Sicherheits-Strategie : Best of … What? : Strategien für Beschaffung, Implementierung und Betrieb von Sicherheitslösungen
Angesichts komplexer und verteilter IT-Landschaften hat kes die Experten* nach zielführenden Strategien, wichtigen Enablern und Aussichten auf Hilfe durch künstliche Intelligenz befragt.
Hieß die entscheidende Frage bei der Beschaffung von IT-Security-Lösungen früher meist „Best of Breed“ versus „Single Vendor“ oder „Best of Suite“, so stehen mittlerweile auch „Best to Integrate“ und „Best to Manage“ zur Diskussion. Hinzu kommt weiterhin die Entscheidung, Systeme/Lösungen selbst zu betreiben oder als Managed Service zu beauftragen – ergänzt um die Frage „on Premises“, „on Edge“ oder in der Cloud. Insgesamt ergibt sich offenbar ein komplexer mehrdimensionaler Entscheidungsraum, für den die verschiedene Experten um ihre Einschätzung zu sinnvollen Strategien, wichtigen Enablern und wesentlichen Verfahren gebeten hat.
Zentrale Steuerung
„Eine zentrale Strategie sollte immer das Ziel sein“, betont Christian Nern, Partner bei KPMG im Bereich Financial Services: „Die Herausforderung besteht darin, die enorme Menge an Informationen gezielt an die Stellen zu bringen, an denen sie benötigt werden, ohne durch weniger wichtige Informationen vom Ziel abzulenken. Dieser Filtervorgang erfordert eine sauber orchestrierte Toolsammlung, die in einer zentralen Lösungsstrategie mündet.“ Unternehmen müssen dazu wissen, was sie im Kern bedroht und auf dieser Erkenntnis eine durchgängige, nahtlose IT-Security-Strategie aufbauen: „Diese Strategie gilt es, mit einer fachlichen und technischen Lösungsarchitektur und funktionierenden Prozessen umzusetzen. Am besten geschieht das automatisiert und ohne Insellösungen oder Ansammlungen verschiedenster, unabgestimmter Hersteller-Tools. Denn solche Inseln machen die Security eines Unternehmens teurer und nur scheinbar sicher. Ein stringentes Management mittels geeigneter Service-Level-Agreements (SLAs) und Leistungskennziffern ist dann nicht mehr möglich.“
Michael Veit, Cybersecurity-Experte bei Sophos, hält eine zentral gesteuerte Sicherheitslösung heutzutage für unabdingbar, um Angriffe sowohl möglichst früh erkennen als auch effektiv abwehren zu können: „Viele Verantwortliche erliegen immer noch der Vorstellung, dass eine bessere Prävention nicht mehr erreichbar ist – oder sie glauben, dass entweder Prävention oder Erkennung allein die Probleme der modernen Informationssicherheit lösen kann. Entsprechend wichtig ist ein adaptives Cybersecurity-Ökosystem – also ein breit angelegtes System zur Abwehr, Erkennung und Reaktion auf Attacken.“
Allem voran sei eine zentrale Security-Strategie erforderlich, von der sich die Lösungsstrategie ableite, antwortete Richard Werner, Business Consultant bei Trend Micro – dies müsse abhängig von den Möglichkeiten des einzelnen Unternehmens wie Budget und Personal erfolgen: „Am Ende gibt es nur ein Kriterium: Die Lösungsstrategie muss umsetzbar sein – nicht nur in der Beschaffung, sondern vor allem im Betrieb!“ Dennoch müsse es sich um eine „grundsätzliche und umfassende Lösungsstrategie“ handeln, die auch die vom Gesetzgeber mittlerweile regelmäßig geforderte Detection and Response (etwa in der NIS-2-Direktive als „Systeme zur Angriffserkennung“, s. a. S. 64) umfasse: „Auf dieser Basis können erweiterte Security-Strategien aufgebaut werden. Hier lohnt es sich, verschiedene Herstellerkonzepte hinsichtlich Durchführbarkeit, Kosteneffizienz und Erweiterbarkeit zu vergleichen.“
„Es kommt auf den Risiko-Appetit von Organisationen an, auf welchen Weg sie setzen. Egal in welchem Modell Unternehmen ihre Daten und Anwendungen vorhalten, die zentrale Frage in puncto Sicherheit bleibt der Überblick, wer oder was auf diese Daten zugreifen kann“, sagt Kevin Schwarz, Head of Field CTOs International bei Zscaler. Sicherheit müsse jeweils dort durchgesetzt werden, wo Daten liegen: „Mit von Cloud-Software definierten Strategien ist dies lokal umsetzbar, ohne die zentrale Kontrolle zu verlieren.“ Zudem sehe man einen eindeutigen Trend zur Konsolidierung von Anbietern, der auf dem Wunsch nach Komplexitätsreduktion beruht – allerdings würden andere Strömungen im Zeitalter von KI an Bedeutung gewinnen: „Wenn es darum geht, Daten aus verschiedensten Anwendungen zu verarbeiten und Schlüsse daraus zu ziehen, wird das Thema der Integration noch mehr in den Fokus rücken.“ Dann sollte man neben „Best to Integrate“ aber auch eine Single-Daten-Strategie erwägen.
