Gestaltungsprinzipien der IT-Security

Gestaltungsprinzipien der IT-Security

Beitrag teilen

Für IT-Security-Verantwortliche muss sich ein abrupter Wechsel vom Büro- in den vollständigen Remote-Betrieb wie ein Umzug aus einer soliden ummauerten Villa in den Wilden Westen anfühlen.

Traditionelle Grenzen des On-Premises-Betriebs und damit auch die Kontrolle, die dieser bietet, gibt es nicht mehr. Im Homeoffice kontrollieren die Benutzer Geräte und Software mehr oder weniger selbst. Und damit fangen für IT-Admins die Schwierigkeiten an. Der zu sichernde Bereich potenziert sich schlagartig. Nur ein Klick auf einen bösartigen E-Mail-Anhang, das Surfen auf einer Website mit Malware, ein offenes WLAN-Netzwerk oder ein ungesichertes Endgerät, das ein Mitarbeiter nutzt, kann Angreifern Zutritt zur IT-Unternehmensinfrastruktur verschaffen, wo sie noch größeren Schaden anrichten können.

Produktionsdruck erhöht das Risiko

Ausschließlich auf die Besonnenheit und Zuverlässigkeit der Belegschaft zu vertrauen, wäre ein schlechter Rat. Selbst mit ausführlicher Sensibilisierung besteht vor allem in Stresssituationen die Wahrscheinlichkeit, dass Mitarbeiter entgegen besseren Wissens einen riskanten Fehler machen. Der Druck, produktiv zu sein, ist für Arbeitnehmer im Homeoffice ohnehin schon leicht erhöht. Tatsächlich kommt die Unternehmensberatung McKinsey zu dem Schluss, dass Remote Work im Jahr 2020 die seit langem bestehenden Herausforderungen der Cybersicherheit – physische und psychologische Stressfaktoren, die Mitarbeiter dazu zwingen, Kontrollen zu umgehen, um ihre Aufgaben zu erledigen – verstärkt. Kurz gesagt, der Produktivitätsdruck kann die Sicherheit im Homeoffice erheblich beeinträchtigen.

Homeoffice erhöht den Security-Bedarf

Um auch unter diesen Bedingungen ein ausreichendes Sicherheitsniveau herzustellen, greifen IT-Admins zu den Tools, die sich im regulären Bürobetrieb für die Anbindung weniger externer Teilnehmer im Bürobetrieb bewährt haben: In erster Linie kommen Firewalls, Antivirenprogramme und VPN-Verbindungen als Sicherheitsvorkehrungen für den Zugriff auf Unternehmensressourcen zum Einsatz. Für die IT-Manager bedeutet dieser Ansatz einen spürbaren Mehraufwand: Sie müssen neue oder gegebenenfalls die persönlichen Endgeräte der Mitarbeiter absichern und die dort installierte Software stets aktuell halten. Das Durchsetzen von Datensicherheitsrichtlinien muss über diverse Security-Anwendungen hinweg sichergestellt werden. Verursacht die Firewall bei einer hohen Nutzerauslastung Bandbreitenprobleme bei den Anwendern, sehen sich die IT-Admins mit einem erhöhten Aufkommen an Supportanfragen konfrontiert. Alles in allem: Weniger Kontrolle, erhöhte Sicherheitsrisiken und suboptimale Managementprozesse.

Durch Zufall erzwungene Digitalisierung

Was auf der IT-Security-Ebene dabei an Kontrolle verloren geht, gewinnt die Geschäftsebene hinzu. Im digitalisierten Unternehmen lassen sich neue Wege der Unternehmensführung einfacher umsetzen, da die IT-Gestaltung schnelle, effiziente Umstrukturierungen zulässt. Daher soll in vielen Firmen Remote Work künftig zumindest für Teile der Belegschaft dauerhaft beibehalten oder allgemein als Option bestehen bleiben. Einer Umfrage von Gartner nach wollen 74 Prozent der Unternehmen nicht, dass ihre Mitarbeiter in ein Büro zurückkehren. Führungskräfte auf der ganzen Welt drängen darauf, so schnell wie möglich neue Remote-Geschäftsprozesse zu etablieren, und sie sind bereit, das dafür notwendige Budget bereitzustellen.

Remote-Szenarien müssen angepasst werden

Die Ankündigung von dauerhaftem Remote Work scheint für viele IT-Admins zunächst keine erfreuliche Aussicht zu sein. Für sie bedeutet dies, eine größere Menge an Risiken mit umständlicheren Methoden zu managen. Das ist jedoch nur auf den ersten Blick der Fall. Bei genauer Betrachtung zeigt sich, dass das IT-Management von Remote Work im Jahr 2020 meist nur auf Grund der kurzfristigen Umsetzung derart aufwändig war. Die Nutzung von VPN-Verbindungen und Firewalls ist zwar ein geeigneter Weg, um im Bürobetrieb einigen wenigen Mitarbeitern Remote-Zugriff zu erlauben. Wird dieser Ansatz jedoch auf die gesamte Belegschaft ausgerollt, erweist er sich als umständlich und wenig leistungsfähig.

