Viele Unternehmen kämpfen immer noch mit der Implementation der richtigen Sicherheitstools. Die folgenden Überlegungen können dazu beitragen, die richtigen Entscheidungen zu treffen.
Die meisten Unternehmen investieren regelmäßig in neue Sicherheitstechnologien. Trotzdem machen Geschichten von Einbrüchen und Hacks jede Woche neue Schlagzeilen. Es gibt inzwischen keinen Mangel mehr an Sicherheitstechnologien, aber die Auswahl der richtigen Werkzeuge fällt immer schwerer. Es bleibt die Frage: Wie setzen sich die richtigen Sicherheitsinvestitionen für ein Unternehmen zusammen? Viele Firmen haben immer noch Probleme bei der Umsetzung der richtigen Werkzeuge. Jede der beschafften Lösung ist optimal auf den jeweiligen Anwendungsfall ausgerichtet, aber bei der Zusammenarbeit mit anderen Lösungen ergeben sich immer wieder Probleme. Die folgenden Überlegungen sollen den Unternehmen dabei helfen, bei der Investition in die Sicherheitstechnik die richtigen Entscheidungen zu treffen.
Das große Ganze im Auge behalten
Die Beschaffung eines einzelnen Sicherheits-Tools ist selten eine eigenständige Investition. Meistens gliedert sich eine Beschaffung in ein bereits vorhandenes Sicherheits- und Technologieportfolio ein. Wie sollte ein robustes Set an Sicherheitswerkzeugen aussehen? Leider ist die Antwort auf diese Frage nicht einfach.
Vor ein paar Jahren wurde eine Studie unter dem Titel „The Real Cost of Security“ veröffentlicht. Hierfür wurden Dutzende von CISOs zum Thema Security interviewt. Unter anderem wurde folgende Frage gestellt: „Sie sind der neue CISO in einem Unternehmen, welches sich noch nie mit Sicherheit beschäftigt hat. Welche Produkte werden Sie beschaffen (lassen)?“
Die Studie zeigt ein Abbild der Realität, denn die Sicherheitsexperten konnten sich nicht auf eine Antwort einigen. Einige der Befragten nannten als Lösung bis zu vier verschiedene Technologien, während andere bis zu 31 Technologien empfahlen. Fast jeder der Befragten beantwortete die oben gestellte Frage mit: „Es kommt darauf an.“
Interessanterweise umfasst die minimale Ausstattung aller Befragten sowohl Firewalls als auch Antivirus-Lösungen.
Bedeutet dies, dass entsprechende Compliance-Anforderungen keine Vorgaben für Sicherheitslösungen enthalten sollten? Solche Vorgaben können für einige Unternehmen jedoch als Richtschnüre dienen und deren Kaufentscheidungen beeinflussen. Aber auch andere Aspekte (beispielsweise Benchmarks, Metriken, etc.) haben einen gewissen Einfluss auf die Entscheidungen der Unternehmen.
Ein interessanter Aspekt wurde vergangenes Jahr auf der RSA-Conferenz vorgestellt. Als Basis für alle Entscheidungen dient hierbei eine Cyber-Verteidigungsmatrix, welche aus sogenannten Assetklassen (Geräte, Apps, Netzwerke, Daten, Benutzer) und Betriebsfunktionen (Identifizieren, Schützen, Erkennen, Reagieren, Wiederherstellen) besteht. Bei dem vorgestellten Lösungsansatz handelt es sich nicht um ein perfektes Modell, sondern eher um eine Bewertungsschablone. Mit dieser können Unternehmen ihr gesamtes Portfolio identifizieren und erkennen, wo potenzielle Mängel vorhanden sind oder die vorhandenen Technologien sich überlappen.
Je tiefer die Verteidigung wirken soll, je mehr muss ein Unternehmen investieren. Meist wird permanent in die neuesten Technologien investiert, um dadurch eine „Abwehr in der Tiefe“ zu erreichen. Ohne einen Gesamtplan und eine entsprechende Betriebsstrategie führt dieser Ansatz jedoch in die Irre, denn es wird häufig in einigen Bereichen zu wenig und in anderen zu viel investiert. Die meisten Unternehmen strapazieren ihre Budgets und Ressourcen durch die Beschaffung teurer und oft unzusammenhängender Lösungen. Solche Lösungsansätze hängen dem Mythos nach, dass nur ein teures Produkt viel bewirken kann und somit die Abwehr stärkt.