„Durch die Kombination von On-Premise-, Cloud- und Edge-Technologien kann eine flexible und skalierbare IT-Infrastruktur geschaffen werden, die sowohl kosteneffizient als auch sicher ist“, unterstreicht Christian Duewel, Director im Bereich Cyber-Defense und Managed Security Service bei Deloitte:
„Ein hybrider Ansatz für Security-Lösungen ist vorteilhaft: ‚Best of Breed‘ bietet Flexibilität und ermöglicht die Auswahl spezialisierter Lösungen – dennoch ist eine integrierte Strategie entscheidend, um Komplexität zu bewältigen. Eine zentrale Lösungsstrategie bleibt relevant, da sie eine konsistente Sicherheitsrichtlinie gewährleistet. Angesichts der dynamischen Bedrohungslandschaft ist Flexibilität unabdingbar, um neue Technologien und Bedrohungen effektiv anzugehen.“
Christian Duewel (Deloitte): „Große und verteilte Informationsverbünde sind in Bezug auf Sicherheit zunehmend schwieriger zu handhaben. Es besteht die Notwendigkeit einer ganzheitlichen Sicherheitsstrategie, die sowohl präventive als auch reaktive Maßnahmen umfasst.“
Dr. Sebastian Schmerl, Vice President Security Services EMEA bei Arctic Wolf, sieht „Best to Integrate“ als besten Ansatz für Inhouse-SOCs: „Heutige IT-Landschaften werden durch zahlreiche Sicherheitslösungen abgesichert, die sehr unterschiedliche Bedrohungen und Infrastrukturelemente abdecken. Ohne eine zentrale Kontrollinstanz ist dies kaum möglich.“ Der große Enabler sei dabei ein „Assume-Breach“- Mindset: „Hierbei wird ein besonderer Fokus auf detektive und reaktive Sicherheitsmaßnahmen gelegt. Dieses Mindset ist auch die Voraussetzung für Prinzipien wie Zero Trust, SASE et cetera.“ Welche Maßnahmen man dann genau treffen sollte, hänge vom jeweiligen Unternehmen und dessen Ressourcen ab.
