Fallstricke bei der Migration von Security-Lösungen

KMU-Investitionen in IT-Security 

Beitrag teilen

Bei der Migration von Security-Lösungen gibt es für Unternehmen einige Fallstricke. Hier ein Best Practices für die Planung und Durchführung von Tim Bandos, Chief Information Security Officer bei Digital Guardian.

Unternehmen, die mit dem Prozess der Migration auf eine neue Sicherheitslösung vertraut sind, wissen, wie schwierig und zeitaufwändig diese Aufgabe ist. Mit den wandelnden Anforderungen an die Cybersicherheit Schritt zu halten, ist jedoch ein Muss, um die wichtigsten Vermögenswerte eines Unternehmens – seine Daten und sein geistiges Eigentum – zu schützen. Die Aufstellung eines Migrationsplans muss korrekt durchgeführt werden, da dies ansonsten zu kostspieligen Ausfallzeiten und Störungen der Geschäftsabläufe führen kann. Im Folgenden deshalb einige Punkte, die Unternehmen beachten sollten, bevor sie eine Migrationsstrategie durchführen.

Anzeige

Katalysatoren für den Wechsel einer Security-Technologie

Die Entscheidung, einen Security-Lösungsanbieter zu wechseln, sollte nicht auf die leichte Schulter genommen werden. Jedoch müssen bestehende Partnerschaften daraufhin überprüft werden, ob die Lösungen des derzeitigen Anbieters noch leistungsfähig genug sind oder er veraltete Technologien einsetzt. Ist das der Fall, stellt dies ein potenzielles Risiko für Kundendaten und andere Vermögenswerte dar. Agilität ist ein weiterer Punkt, den es zu prüfen gilt. Heutige Unternehmen befinden sich in einem ständigen Wandel, sodass Sicherheitslösungen, die nach dem Motto „einrichten und vergessen“ funktionieren, nicht mehr in Frage kommen. Hinzukommen die sich ständig ändernden gesetzlichen Anforderungen, die Unternehmen dazu zwingen, ihre bestehenden Sicherheitslösungen kontinuierlich neu zu bewerten.

Schritt 1: Request for Proposal definieren

Eine schnelle Google-Suche bietet eine Fülle von Sicherheitslösungen, daher kann die Auswahl eines passenden Anbieters schwierig sein. Verantwortliche sollten deshalb Branchenkollegen konsultieren, welche Lösungen sie derzeit verwenden. Zudem sind Analystenempfehlungen eine weitere gute Quelle, um eine detaillierte Einschätzung von Sicherheitsanbietern und Lösungen zu erhalten.

Der beste Ausgangspunkt ist, sich die Zeit zu nehmen, ein strukturiertes Request for Proposal (RFP) zu definieren, in der führende Anbieter aufgefordert werden, formelle Angebotspläne einzureichen. Außerdem sollten Unternehmen ein funktionsübergreifendes Projektteam zusammenstellen, dessen Aufgabe es ist, die breiteren organisatorischen Anforderungen zu verfeinern, potenzielle Anbieter zu bewerten und deren benötigte Fähigkeit zu beurteilen.

RFP-Vorbereitung ist entscheidend

Der Prozess der RFP-Vorbereitung ist entscheidend. Er sollte beinhalten, dass alle Anforderungen in Zusammenarbeit mit den Beteiligten erfasst und mit der Unternehmensstrategie abgestimmt werden. Verantwortliche sollten ein Bewertungs- oder Gewichtungssystem entwickeln, das die Grundlage für die Entscheidungsfindung bildet, einschließlich einer Rangfolge der gewünschten Fähigkeiten. Als Teil der Auswahlmethodik sollte sichergestellt werden, dass umfassendere ganzheitliche Überlegungen in den Prozess einfließen: Ist die Lösung für Anwender intuitiv? Wie wird der Return on Investment (ROI) gemessen? Ist die Lösung agil genug, um mit dem Tempo der Veränderungen im Unternehmen Schritt zu halten?

Im Idealfall erstellen Unternehmen eine Auswahlliste mit nicht mehr als drei Anbietern und nutzen den RFP-Prozess, um deren Fähigkeiten zu prüfen. Im Zuge der Prüfung und Bewertung der Anbieter sollten Verantwortliche ein gezieltes Proof-of-Concept-Programm durchführen, um sicherzustellen, dass die ausgewählte Lösung in ihre Umgebung passt.

Schritt 2: Migrationsplan für die Bereitstellung der neuen Lösung

Nachdem Verantwortliche sich für einen Lösungsanbieter entschieden haben, sollten sie einen Migrationsplan für die Bereitstellung entwickeln. Dies beginnt mit der Bewertung der Datenanforderungen, der Klassifizierung, der Geschäftslogik und internen Abhängigkeiten, der Definition eines Zeitplans mit einem Pilottest sowie dem Entwurf einer Netzwerktopologie als Vorbereitung für die Bereitstellung. Als Teil des

Übergangsprozesses sollten klare Zwischenziele für das Release-Management, die Validierung, die kontrollierte Überführung der IT-Lösung in den operativen Betrieb sowie die Außerbetriebnahme der alten Lösung festgelegt werden.

