Cyberbedrohungen
IT–Sicherheit spart Zeit
Moderne IT security ist ohne Automatisierung nicht mehr denkbar. Diese spart Zeit und entlastet damit Fachkräfte.
Save to Folio
von Richard Werner, Business Consultant
Zeit ist nicht nur für Menschen ein wichtiger, wenn nicht der wichtigste Faktor im Leben. In der IT bedeutet „Zeit“ eigentlich die Geburtsstunde der Branche, denn um Zeit zu sparen wurden die ersten Rechner gebaut, die komplizierte Berechnungen schneller durchführen und „automatisieren“ konnten. Auch heute noch ist dies der bestimmende Faktor, nur wird diese „Automatisierung“ immer weiter auf die Spitze getrieben, um schneller neue Produkte zu entwickeln oder zu testen. Es geht darum, Aufwand und Nutzen optimal auszubalancieren.
Nirgendwo ist das besser zu beobachten als im Kern der Automatisierung: Die über DevOps-Prozesse laufende Softwareentwicklung geht davon aus, dass ein Softwareprodukt nicht mehr finalisiert sondern ständig neu überarbeitet wird. Dafür ersetzen die Entwickler die Programmierung immer neuer Software durch das Zusammensetzen von Softwarebausteinen mittels „Coding“, wobei nur noch fehlende Teile sinnvoll ergänzt werden. Statt einer monolithischen Applikation soll eine Struktur entstehen, die ständig mithilfe kleiner, leicht „verdaulicher“ Updates quasi konstant im Wandel zu halten ist.
Die Verlierer dieser Entwicklung
… sind häufig die internen IT Abteilungen. Denn die Menge der Tools sowie die unterschiedlichen Bedürfnisse der Nutzer machen es ihnen schwer, den Überblick zu behalten. Systeme zu aktualisieren oder auch nur deren Betrieb zu gewährleisten, nimmt oft mehr Zeit in Anspruch als geplant.
Gleichzeitig aber sollen diese Abteilungen immer effizienter sein. Sie müssen sowohl die bestehenden Systeme betreuen als auch neue Werkzeuge für diverse Unternehmensansprüche prüfen, implementieren und dann natürlich auch warten. Trotz dieser personalintensiven Aufgaben, kämpfen die Teams mit schrumpfenden Budgets und Mitarbeitermangel. Letzteres nicht unbedingt deshalb, weil Stellen abgebaut werden sondern weil neu geschaffene selten in vertretbarem Zeitrahmen zu füllen sind.
Und dann auch noch IT-Sicherheit
Zeit und IT-Sicherheit hängen in verschiedener Weise zusammen: „Zeit sparen“ und „Sicherheitsprüfung“ standen schon immer in einem ambivalenten Verhältnis zueinander. Konzepte, um Zeit zu sparen, werden oft ohne Berücksichtigung der IT-Sicherheit geplant oder sparen sogar bewusst an Häufigkeit oder Genauigkeit bei diversen Checks. So gab es schon manch böses Erwachen, wenn beim Cloud-Umzug die IT-Sicherheitsabteilung klarmachte, dass dafür erst ein neues Security-Konzept zu erstellen sei, denn die vorhandene, meist hardwarebasierte Security lässt sich nicht so einfach mitnehmen. Häufig führt das zu unterschiedlichen Security-Konzepten und damit zu doppeltem Aufwand in Dokumentation und Wartung oder zum Verzicht auf wichtige Bausteine mit oder ohne Risikobetrachtung.
Bei der Softwareentwicklung haderten die Teams ebenfalls schon immer mit der IT Security. Monolithische Software-Builts schickten die Entwickler in den Security Check und mussten anschließend einen Katalog mit verschiedenen Mängeln ausbessern – das kostet viel Zeit und wurde schon immer in einer Risikobetrachtung diskutiert. Mit DevOps hat sich das nicht unbedingt geändert, nur sind hier kurzfristige Änderungen sowieso vorgesehen. Es kommt daher nicht selten vor, dass bei der Risikobewertung bewusst eine offene Schwachstelle für einen „kurzen Zeitraum“ toleriert wird.