„Zentralisierung ist ganz grundsätzlich aufgrund der Kosteneinsparungen, der Verringerung von Angriffsvektoren und des verantwortungsvolleren Einsatzes der Tools eine ideale Wahl. Angesichts der vielen neuen innovativen Technologien und der sich radikal verändernden Tech-Stacks haben es Sicherheitsplattformen jedoch schwer, eine zentralisierte Lösung zu liefern, die innovativ und auf dem neuesten Stand ist“, gibt Angela Heindl-Schober, SVP Global Marketing bei HYCU, zu bedenken. Ohnehin seien die verschiedenen Paradigmen zu Beschaffung und Betrieb „in der Regel mit Marketing und Schlagwörtern gespickt und lassen keine Klarheit darüber aufkommen, was Kunden suchen oder brauchen“. Bei der Auswahl von Systemen und Verfahren sollte man sich daher vor allem von grundlegenden Fragen leiten lassen, angefangen damit, ob man die konkrete Lösung tatsächlich benötigt: „Oft denken Kunden, dass sie eine Lösung kaufen müssen – aber sie verstehen nicht wirklich das Problem. ## Ist die Lösung skalierbar und nehmen alle beteiligten Anbieter die Sicherheit ernst (Stichwort ‚Lieferkette‘)? Handelt es sich um ein Tool oder eine Plattform? Die Pflege mehrerer Tools für sehr spezifische Funktionen wird in Zukunft problematisch sein – dies gilt für Skripte und Werkzeuge gleichermaßen.“
Letztlich seien einfache Bedienung und Barrierefreiheit das A und O: „In der Vergangenheit haben wir gesehen, dass viele Plattformen einen eigenen Mitarbeiterstab erfordern, nur um ein Tool zu bedienen. Neue Technologien sollten vollständig automatisiert und einfach zu bedienen sein.“
Angela Heindl-Schober (HYCU): „Unternehmen, die Cloud-Anwendungen ausführen, verwenden jetzt entkoppelte Dienste (z. B. VPCs), um Sicherheit, Identität, Schlüsselverwaltung und so weiter zu verwalten. Diese Dienste bieten Skalierbarkeit und Flexibilität, müssen aber unabhängig konfiguriert und administriert werden – dies bringt einige Herausforderungen mit sich.“
Strategien und Enabler
„Der wichtigste Enabler in der modernen IT ist eine Unternehmenskultur, die Veränderungen fördert und nicht als Bedrohung sieht“, sagt Arnd Gille, Senior Manager Systems Engineering bei Palo Alto Networks: „Darüber hinaus sind ein Nutzerbewusstsein und Schulungen unerlässlich, da informierte und sensibilisierte Mitarbeiter Sicherheitsrichtlinien verstehen und einhalten müssen. Auf der technologischen Seite beginnt gerade die Transformation zum autonomen SOC, das die kontinuierliche Überwachung von Sicherheitsvorfällen und eine schnelle Reaktion ermöglicht.“
Entscheider müssen heute die Weichen dafür stellen, dass sich trotz steigender Komplexität eine Vereinfachung in der Handhabung erzielen lasse: „Nur dann kann ein Unternehmen sich auch zukünftig effizient gegen Cyberangriffe zur Wehr setzen. Daher wird immer häufiger eine reine Konsolidierung der Werkzeuge angestrebt, der größere Hebel liegt jedoch im Einsatz gut integrierter Lösungen.“
Arnd Gille (Palo Alto Networks): „Erfolgreiche Sicherheitsstrategien enthalten einen ganzheitlichen Ansatz für die gesamte Unternehmens-IT und sind durch den effektiven Einsatz von Automation und künstlicher Intelligenz trotz Komplexität noch handhabbar.“
Dominic Pfeil, Director Security Technology bei der Deutschen Cyber-Sicherheitsorganisation (DCSO), antwortete: „Best of Breed ist heute kaum noch möglich, da fast alle Hersteller einen plattformbasierten oder integrativen Ansatz verfolgen. Daher müssen sich Unternehmen für eine Richtung entscheiden: einen Anbieter, der seine Plattform für andere öffnet, oder eine Allianz aus verschiedenen Herstellern, welche gemeinsam ein umfassendes Portfolio anbieten – anschließend ist zu klären, welche Module eingesetzt werden.“ Zwei Gefahren gelte es aber im Auge zu behalten: „den Vendor Lock-in und ein zu großes Vertrauen in die Fähigkeiten der Provider – man muss deren Grenzen kennen, um im Zweifel zusätzliche Tools und Lösungen zu installieren.“
„Best of Breed, in der Vergangenheit eine sichere Wette, stößt heute aufgrund der Komplexität der IT an Grenzen“, meint auch Sascha Giese, Tech Evangelist bei SolarWinds: „In der Realität müssten zahllose, teil redundante Lösungen eingesetzt werden, die nicht oder nur limitiert miteinander kommunizieren. Eine Single-Vendor-Strategie ist gleichfalls limitiert, da kein einzelner Anbieter alle Bereiche abdecken kann. Was also bleibt, sind Lösungen, die sich ohne großen Aufwand an Zeit und Ressourcen integrieren lassen.“
Für Aleksei Resetko, Partner im Bereich Cyber Security & Privacy bei PwC Deutschland, hat „Best of Suite“ bei der Cybersicherheit gegenüber „Best of Breed“ die Nase vorn: „Ein Vorteil besteht im geringeren Integrationsaufwand und -risiko, da die Lösungen des gleichen Anbieters in der Regel kompatibel und konsistent sind. Das kann auch die Komplexität heutiger IT-Landschaften reduzieren, die oft aus heterogenen Systemen und Anwendungen bestehen, die unterschiedliche Sicherheitsanforderungen und -standards haben. Mit einer Best-of-Suite-Strategie kann man eine Sicherheitsarchitektur einführen, die aus wenigen ‚Suites‘ besteht – zum Beispiel eine Suite für Netzwerk- und Infrastruktursicherheit und eine andere für Applikationssicherheit. Zudem fährt man meistens günstiger, als wenn man mehrere Best-of-Breed-Lösungen einsetzt und integriert – und muss sich nur auf wenige Anbieter verlassen, was eine schnellere und effektivere Problemlösung gewährleisten kann. Darüber hinaus ist der Aufwand für Herstellerschulungen geringer.“ Zudem sei es wichtig, die Sicherheitskultur zu fördern, die letztlich Bewusstsein, Bildungsstand sowie Engagement von Mitarbeitern und Führungskräften für die Sicherheitsziele erhöht.