Strategie für die Zeit nach der Migration entwerfen

Nach erfolgreicher Durchführung der Migration, sollten Verantwortliche noch einen Schritt weiter gehen und eine Strategie für die Zeit nach der Migration entwerfen. Diese beinhaltet häufige Überprüfungen gemeinsam mit dem Sicherheitsanbieter, welche sich auf die Verbesserung des Einsatzes der Lösung und die damit verbundene Nutzensteigerung konzentriert.

Häufige Fallstricke bei der Migration und wie man sie vermeidet

Mehrere Fallstricke können jedes Migrationsprogramm zum Scheitern bringen. Der offensichtlichste Fall ist das Fehlen einer langfristigen Migrations-Roadmap mit nachvollziehbaren Ergebnissen und einem Plan zur Einbindung der Stakeholder. Ein weiterer Fehler ist das Versäumnis, einen Notfallplan zu erstellen, falls Mitglieder des Migrationsteams mitten im Projekt ausscheiden. Zudem sollte eine Lösung keinesfalls bereitgestellt werden, bevor sie nicht getestet und interne Experten einbezogen wurden.

Die wichtigste Maßnahme für ein erfolgreiches Migrationsprojekt ist jedoch, lange und gründlich darüber nachzudenken, welche Assets das Unternehmen wirklich schützen muss. In der Tat macht eine Vielzahl marktführender Tools das Unternehmen nicht sicher, wenn diese nicht angemessen in die Gesamtsicherheitsstrategie integriert sind. Um dies zu erreichen, müssen Verantwortliche genau wissen, welche Unternehmensdaten und Anwendungen für die Wertschöpfung kritisch sind.

Analyse: welche Datenbestände müssen am dringendsten geschützt werden

Ein risikoorientierter Ansatz bei der Einführung einer neuen Sicherheitslösung beginnt also mit einem tiefen Verständnis dafür, welche Datenbestände am dringendsten geschützt werden müssen. Die richtigen Fragen in einer frühen Phase des Migrationsprogramms zu stellen, hilft dabei, Tiefe, Umfang und Niveau des benötigten Service zu bestimmen – und ob der in Frage kommende Sicherheitsanbieter der Herausforderung gewachsen ist.

Mehr bei DigitalGuardian.com

 


Über Digital Guardian

Digital Guardian bietet kompromisslose Datensicherheit. Die aus der Cloud bereitgestellte Data Protection Platform wurde speziell entwickelt, um Datenverluste durch Insider-Bedrohungen und externe Angreifer auf den Betriebssystemen Windows, Mac und Linux zu verhindern. Die Digital Guardian Data Protection Platform kann für das gesamte Unternehmensnetzwerk, traditionelle Endpunkte und Cloud-Anwendungen eingesetzt werden. Seit mehr als 15 Jahren ermöglicht es Digital Guardian Unternehmen mit hohem Datenaufkommen, ihre wertvollsten Ressourcen SaaS- oder vollständig Managed-Service-basiert zu schützen. Dank der einzigartigen, richtlinienlosen Datentransparenz und flexiblen Kontrollen von Digital Guardian können Unternehmen ihre Daten schützen, ohne ihre Geschäftsabläufe zu verlangsamen.


 

Passende Artikel zum Thema

RAG: Innovative KI-Technologien bringen Gefahren mit sich

Seit der Einführung von ChatGPT 2022 wollen immer mehr Unternehmen KI-Technologien nutzen – oft mit spezifischen Anforderungen. Retrieval Augmented Generation ➡ Weiterlesen

2025: Wer will IT-Security-Verantwortlicher sein?

Wie jedes Jahr haben die IT-Security-Spezialisten von WatchGuard Technologies auch Ende 2024 einen Blick in die Zukunft gewagt und ihre ➡ Weiterlesen

Active-Directory-Sicherung und -Wiederherstellung

Ransomware-Bedrohungen oder auch aktive Angriffe sind für Unternehmen längst Bestandteil ihres Alltags. Viele Attacken auf Identity-Systeme und allen voran Active ➡ Weiterlesen

Neue Gefahren durch Ransomware-Gruppe RansomHub

Ein Anbieter einer KI-gestützten, Cloud-basierten Cyber-Sicherheitsplattform hat einen Bericht zu Ransomware-Aktivitäten und -Trends aus dem vergangenen Monat September 2024 veröffentlicht. ➡ Weiterlesen

Cybersecurity-Trends 2025

Die Cybersecurity befindet sich derzeit in einem dramatischen Wandel. Während Cyberkriminelle zunehmend KI-gestützte Angriffsmethoden entwickeln und ihre Taktiken verfeinern, stehen ➡ Weiterlesen

Disaster-Recovery-as-a-Service – DRaaS-Lösung

Investitionen in DRaaS (Disaster-Recovery-as-a-Service) sind sinnvoll und zukunftsweisend, denn DRaaS hilft den Unternehmen, ihre IT-Systeme und Daten im Fall eines ➡ Weiterlesen

Digitale Zertifikate mit verkürzter Lebensdauer

Apple hat sich nun Google angeschlossen und drängt auf eine kürzere Lebensdauer von Zertifikaten, um die Online-Sicherheit zu verbessern. Indem ➡ Weiterlesen

Kritische Sicherheitsmängel bei ICS-/OT-Fachkräften

Eine aktuelle OT/IT-Sicherheitsstudie fand heraus, dass über die Hälfte der ICS-/OT-Fachkräfte über zu wenig Erfahrung verfügt. Obwohl zwei Drittel der ➡ Weiterlesen