IT-Sicherheit gilt stets als die ungeliebte Nervensäge, wenn es um die schnelle Einführung von Innovationen in einem Unternehmen geht. Die Begeisterung für einen neuen Online-Service ist groß, doch dann kommt die IT-Sicherheitsabteilung und bremst die Euphorie. Es erscheint einfacher, diese lästige Nebensache zu übergehen, oder nur am Rande einzubinden. Doch dieser Eindruck ist falsch und birgt Gefahren.
IT-Sicherheit muss selbst innovativ sein
Dem alten Irrglauben, dass IT-Sicherheit auf Kosten der Innovation ginge, treten die Schweizer Experten von Airlock und ihre Partner vehement entgegen. Airlock veröffentlichte mit seinen Partnern Deloitte, Eperi und SHE ein Whitepaper zu diesem Thema. Auf diese Veränderungen müssen Firmen reagieren, die Schutzmethoden müssen schnell angepasst werden können. Neue Applikationen, Daten und Services müssen zuverlässig abgesichert sein, sobald sie dem Internet ausgesetzt werden, egal ob Onpremise oder in der Cloud.
Wird der Applikations- und API-Schutz mitsamt dem dazugehörigen Access-Management von Beginn an in sämtliche Geschäftsprozesse einbezogen, dann wissen die Verantwortlichen, wie sie ihre Maßnahmen gestalten müssen. Entwicklung der Neuerung und Absicherung mit Sicherheitslösungen gehen in einer DevSecOps-Umgebung Hand in Hand. Wenn die Innovation dann im Internet den Kunden zur Verfügung gestellt wird, ist die Abschirmung vor kriminellen Attacken bereits gewährleistet. Die fatalen Auswirkungen eines erfolgreichen Angriffs fallen weg und die IT-Sicherheit wandelt sich vom „Verhinderer“ zum „Beschleuniger“ eines Geschäftsprozesses und zum Garanten eines langfristigen, weil sicheren Erfolges.
Moderne IT-Security ist mehr als nur Absicherung. Wer das Daten-Management optimiert, der verändert oft ganze Prozess-Landschaften. Die Konsequenz: Business- und IT-Logik müssen heute zusammengedacht werden und gerade bei der Sicherheit sind kohärente Gesamtlösungen gefragt. Ein modernes Sicherheitskonzept muss eine optimale Applikations- und Datensicherheit, eine überzeugende User Experience, eine hohe Kosteneffizienz und Verfügbarkeit vorweisen sowie ein umfassendes Compliance-Management beinhalten – und das alles bei schneller Bereitstellung von innovativen Services.
Nach Angaben der OWASP-Top-10 wandeln sich die Bedrohungen und Schwachstellen auf der Applikationsebene von Jahr zu Jahr. Darum ist ein umfassender Schutz von Webapplikationen und neu auch von APIs eine kritische Aufgabe, um den Ausfall von Services, den Datenverlust und einen Reputationsschaden gegenüber Kunden und Partnern zu verhindern. Seit Anfang des Jahres ist nun auch die OWASP-Top-10-Liste für API-Security veröffentlicht worden.
Integrierte Security-Lösungen sind in Sachen Sicherheit und Benutzerfreundlichkeit optimal aufeinander abgestimmt. Für eine gute Nutzererfahrung sorgt unter anderem eine einfache Registrierung. Social-Logins und Social-Registration halten die Eintrittsbarriere darüber hinaus tief. Ein Consent-Management überlässt dem Nutzer außerdem die Entscheidung, welche Anwendungen Zugriff auf seine Daten bekommen dürfen. Dazu können Nutzer durch Single-Sign-on verschiedene Dienste in Anspruch nehmen, ohne eine erneute Authentisierung zu benötigen.
Prozesse vereinfachen und Kosten reduzieren, diese Treiber der Digitalisierung sind auch die Stärken eines vorgelagerten Security-Hubs. Integrierte Sicherheitslösungen bauen auf eine kohärenten Systemarchitektur auf und garantieren damit einen attraktiven TCO. Wichtige Stichpunkte in diesem Zusammenhang sind deshalb Standardisierung und Konsolidierung für hohe Flexibilität und schnelle Time-to-Market. Die konsolidierte Sicherheitsarchitektur stellt außerdem sicher, dass unterschiedliche Maßnahmen wie Authentifizierung, Access-Management und der Schutz vor Angriffen an einem zentralen Ort verwaltet werden.
Unternehmen müssen heute in kürzeren Zyklen innovative Services lancieren. Neue Software-Lösungen müssen jedoch auch sicher sein, sonst wird das Vertrauen der Kunden aufs Spiel gesetzt. Ein Weg ist hier die Implementierung von Sicherheitsprozessen in agile DevSecOps-Projekte, um Entwicklung und Sicherheit unter einem Dach zu vereinen.
Ob Finanzdienstleister, Krankenhäuser, Versandhäuser oder Tourismus – verschiedene Branchen unterliegen unterschiedlichen Regularien. Darum erfüllen integrierte Sicherheitslösungen standardmäßig eine Vielzahl von Compliance-Richtlinien und dienen zudem als vorgelagerter Durchsetzungspunkt für Richtlinien über alle Applikationen und Services hinweg.
Zahlungsanbindungen, Kundenkonten, Lagerbewirtschaftung: wenn digitale Services ausfallen, stehen oft zentrale Unternehmensaktivitäten still. Darum sind Hochverfügbarkeit und eine Ausfallsicherheit von mindestens 99.99% ein wichtiges Sicherheits-Feature, um selbst bei schweren Angriffen eine lange Downtime zu vermeiden.
Schlussfolgerung
Die digitale Transformation erfordert, dass die IT-Sicherheit als Business-Enabler und nicht als Business-Verhinderer betrachten wird. Um diese Aufgabe zu meistern, bedarf es eines Secure-Access-Hubs, der aus drei zentralen Komponenten besteht: einem cIAM für das zentrale Access-Management, einer WAF für den Schutz von Web-Applikationen vor externen Angriffen und einem API-Security-Gateway für den Schutz von Schnittstellen.
Von Gernot Bekk-Huber, Senior Product Marketing Manager bei Airlock, einer Security-Innovation der Ergon Informatik AG
#Airlock