„Die DSGVO war eine treibende Kraft für E-Mail-Verschlüsselung und hat das Thema IT-Security auch in den Köpfen mancher Geschäftsführer besser verankert“, erinnert Helge Scherff, Geschäftsführer Infinigate Deutschland und Leiter Infinigate Cloud DACH: „Eine klarere Vorgabe für die Verarbeitung von Daten durch rechtliche Vorgaben würde auch andere Hype-Themen stärker in den Vordergrund rücken können.“ Branchenstandards seien ebenfalls wichtige Enabler: „In bestimmten Branchen sind es häufig ein Leuchtturmprojekt und die daraus resultierenden verbesserten Bedingungen, welche eine Auswirkung auf ein komplettes Marktsegment haben. Selbstverständlich tut das Marketing eines ganzen Wirtschaftszweigs sein Übriges, um neue Themen zu platzieren oder auf veränderte Arbeitsweisen reagieren zu können.“
Im Übrigen beobachte man die bevorzugten und sinnvollen Strategien nicht zuletzt in Abhängigkeit von Größe sowie Sicherheitsbewusstsein von Unternehmen: „Sehr viele Kleinst- und Kleinunternehmen wenden in der Regel eine Mischung aus Best to Integrate/Best to Manage an, wobei die Integration an erster Stelle steht.“ Beim Mittelstand mit dediziertem IT-Personal runde die Arbeit mit MSSPs das Bild ab, wobei „Best to Integrate/Best to Manage“ weiter ganz oben auf der Liste sei: „Hier sieht man häufig den Beginn des Einsatzes von produktübergreifenden Cyber-Security-Plattformen, welche manche Hersteller bereitstellen“, so Scherff weiter. Doch auch Top-Unternehmen aus dem DAX oder Organisationen, die unter NIS-2 fallen setzen sehr häufig zunächst auf „Best to Manage“, um eigene Mitarbeiter möglichst effizient zu nutzen – und freie Ressourcen in Form von Personentagen und finanziellen Mitteln dann für den Einsatz von Best-of-Breed-Software für besonders wichtige Einsatzfelder einzusetzen.
Konsolidierung oder Spezialisierung?
„Best-of-Breed-/Defense-in-Depth-Strategien sind nicht mehr zeitgemäß“, warnt Thomas Boele, Regional Director Sales Engineering CER/ DACH bei Check Point Software: „Gartner-Analysen zufolge denken 75 % der befragten Unternehmen über eine Konsolidierung der Anzahl ihrer Sicherheits-Anbieter nach (Faktor 2.5 verglichen mit 2020).“ Essenziell sei der Fokus auf das Wesentliche, da sich über die letzten Jahre seit dem Beginn der Corona-Pandemie die Angriffsoberfläche massiv verändert habe, gleichzeitig aber eben nicht beliebig viele Ressourcen – Personal wie Technologie-Budget – verfügbar seien, um sich um alles kümmern zu können.
Als zielführendes Paradigma sieht Boele „ein atomisches Grundprinzip (‚First Principle‘ nach Howard), die Vermeidung signifikanter materieller Schäden aufgrund eines Cyber-Events innerhalb eines überschaubaren Zeitraums – die Umsetzung erfolgt dann mit Strategien wie Zero-Trust, Intrusion-Kill-Chain-Prevention et cetera.“ Damit blieben dann auch komplexe aktuelle Informationsverbünde/IT-Landschaften handhabbar, wenn man die Strategien konsequent umsetze und regelmäßig hinterfrage.
