5 Schritte zur IT-Security-Strategie

Die fortschreitende Digitalisierung und Vernetzung, der Einsatz von Cloud-Computing sowie mobile Arbeitsplatzkonzepte bringen immer neue Herausforderungen mit sich. IT-Abteilungen müssen diese meistern und dürfen gleichzeitig nicht vergessen, die IT-Security mitzudenken. Um sich bei der erhöhten Komplexität keinem Sicherheitsrisiko auszusetzen, geht der Trend zur Zusammenarbeit mit Security-Consulting-Partnern. Sie entlasten die IT-Abteilung und helfen mit ihrer langjährigen Expertise dabei, eine ganzheitliche Security-Strategie zu kreieren und umzusetzen – für Unternehmen essenziell, um Hackern nicht ins Netz zu gehen.

Die Anforderungen an die IT-Sicherheit in Unternehmen wandeln sich stetig. In Pandemiezeiten standen viele Unternehmen etwa vor der Herausforderung, Remote-Zugänge einzurichten, um die Arbeit aus dem Home-Office zu ermöglichen. Security-Konzepte mussten an diese neue Realität adaptiert werden, in der sich virtuelle Unternehmensgrenzen in private – und damit möglicherweise unsichere – Heimnetzwerke der Mitarbeiter verschoben. Das brachte viele IT-Abteilungen an ihre Grenzen. Aufgrund des Fachkräftemangels ist es für sie oft nahezu unmöglich, neben dem Kerngeschäft, auch alle Sicherheitsbelange im Blick zu behalten. Der Trend, auf externe Spezialisten wie IT-Security-Consultants von Managed-Security-Service-Providern (MSSP) zu vertrauen, hat sich daher seit Pandemie-Beginn noch weiter verstärkt. Ulrich Pfister, Head of Consulting & Professional Services bei Indevis, erklärt im Folgenden, wie in partnerschaftlicher Zusammenarbeit mit einem MSSP eine umfassende IT-Security-Strategie entstehen kann.

 

Schritt 1: IT-Infrastruktur im Unternehmen analysieren

Der erste Schritt des Managed-Security-Service-Providers (MSSPs) in seiner Funktion als IT-Security-Consultant ist die Architekturberatung. Hier analysiert der Spezialist den Ist-Zustand der Unternehmens-IT und bezieht auch Compliance-Fragen mit ein. In Zusammenarbeit mit dem Unternehmen visualisiert er, wie Systeme in Geschäftsprozesse integriert sind und leitet daraus die erforderliche Sicherheitsarchitektur ab. Neben der Verwundbarkeit der Systeme und möglichen Angriffsvektoren fließen auch die Eintrittswahrscheinlichkeit und der mögliche Schaden, der bei einem Cyberangriff entstehen könnte, in die Planung mit ein. Denn in jedem Fall gilt, dass Unternehmen die wichtigsten Bereiche mit höchster Priorität schützen müssen, um die Geschäftskontinuität zu gewährleisten.

 

Schritt 2: Individuelles Security-Design entwerfen

Im nächsten Schritt „übersetzen“ die IT-Security-Consultants die potenziellen Risiken in Lösungsvorschläge. Ziel ist es, eine maßgeschneiderte Ende-zu-Ende-Strategie zu entwickeln, die ausgewählte Technologien und Dienste den Anforderungen entsprechend miteinander verbindet. Die Spezialisten ziehen hier Insights über Best Practices, Sicherheitsfunktionen und Technologien heran, um zu eruieren, wie der Kunde die ermittelten Anforderungen im Rahmen seiner Möglichkeiten umsetzen kann. Eine wichtige Design-Frage ist zudem, wie die Security-Lösungen bereitgestellt und betrieben werden sollen. Viele MSSPs bieten inzwischen flexible Deployment-Varianten. Kunden können so entscheiden, ob sie Lösungen Onpremises oder als Cloud Services beziehen wollen. Zudem gilt es zu entscheiden, ob sie am Ende selbst den Betrieb der Lösungen übernehmen möchten oder diesen lieber in die Hände der Experten beim MSSP legen.

 

Schritt 3: Ausgewählte Lösungen implementieren

Ist das Security-Design erarbeitet, implementieren die Security-Consultants die ausgewählten Lösungen. Hier zahlt sich die sorgfältige Vorbereitung aus Schritt 1 und 2 aus: Mit einem gut durchdachten Design lassen sich Probleme von vornherein vermeiden – etwa dass die ausgewählten Lösungen bei näherer Betrachtung doch nicht alle benötigten Anforderungen abdecken.

 

Schritt 4: Transition vorbereiten

Implementierte Lösungen können je nach Wunsch vom Unternehmen selbst oder dem MSSP betrieben werden. Ist Ersteres der Fall, weisen IT-Security-Consultants die Mitarbeiter im Unternehmen in der Transitionsphase ein und schulen sie im Umgang mit den Lösungen. Möchte das Unternehmen den Betrieb dem MSSP überlassen, schaffen die IT-Security-Consultants in dieser Phase die dafür notwendigen technischen und organisatorischen Schnittstellen. Wichtig ist hierbei: Auch wenn der Dienstleister Security-Aufgaben übernimmt, sind interne Abläufe relevant. So wird es immer Sicherheitsfragen geben, in denen das Unternehmen in letzter Instanz selbst entscheidet, wie einer Bedrohung zu begegnen ist. Eine enge Zusammenarbeit zwischen MSSP und IT-Abteilung ist daher auch bei ausgelagertem Betrieb unerlässlich.

 

Schritt 5: Security-Systeme kontinuierlich betreiben und aktualisieren

Der letzte Schritt einer erfolgreichen IT-Security-Strategie ist der kontinuierliche Betrieb der Lösungen. Denn es reicht nicht, Sicherheitssysteme einmal einzurichten. IT-Umgebungen sind heute hochgradig dynamisch und verändern sich ständig. Es gilt daher, Neuerungen im Blick zu behalten und Security-Lösungen gegebenenfalls daran anzupassen. Zudem müssen regelmäßig verfügbare Updates und Patches eingespielt werden. Diese ziehen jedoch oft auch Konfigurationsänderungen mit sich. Um das reibungslose Zusammenspiel der Systeme zu garantieren, sind im Nachgang daher oft zusätzlich Anpassungen notwendig. Unternehmen sollten sich also gut überlegen, ob sie die notwendigen Ressourcen haben, um den Betrieb in Eigenregie zu übernehmen oder die kontinuierliche Wartung doch lieber in die Hände der Security-Experten beim MSSP geben.

 

Unternehmen profitieren von Flexibilität

Ulrich Pfister, Head of Consulting Indevis

Grundsätzlich können MSSPs in allen genannten Stadien der IT-Security-Beratung einsteigen. Sind im Unternehmen selbst keine Spezialisten vorhanden, empfiehlt es sich jedoch, Experten frühzeitig zu Rate zu ziehen. Entscheiden sich Unternehmen dafür, den Betrieb in die Hände eines Providers zu legen, aktualisiert und betreibt er die Systeme zudem fortlaufend. Er ist stets über die aktuelle Bedrohungslage und häufige Angriffsvektoren informiert und reagiert schnell, wenn sich Risiken ergeben. Denn eine gute Security-Strategie zeichnet sich nicht nur durch gute Vorarbeit und Ausführung aus – elementar ist, das einmal erarbeitete und etablierte Konzept kontinuierlich zu pflegen. Nur so lässt sich Security nachhaltig und langfristig aufstellen.

#Indevis