher.

Darüber hinaus sollten Sie die Bereiche der Sicherheit und Anwendungsentwicklung enger miteinander verweben. Es wird zwar oft behauptet, die Sicherheit sei Aufgabe aller Beteiligten, aber Sie werden kaum all Ihre Entwickler zu Sicherheitsexperten ausbilden können. Aber Sie können ein Anwendungsframework schaffen, mit dem Ihre Mitarbeiter bei der Anwendungsentwicklung leichtes Spiel haben, weil die Sicherheit bereits integriert ist. Während dieses Prozesses erkennen Sie auch, welche zusätzlichen Kompetenzen rund um die Sicherheit auf Anwendungsebene und Mechanismen zur Zugriffskontrolle unter Ihren Sicherheitsmitarbeitern erforderlich sind.

Wie lautet Ihr abschließender Rat für CIOs und CSOs, die mit ihrer Cybersicherheitsstrategie zu Höchstform auflaufen möchten?

Zunächst einmal dürfen entsprechende Unternehmen nicht den Schritt zur Cloud fürchten. Im Gegenteil: Die Cloud bringt den entscheidenden Vorteil. Die Cloud kann Sie nicht nur dabei unterstützen, die Sicherheit zu steigern, sondern ermöglicht gleichzeitig mehr Agilität, gesteigerte Rentabilität und schnelleres Wachstum.

Zweitens sollten Sie das Zero-Trust-Prinzip verinnerlichen. Das heißt, Sie sollten davon ausgehen, dass sämtliche Ressourcen potenziell gefährlich sind, und Unternehmens- und Sicherheitsrichtlinien integrieren, die auf dieser Annahme beruhen. Denn nur in wenigen einfachen Fällen wissen Sie definitiv, ob etwas gut oder schlecht ist. Den Großteil der Sicherheitslandschaft umgibt eine riesige Grauzone. Sie müssen also bewerten, wie hoch das Risiko einer Ressource ist, und mit der Zeit Nachweise sammeln, um Ihre Sicherheit entsprechend anzupassen.

Drittens sollten Sie sich von dem Gedanken des Pförtners verabschieden. Stattdessen geht es darum, das Unternehmen zu Risiken zu beraten. Diese Rolle ist deutlich umfangreicher und bietet auch dem Unternehmen Vorteile. Sicherheitsexperten sind in Wahrheit Risikoexperten, die sich nicht nur mit Sicherheitsrisiken befassen müssen, sondern damit, wie Unternehmensrisiken durch Sicherheitsrisiken beeinflusst werden. So können Unternehmen differenzierte Entscheidungen zu Sicherheitsstrategien und -richtlinien treffen – ganz wie bei der Planung der Geschäftsstrategie.