Thomas Boele (Check Point): „Mit weitreichender Nutzung von SaaS-Angeboten (E-Mail/ Collaboration, CRM/ CDP, HR, Office Automation etc.) sind klassische Huband-Spoke-Designs komplett überholt und obsolet, hier sind SASE/SSE-Dienste gefragt, um sicheren und performanten Zugriff zu ermöglichen.“
Harold Butzbach, Director Enterprise Sales CEMEA bei Sysdig, zitiert Gartner in Bezug auf Plattformen: „Für den Schutz cloudnativer Anwendungen werden 80 % der Unternehmen bis 2026 die Anzahl ihrer Sicherheitstools auf drei oder weniger Anbieter konsolidieren – 2022 waren es im Schnitt zehn. Die Zukunft steht also im Zeichen der Plattform-Konsolidierung und deren Zugpferd sind Cloud-Native-App-Protection-Platforms (CNAPP).“ Letztlich müssten Unternehmen die Sicherheit in alle ihre Prozesse einbetten, angefangen bei der Entwicklung: „Zudem braucht es eine umfassende Sicherheitsplattform, die über Runtime-Insights in Echtzeit IT-Teams befähigt, die größten Risiken und Schwachstellen zu priorisieren.“
„Eine einheitliche Lösungsstrategie basierend auf einer übergeordneten Sicherheitsarchitektur ist essenziell, um mit den Herausforderungen der immer komplexer werdenden Strukturen umgehen zu können. Im Rahmen dieser Strategie sollten Lösungen implementiert werden, welche das konkrete Problem am effizientesten lösen“, unterstreicht hingegen Florian Moß, Security Consultant bei HiSolutions: „Die effektiven Angriffsvektoren haben sich in den letzten 15 Jahren nicht groß geändert – es sind mehrheitlich Phishing, bösartige E-Mail-Anhänge und nicht installierte Updates. Für diese Probleme gibt es Ideen, um sie zu lösen. Zero-Trust als Sicherheitsphilosophie beispielsweise. Oft scheitert die effektive und konsequente Umsetzung dieser Ideen allerdings an technischen Schulden, die nicht abgebaut werden.“ Da hierzu oft die Ressourcen fehlen, könnten einerseits klare Prioritäten helfen – zum anderen brauche es auch den Input der Stakeholder aus dem Business: „Dies kann ein starker Enabler sein.“
Ein grundsätzliches Problem sieht Prof. Norbert Pohlmann vom if(is) – Institut für Internet-Sicherheit der Westfälischen Hochschule Gelsenkirchen: „Die ständig wachsenden Risiken mit der fortschreitenden Digitalisierung erfordern einen Paradigmenwechsel in der Art und Weise, wie wir IT-Sicherheit betrachten müssen. Traditionelle IT-Sicherheitsmodelle, die darauf basieren, dass Nutzer sich uneingeschränkt auf deren Wirkweise verlassen und dementsprechend punktuell IT-Sicherheitslösungen einsetzen, reichen nicht mehr aus, um mit den komplexen und intelligenten Angriffen von heute Schritt zu halten. Zu viele Unternehmen sind immer noch ungenügend gesichert und die aktuell genutzten IT-Sicherheitsmechanismen sind insgesamt nicht wirkungsvoll genug, um einen angemessenen Schutz zu bieten.“ Unternehmen müssten daher auf moderne und komplexe IT-Sicherheitsmodelle bauen – zum Beispiel Zero-TrustPrinzipien: „Die gesamte IT-Infrastruktur eines Unternehmens muss mit IT-Sicherheitsmaßnahmen, die den Stand der Technik genügen, geschützt sowie umfänglich und proaktiv rund um die Uhr durch ein Team von IT-Sicherheitsexperten überwacht werden. Ein Ziel muss auch sein, IT-Sicherheitsereignisse in Echtzeit zu erkennen und diesen so schnell und effektiv wie möglich entgegenzutreten.“
Die Bedeutung einer Instanz, die den Wandel vorantreiben kann, ist nicht zu unterschätzen, sagt Schwarz (Zscaler): „Wer diese Rolle übernimmt, ist je nach Organisation unterschiedlich. CISOs übernehmen zunehmend die Federführung bei der Umsetzung von Zero Trust, aber es bedarf des Mandats des CIO für die Mitarbeit aller anderen Abteilungen für eine umfassende Initiative – mit SASE wird nicht nur die Sicherheit hinterfragt, sondern gleichermaßen Netzwerk und Konnektivität, ebenso wie der zukünftige Arbeitsplatz oder die Anwendungsbasis.“ Generell könne ein plattformbasierter Zero-Trust-Ansatz jedoch sowohl für Managed Services als auch für hybride oder Saas-Architekturen sowie „an der Edge“ bei der Überwachung und Absicherung von Datenströmen seine Vorteile ausspielen.