IT-Security neu denken

Neue Möglichkeiten entstehen jedoch, wenn man sich von dem Prinzip „Notfall-Remote für alle“ löst und bereit ist, die Gestaltung seiner IT-Security von Grund auf neu zu denken. Konsolidierung kann dabei ein grundlegender, erster Schritt sein: Wenn Unternehmen ihre On-Premises-Implementierungen vollständig in die Cloud verlagern, lässt sich deren Verwaltung vereinfachen. Die Anwendung von Richtlinien lässt sich durch Policy Engines, die Security-Tools wie CASBs oder SWGs anleiten, zentral durchführen. Wenn Prozesse so einfach wie möglich gehalten werden, sinkt auch die Wahrscheinlichkeit, dass Schwachstellen unbemerkt bleiben, da eine fragmentierte Sicherheitsumgebung, die sich nur schwer kontrollieren lässt, auf diese Weise vermieden wird.

Effektive Konsolidierung und Vereinfachung erlauben ein kosteneffizienteres Arbeiten. Bereitstellungen und deren Konfigurationen lassen sich innerhalb von Tagen statt Wochen durchführen und ermöglichen es Unternehmen, im Remote-Betrieb schnell die Balance zwischen Sicherheit, Verfügbarkeit und Produktivität herzustellen.

Infrastruktur muss dynamischer werden

Zu guter Letzt sollte sichergestellt werden, inwieweit ein neuer Ansatz resilient gegenüber künftigen Bedrohungen und Entwicklungen ist. Die Infrastruktur sollte in der Lage sein, sich schnell und dynamisch an Änderungen der Arbeitslast anzupassen, und gleichzeitig Engpässe im Backhaul-Verkehr zu vermeiden, die sich im Laufe der Zeit auf die Produktivität auswirken können.

Die Verlagerung auf Remote Work ist ein weiterer Meilenstein der voranschreitenden Digitalisierung. Wenn Geschäftsprozesse vorwiegend digital abgewickelt werden, erhält die IT-Security eine entscheidende Bedeutung. Dieser können Unternehmen nur gerecht werden, wenn sie bereit sind, die Gestaltung ihrer IT-Security grundlegend neu zu denken. Mit den beschriebenen Grundsätzen schaffen IT-Admins geeignete Voraussetzungen, um den IT-Bedrohungen einen Schritt voraus zu sein und gleichzeitig so effizient zu arbeiten wie in On-Premises-Umgebungen.

Mehr dazu bei Bitglass.com

 

[starbox id=4]

 

Passende Artikel zum Thema

Cybersecurity Awareness: Aufklärung für mehr Sicherheit

Der Oktober ist seit 2004 der internationale Cybersecurity Awareness Month. Die Initiative informiert über Security im Netz und wie man ➡ Weiterlesen

Container Security: Bedrohungen erkennen und beheben

Eine neue Container-Security-Lösung unterstützt Unternehmen dabei, Schwachstellen schneller zu erkennen und proaktiv zu reduzieren, indem sie statische Analysen mit Analysen ➡ Weiterlesen

Kompromittierte Identitäten sofort erkennen und stoppen

Menschliche und maschinelle Identitäten nehmen in Unternehmen ständig zu. Das macht es schwer, herauszufinden, ob und welche Identitäten kompromittiert sind. ➡ Weiterlesen

Schwachstellen erkennen und effizient handeln

Sicherheitsteams stehen großen Mengen an Schwachstellen- und Threat-Intelligence-Daten gegenüber. Deshalb hat Tenable neue Funktionen in seinem Vulnerability Management entwickelt, die ➡ Weiterlesen

Kostenfreies Portal stärkt Cybersicherheit

Mit dem Cyber JumpStart Portal Cyberrisiken identifizieren und managen und so die Cyberversicherbarkeit erhöhen. Arctic Wolf stellt allen Unternehmen eine ➡ Weiterlesen

Microsoft schließt Schwachstelle in Azure Health Bot Service

Die in Microsofts Azure Health Bot Service gefundene kritische Schwachstelle wurde inzwischen geschlossen. Mit ihr war ein Server-Side Request Forgery (SSRF) ➡ Weiterlesen

Ransomware – Das sind die aktiven Gruppen 

Die Welt der Cyberkriminellen in Sachen Ransomware steht niemals still. Ein ständiger Wandel bringt regelmäßig neue Akteure hervor, die durch ➡ Weiterlesen

Lokale KI-Appliance für geschützte Gen-AI-Anwendungen

Silent AI ist eine neue KI-Appliance für generative KI-Anwendungen (GenAI) vor, die höchste Datensicherheit und Privatsphäre gewährleistet. Unternehmen können so ➡ Weiterlesen