Die Cybersecurity-Landschaft befindet sich in einer konstanten Evolution und verändert sich ständig und oftmals nachhaltig. Daher ist es an Zeit, dass die Unternehmen ihre Sicherheitsstrategien überdenken und aufhören, veraltete Verteidigungsspiele zu spielen. Um sicherzustellen, dass die Investitionen in die Sicherheit auch nachhaltige Wirkung zeigen, müssen die Unternehmen sich auf die Dinge besinnen über die sie die Kontrolle haben. Diese sind die Erkennung von Bedrohung und die Reaktionen auf Angriffe.
Redundanzen beseitigen
Viele Unternehmen deaktivieren ihre einmal beschafften Sicherheitsprodukte nicht, obwohl diese nicht mehr benötigt werden. Zudem schützen diese das Unternehmen nur noch unzureichend bzw. sind bereits in der einen oder anderen Form in neueren Produkten aktiv. Die Sicherheitswerkzeuge unterliegen den gleichen Anforderungen wie andere IT-Systeme: Diese werden ebenfalls von Schwachstellen, Engpässen und Performance-Problemen geplagt.
Darüber hinaus kann der Einsatz von redundanten Sicherheitsprodukten die zukünftige Sicherheitsstrategie beeinträchtigen. Ist bereits eine Sicherung der Endsysteme vorhanden und ist diese jedoch unwirksam, kann dies die Installation einer neueren und geeigneteren Sicherheitstechnologie verhindern, da die Endpunkte zumindest auf dem Papier bereits eine geeignete Kontrolle aufweisen. In vielen Fällen erwerben die Unternehmen zwar ein Sicherheitsprodukt, aber nutzen dieses niemals vollständig. Infolgedessen enden solche Werkzeuge in der hintersten Ecke des Unternehmens bzw. bieten keinen oder nur einen verminderten Schutz gegen Angriffe. Dadurch existiert das Sicherheitsabwehrsystem nur noch auf dem Papier und die notwendige Beschaffung eines effektiven Abwehrsystems wird verhindert. Vor jeder Neubeschaffung empfiehlt es sich deshalb das bestehende Portfolio an Sicherheitsprodukten zu überprüfen, zu optimieren und eventuell zu rationalisieren. Dies verbessert nicht nur die Leistung des Gesamtsystems, sondern führt zu einer besseren Integration der Einzellösungen. Aus diesem Grund können umfassende und einheitliche Sicherheitsplattformen, die eine Vielzahl von Funktionen vereinen, oft eine weit bessere Investition für das Unternehmen darstellen, als ein lose Zusammenstellung unterschiedlichster Sicherheitsprodukte.
Sicherheitsaktivitäten ohne Plan bewirken nichts
Einfach nur Geld für Sicherheitstechnologien ausgeben ist oftmals nicht genug. Wirft man endlos Geld und Ressourcen nach einem Problem – ohne einen richtigen Plan zu haben – kann dies dazu führen, dass das Sicherheitspersonal zwar ungeheuerlich beschäftigt ist – aber nicht unbedingt produktiv. Die Durchführung regelmäßiger Schwachstellen-Scans ist eine gute Idee, da Unternehmen wissen müssen, wo ihre Schwachstellen liegen. Allerdings bewirkt die bloße Investition in ein solches Scan-Werkzeug nicht notwendigerweise einen besseren Schutz. Hierfür muss das Personal entsprechend geschult und die Scan-Werkzeuge müssen regelmäßig eingesetzt werden. Man sollte sich nicht von den diversen Sicherheitstechnologien täuschen lassen – welche schöne Grafiken und Metriken produzieren – aber ihre eigentlichen Aufgaben nicht oder nur unzureichend erfüllen. Stattdessen sollte jede Sicherheitsinvestition an den Gesamtzielen gemessen und regelmäßig Überprüft werden, um sicherzustellen, dass diese tatsächlich die geplanten Ziele unterstützen – nicht nur als einzelnes Produkte, sondern als integraler Bestandteil des gesamten Sicherheitsportfolios.
Die Investition in die Sicherheit ist oftmals ein Graubereich
Es gibt keine universelle Strategie für die richtigen Investitionen in Sicherheitsprodukte. Wichtig ist jedoch, dass das Unternehmen die richtigen Werkzeuge für die jeweiligen Umgebungen und die individuellen Sicherheitsrisiken bereitstellen und nicht ihr Geld und ihre Ressourcen nach fiktiven Problemen werfen. Ein umfassender Sicherheitsplan sollte die Sicherheitsinvestitionen leiten. Die Unternehmen sollten sich darüber hinaus nur auf reale Bedrohungen konzentrieren und einen allzu breiten Sicherheitsansatz meiden. Dies kann für viele Unternehmen der richtige Schritt zur Bewältigung von Sicherheitsproblemen darstellen und verhindert ein falsches Investment in nicht nutzbare Produkte.