Zero Trust
„Mit Hinblick auf Zero Trust lässt sich feststellen, dass ein dynamischer und anpassungsfähiger Cyber-Fachbereich mit einem offenen Mindset entscheidend ist, um den grundlegenden Wandel mit der erforderlichen Agilität umzusetzen und entsprechende Arbeitsweisen zu entwickeln“, unterstreicht Duewel (Deloitte): „Es ist eine Herausforderung, aktive Legacy-Systeme in die Zero-Trust-Landschaft zu integrieren. Um Zero Trust erfolgreich umzusetzen, ist eine Ende-zu-Ende-Sichtbarkeit aller relevanten Assets und ihrer Verwendung unerlässlich.“
Pfeil (DCSO) sieht in Zero Trust ein „absolut zentrales Thema – es handelt sich nicht nur um ein Security-Konzept, sondern auch um einen Enabler für ein zeitgemäßes Arbeiten. Denn damit können Mitarbeiter von überall aus tätig sein, ohne dass Unternehmen Risiken eingehen. Secure-Access-Service-Edge (SASE) trägt, neben anderen, als Technologie dazu bei, Zero-Trust umzusetzen.“
„Zero-Trust-Systeme werden immer wichtiger“, betont auch Veit (Sophos): „In unserem aktuellen Sophos Ransomware-Report waren kompromittierte Zugangsdaten mit 36 % bereits der zweithäufigste Ausgangspunkt für erfolgreiche Angriffe. Zero-Trust-Network-Access (ZTNA) ist im Gegensatz zum traditionellen VPN schnell und einfach skalierbar. Voraussetzung für eine unkomplizierte Umsetzung ist einmal mehr der zentrale Lösungsansatz über die Cloud mit nur einem Agenten und einer einzigen zentralen Konsole.“
„Konzepte wie Zero Trust sind als eine Art Rahmenwerk sicherlich interessant“, konstatiert Nern (KPMG): „Doch in der finalen Umsetzung entlang der gesamten Prozesskette zeigt sich: Sie sind kompliziert, oft sehr kostspielig und schwer umsetzbar. Deshalb kann es hilfreich sein, sich auf die Kernkonzepte von Zero Trust zu fokussieren, wie sie mit IAM/PAM, Segmentierung und/oder Mikrosegmentierung von Netzwerken oder anwendungsspezifischem Zero Trust vorliegen.“ Zusätzlich sollte man immer die Menschen schulen und sensibilisieren.
