SicherheitWie Sie Ihr Sicherheitsbudget richtig ausgeben – und wie nicht

Executive Summary

Anwendungssicherheit kann schnell über Netzwerksicherheit hinausgehen, wenn sich das Risiko für das Unternehmen ändert. Die alten Vorgehensweisen verlieren zunehmend an Effektivität. Finden Sie heraus, inwiefern dies der Fall ist und was Sie dagegen tun können.

Executive Summary

Anwendungssicherheit kann schnell über Netzwerksicherheit hinausgehen, wenn sich das Risiko für das Unternehmen ändert. Die alten Vorgehensweisen verlieren zunehmend an Effektivität. Finden Sie heraus, inwiefern dies der Fall ist und was Sie dagegen tun können.

Related

Warum Ihr Sicherheitsbudget vielleicht falsch angelegt ist

Vielleicht erinnern Sie sich daran,  als man noch VHS-Videos ausgeliehen hat, Doc Martens trug und im Radio Grunge hörte? Die 90er-Jahre sind für viele nur noch eine blasse Erinnerung, in den Rechenzentren großer Unternehmen leben sie jedoch noch weiter. Überraschend viele IT-Organisationen führen nach wie vor Netzzugriffsprotokolle und lassen Logdateien parsen – wie im Jahr 1999.

Damals lief alles noch auf Servern, die sich hinter einer Firewall im Rechenzentrum befanden. Software bekam man in einer Schachtel, und man installierte sie auf Maschinen, die dem Unternehmen gehörten. Alle Clients im Netzwerk waren identifizierbar – so ließ sich der Zugriff auf Anwendungen und Daten ziemlich genau steuern. Die größte Gefahr ging von Insidern aus, von versehentlichen Datenschutzverletzungen und gelegentlichen Malware-Unfällen wie dem Wurm Melissa.

Heute dagegen befindet sich Ihre Geschäftssoftware auf den Servern von jemand anderem in der Cloud. Ihre Mitarbeiter und vielleicht sogar auch einige Ihrer Kunden greifen über einen Webbrowser oder eine Smartphone-App darauf zu. Ihre Endpoitns befinden sich praktisch überall, und die Gefahren gehen nicht mehr von Ihrem Netzwerk aus, sondern von jedem der 3,2 Milliarden Menschen im Internet, der böse Absichten hegt.

Die gute Nachricht: Nicht nur die Bedrohungen sind zahlen- und volumenmäßig gestiegen, auch die Sicherheitsbudgets sind gewachsen. Die Unternehmen investieren so viel in Sicherheit wie nie zuvor. Die schlechte Nachricht jedoch: Falls Sie nicht an den richtigen Stellen investieren, könnte sich Ihre Angriffsfläche weiter ausdehnen. Wenn Sie sich Gedanken über Ihre Investitionen machen, berücksichtigen Sie die folgenden vier Fakten.

Die Gefahren gehen nicht mehr von Ihrem Netzwerk aus, sondern von jedem der 3,2 Milliarden Menschen im Internet, der böse Absichten hegt.

1. Sicherheitsverletzungen über Applikationen nehmen zu

Eine steigende Anzahl von Sicherheitsverletzungen erfolgt heute über Anwendungen, der Großteil der Budgets für IT-Sicherheit fließt jedoch nach wie vor in die Absicherung des Netzwerks. Das Angriffsziel ist nun die Applikationsebene, die das Tor zu Ihren Daten geworden ist. Das heißt nicht, dass Sie die Ausgaben für die Netzsicherheit komplett streichen sollen – Sie müssen aber Prioritäten setzen und sicherstellen, dass das Geld dorthin fließt, wo es die größte Wirkung hat.

2. Identitäts- und Zugangskontrolle sind der Schlüssel

Zwei Sicherheitsbereiche sind in Zeiten der digitalen Transformation kritisch: Zum einen die Fähigkeit, die Identität eines beliebigen Nutzers zu verifizieren – unabhängig davon, von wo aus er Zugriff anfordert. Zum anderen der Schutz der Anwendung – unabhängig davon, wo sie sich befindet. Anders gesagt: Sie müssen sowohl den Zugang zur Anwendung als auch die Anwendung selbst schützen. Das Netzwerk ist dabei nur eine Komponente, nicht der primäre Fokus.