Die IT-Sicherheits Community kennt auch das Problem der „Skill Shortages. Laut einer Studie von ESG sorgt dieser Mangel zunehmend dafür, dass vorhandene Aufgaben auf immer weniger Schultern verteilt werden. Weltweit sollen etwa 2 Millionen IT-Sicherheitsstellen im Jahr 2020 nicht besetzt sein. Zwei Millionen offener Stellen bedeuten, dass etwa jeder dritte Headcount unbesetzt bleibt – konservativ gerechnet. So ist es nur allzu verständlich, dass die IT-Sec oft neue Konzepte ablehnt, weil sie die notwendige Konzeption und zusätzlichen Wartungsaufgaben nicht mehr stemmen kann.
Zeit sparen mit modernen Sicherheitsheitskonzepten
Eines ist klar: Die Art und Weise, wie IT-Sicherheit früher betrieben wurde, funktioniert unter heutigen Voraussetzungen nicht mehr. Der Einsatz von Produkten verschiedener Hersteller und eigenständiger Teams für bestimmte Segmente (Netzwerke, Endpunkte usw.) stammt aus der Zeit, als Angriffe meist auf Masse ausgelegt waren und schon die Gegenmaßnahme für ein Segment ein Unternehmen wirkungsvoll schützte. Dieses Sicherheitskonzept stößt an organisatorische Grenzen, wenn neue Segmente aufgebaut werden oder moderne Angriffe die Gaps ausnützen, die durch Silolösungen entstehen. Hinzu kommt, dass Strukturen wie beispielsweise Container oder die Cloud einzelne Bereiche zusätzlich unterteilen und damit für immer größeren administrativen Aufwand sorgen.
Moderne Konzepte müssen möglichst viele Aufgaben über wenige Lösungen korrelieren und automatisieren. Flexible Tools sind in der Lage Sicherheitsaufgaben zu übernehmen, selbst wenn das hochspezialisierte Anforderungen mit einschließt. So muss beispielsweise eine Datacenter-Lösung heute nicht nur verschiedene Features wie Applikationskontrollen, IPS, etc. mit abdecken, sondern dies auch über Netzwerkgrenzen in Multi Cloud-Umgebungen hinweg bewerkstelligen. Selbst aus heutiger Sicht noch vielfach als Spezialistenthemen missverstandene Ansätze wie Container oder serverlose Strukturen sollten im Sicherheitskonzept berücksichtigt werden. Je mehr Sicherheit über ein Werkzeug abgedeckt werden kann, desto größer ist die Zeitersparnis im einzelnen Bereich. Hinzu kommen noch segmentübergreifende Maßnahmen, die erzeugte Daten möglichst korrelieren und Gegenmaßnahmen wo möglich automatisieren müssen. Auch hier hilft es, verschiedene Bereiche miteinander zu verbinden und durch möglichst wenige Produkte unterschiedlicher Hersteller – bestenfalls einen – abzudecken. „Best-of-Integrated“- im Gegensatz zur früheren „Best-of-Breed“-Strategie ist das Stichwort.
Durch die Verknüpfung dieser Bereiche mithilfe moderner Techniken und Strategien lässt sich Zeit sparen, nicht nur beim Betrieb der Sicherheitslösungen sondern auch für die gesamte IT. Beispiel Softwareentwicklung: Statt den Monolithen bei „fertiger“ Entwicklung einem punktuellem Test zu unterziehen, kann IT-Sicherheit schon im Entwicklungsprozess ansetzen und auf Probleme aufmerksam machen sowie in der Betriebsphase den notwendigen Schutz für erst dann erkannte oder nicht einfach zu schließende Lücken bereitstellen.
Trend Micro bietet abgestimmte Lösungen in all diesen Bereichen und ermöglicht es seinen Kunden Security-Prozesse zu automatisieren, um IT-Sec sowie IT-Abteilungen in ihrem tagtäglichen Aufwand zu unterstützen.