Komplexität und Cloud
Wir sehen viele Zero-Trust-Initiativen im Zusammenhang mit Cloud-Strategien im Kommen, die bei der Reduzierung der Komplexität helfen können. Die Herausforderung liegt darin, durch Transformationsinitiativen für Standards zu sorgen und ein Silo-Denken zu überwinden“, unterstreicht Schwarz (Zscaler): „Gerade wenn wir größere, verteilte Infrastrukturen in Unternehmen mit deren Komplexität betrachten, dann steht das Thema der zentralen Strategie hoch im Kurs. Hier wird Security als Commodity betrachtet, die eine gemeinsame Baseline für dezentral strukturierte Organisationen bietet.“
„Die Komplexität heutiger IT-Landschaften ist eine große Herausforderung für die Sicherheit, besonders in den Cloud-Umgebungen, die immer mehr an Bedeutung gewinnen“, warnt Resetko (PwC): „Die Cloud bietet zwar viele Vorteile, wie Skalierbarkeit, Flexibilität und Kosteneffizienz, aber auch viele Risiken, wie Datenverlust, Datenschutzverletzungen oder Cyberangriffe. Da die Cloud oft aus verschiedenen Diensten, Anbietern und Plattformen besteht, die miteinander verbunden sind, ist es schwierig, eine einheitliche Sicht und Kontrolle über die gesamte IT-Infrastruktur zu haben. Das erhöht die Angriffsfläche und macht es schwerer, Sicherheitslücken zu erkennen und zu schließen.“
Butzbach (Sysdig) fordert angesichts von Cloud- und MulticloudUmgebungen eine Angriffserkennung nahezu in Echtzeit und schnelle Reaktionsmöglichkeiten: „Eine ideale Zielsetzung sollte sein, Angriffe innerhalb von 5 Sekunden zu erkennen, innerhalb von 5 Minuten alle relevanten Daten und Signale zu korrelieren und anschließend innerhalb von 5 Minuten auf die Bedrohung zu reagieren.“ Eine optimale Unterstützung böten dabei multicloudfähige SaaS-Sicherheitsplattformen.
„Ab einem gewissen Grad der Komplexität ist ein angemessenes Maß an Sicherheit nur schwer umzusetzen, besonders wenn eine übergeordnete Architektur oder Strategie fehlt“, stellt Florian Moß (HiSolutions) fest: „Hier kann es wirtschaftlich sinnvoll sein, auf einer ‚grünen Wiese‘ eine neue Struktur aufzubauen, anstatt zu versuchen, die bestehende IT-Landschaft abzusichern.“
Veit (Sophos) gibt zu bedenken: „Die Größe oder auch Komplexität eines Systems ist für die Abbildung eines effektiven Cybersecurity-Systems nicht entscheidend, wenn die entsprechende Hard- und Software vorliegt. Viel wichtiger ist, dass Unternehmen in der Lage sind, die enormen Datenmengen, die aus den verschiedensten Systemen angeliefert werden, auch zielführend zu verarbeiten und daraus Schlüsse bezüglich der Cybersicherheit ziehen zu können. Hier kommt in modernen Lösungen die künstliche Intelligenz (KI) im Zusammenspiel mit menschlichen Spezialisten zum Tragen.“
„Größere Unternehmen haben schon lange die Grenzen überschritten, bei denen Menschen noch in der Lage waren, die Übersicht zu behalten“, betont Giese (SolarWinds): „Die Menge an Endpunkten, Systemen, Schichten und weiteren Variablen ist zu schnell gewachsen, und sogar die erhobene Datenmenge einzelner Endpunkte ist ausgeufert. Anomalie-Erkennungen können Abhilfe darstellen, aber auch hier ist es eine Herausforderung, dass manchmal ein Sicherheitsproblem erst dann von einem operativen Problem unterscheidbar ist, wenn es zu spät ist.“ Helfen könnte an dieser Stelle ein weiterer Fortschritt in der KI.
Künstliche Intelligenz
„KI ist bereits vielfältig und erfolgreich im Einsatz in der Security“, so Giese weiter. Generell müsse man zwischen KI-basierten Lösungen „von der Stange“ und für eine einzigartige Umgebung maßgeschneiderten Systemen unterscheiden: „Diese sind leistungsfähiger, kommen jedoch mit der Herausforderung der notwendigen Datenmenge, um die KI korrekt an die jeweilige Umgebung anzupassen.“ Außerdem müsse man für die notwendige Zeit des Trainierens rund ein halbes Jahr veranschlagen. Dennoch: „Zurzeit sehen wir gewaltigen Fortschritt, man könnte vermutlich eine Variante von Moore’s Law auf KI anwenden. Unternehmen aller Größen sollten dieses Thema genau im Auge behalten, um für sich selbst den idealen Zeitpunkt zur Adoption zu finden.“
KI kann Attack-Surface-Management-(ASM)-Daten korrelieren, um die Angriffsfläche des Unternehmens besser zu verstehen und ein individuell zugeschnittenes Threat-Modelling unterstützen“, erläutert Nern (KPMG): „Eine KI-Mustererkennung kann die Sicherheit eines IAM-Systems enorm verbessern und ein leistungsstarkes Werkzeug für das Security-Information-Event-Management (SIEM) sein.“ Noch wesentlicher werde jedoch sein, „wie KI ‚Voraussagen‘ zum Eintritt von Cybervorfällen in der Zukunft leisten kann – und wie adaptiv Unternehmen auf diese Technologie zugehen und für sich selbst spezifische Lösungsansätze herausfiltern.“
Resetko (PwC) sieht die derzeitigen Möglichkeiten der KI in Bezug auf Cybersicherheit noch als begrenzt an: „Aktuell stehen wir bei der Implementierung echter KI-Funktionen, insbesondere im Bereich der Angriffserkennung, noch ganz am Anfang. Allerdings wird KI in naher Zukunft insbesondere den First-Level-Support im Security-Bereich teilweise ersetzen: Die Sprachmodelle sind bereits so ausgefeilt, dass sie auch komplizierte Anfragen in Alltagssprache interpretieren können. Tendenziell kann KI zudem für automatisierte Gegenmaßnahmen bei Angriffen eingesetzt werden.“ In der Zukunft könnten Unternehmen dann etwa in einem 24/7-SecurityOperations-Center (SOC) Kosten sparen und Spezialisten anderweitig einsetzen – etwa in der Forensik oder für den Aufbau einer sicheren IT-Architektur.