3. Sie können nichts absichern, was Sie nicht verstehen

Transparenz und Kontextverständnis sind zentrale Aspekte. Sie müssen wissen, was Ihre Anwendungen tun und ob sie sich so verhalten, wie Sie es erwarten. Schließlich ist anomales Verhalten der Applikation oft das erste Anzeichen einer Sicherheitsverletzung. Sie müssen also in der Lage sein, Ihren gesamten Traffic zu entschlüsseln und sämtliche Funktionen und Subfunktionen für jedes Protokoll zu kontrollieren – für HTTP, SSL und DNS. Ohne Einblick in die Prozesse und ohne Kontextverständnis dafür, wie sich Ihre Anwendungen verhalten (sollen), arbeiten Sie im Blindflug.

4. Der Bedarf an Fachleuten ist höher als das Angebot

Der Appetit nach besseren Anwendungen mit mehr Funktionen ist in den Unternehmen fast unendlich groß, das Angebot an erfahrenen Anwendungsentwicklern dagegen begrenzt. Wenn aber  unerfahrene Entwickler unter hohem Druck stehen, immer mehr Anwendungen in immer kürzerer Zeit zu liefern, ist die Wahrscheinlichkeit hoch, dass sie Fehler machen. Auch Sicherheitsexperten, die Sicherheitslücken aufdecken und den Schaden minimieren können, sind Mangelware – aktuellen Schätzungen zufolge gibt es in der Cybersicherheitsbranche etwa 200,000 offene Stellen mehr als Bewerber. Entwickler mit wenig Erfahrung in Kombination mit einem Mangel an Experten mit Erfahrung – da ist die Katastrophe abzusehen. Wenn Sie Probleme haben, erfahrene Mitarbeiter zu finden: Ziehen Sie die Partnerschaft mit einem Dienstleister in Erwägung, der Tools etwa für dynamische Anwendungssicherheitstests (Dynamic Application Security Testing – DAST) bereitstellt, mit denen sich das Testen auf vorhandene oder neue Schwachstellen automatisieren lässt.

Fazit:

Wenn Ihr Unternehmen so ist wie viele, geben Sie wahrscheinlich noch immer den Großteil Ihres Sicherheitsbudgets für das Netzwerk aus. Damit können Sie sich jedoch angreifbar machen. Aber dagegen lässt sich etwas tun: Zunächst gilt es, den Fokus auf die Anwendungssicherheit legen – höchste Priorität sollten der Schutz der Nutzeridentitäten und der kontrollierte Zugriff auf die Anwendungen haben. Außerdem brauchen Sie Transparenz in Bezug auf den gesamten Traffic, inklusive Einblick in verschlüsselte Daten. Darüber hinaus müssen Sie wissen, wie sich die Systeme im Normalzustand verhalten, so dass Sie anomales Verhalten erkennen können. Zu guter Letzt: Wenn Sie nicht genügend Sicherheitsexpertise im Unternehmen haben, sollten Sie Partner suchen, die für den Schutz sorgen, den Ihr Unternehmen braucht.

Das könnte Ihnen auch gefallen

So können Sie das Thema Sicherheit und Risiken addressieren

Es ist soweit. Sie müssen Ihrem Vorstand über den Stand der Dinge in Sachen Unternehmenssicherheit berichten. Die Präsentation ist von entscheidender Bedeutung: Die Sicherheit Ihres Unternehmens, dessen Ruf und finanzielle Gesundheit hängen von Ihnen ab. Die Vorstandsmitglieder müssen verstehen, mit welchen geschäftlichen Risiken das Unternehmen konfrontiert ist und wie Sie planen, diese zu minimieren. Aber ihre Zeit – und Aufmerksamkeit – sind begrenzt. Fassen Sie sich also kurz und sorgen Sie dafür, dass Ihre Botschaft ankommt.

Warum Ihr Sicherheitsbudget vielleicht falsch angelegt ist

„Geben Sie Ihre für die IT-Sicherheit gedachten Euro und Dollar an der richtigen Stelle aus?
Falls Sie den Großteil Ihres Sicherheitsbudgets für den Netzperimeter ausgeben – zu Lasten der Anwendungssicherheit und des Identitätsmanagements -, dann stimmen vielleicht die Proportionen nicht.“

Vier unerlässliche Dinge, auf die Sie in der Cloud achten sollten

So wie Sie beim Autofahren immer darauf achten sollten, was im toten Winkel passiert, sollten Sie sich auch einiger „blinder Flecken“ bewusst sein, wenn Sie Ihr Unternehmen in die Cloud verlagern. Geblendet von den Vorteilen, die die Cloud bietet – mehr Flexibilität, geringerer Investitionsaufwand, höhere Effizienz und Produktivitätsgewinn -, übersehen viele IT-Verantwortliche vier Gefahren, die im Verborgenen liegen.