„Viele Security-Produkte besitzen KI-Funktionen, die sich beispielsweise gut für die Vor-Analyse von Events eignen“, sagt auch Pfeil (DCSO): „Wir erwarten, dass KI künftig einen Großteil der Ergebnisse automatisch abarbeitet und nur wichtige oder nicht zweifelsfrei erkennbare Situationen manuell bearbeitet werden.“ KI führe zwar nicht nur zu einer Weiterentwicklung von Security-Produkten, sondern lasse sich auch anderweitig sinnvoll einsetzen: „Doch gerade bei sensiblen Informationen kann Schaden entstehen. Daher stehen wir vor einer ähnlichen Zeitenwende wie bei den Suchmaschinen durch Google: Wir müssen lernen, wie wir mit KI vernünftig arbeiten können.“
Für Boele (Check Point) ist gewiss: „Der Einsatz spezifischer KI im Bereich der Cyber-Sicherheit wird sich in den kommenden Jahren noch exponentiell erweitern. Zudem müssen auch für Large-Language-Models (LLMs) Sicherheitsmaßnahmen weiterentwickelt und Bestandteil der IT-Sicherheitsstrategien werden.“
„Wir erwarten dieses Jahr eine wachsende Anzahl an Ransomware-Varianten, die aufgrund von KI erfolgreich sein werden. Es wäre demnach falsch, sich weiterhin auf die klassischen Themen von Sicherheit zu verlassen“, mahnt Schwarz (Zscaler). Durch generative KI (GenAI) und LLM rücke die Datensicherheit stärker in den Mittelpunkt: „Als Einstieg müssen die Kritikalität von Daten eingestuft und darauf aufbauend Zugriffsrechte definiert werden, um zu verhindern, dass kritische Daten abwandern.“ Mit der Zunahme von GenAI seien zudem zukünftig verstärkt Vishing-Attacken (Phishing via Voice) ein Thema.
Heindl-Schober (HYCU) sieht momentan in Sachen KI die Angreifer im Vorteil: „Mit der Verbreitung von LLM-gestützten Diensten, die sich auf Cyberkriminalität konzentrieren (z. B. WormGPT, EvilGPT) liegen die Hürden für die Durchführung eines hochwertigen Angriffs heute viel niedriger.“ Überdies erwartet sie, dass KI-Systeme auch selbst bald in den Fokus der Cyberkriminellen geraten: „Mit der Einführung von Vector-Datenbanken als Herzstück vieler KI-Architekturen werden wir gezielte Angriffe auf diese Dienste erleben. VectorDBs sind maßgeblich an der Erstellung, Feinabstimmung und Ausführung von KI-Modellen beteiligt – das macht sie und die ihnen zugrunde liegenden Dienste zu einem massiven Ziel. Unternehmen sollten sicherstellen, dass sie für diese Workloads die gleichen Best Practices anwenden wie für andere kritische Anwendungen. Das bedeutet, dass der Schwerpunkt auf Ausfallsicherheit und nicht nur auf Prävention liegt!“ Dennoch ist Heindl-Schober verhalten optimistisch: „Wie bei jedem anderen technologischen Fortschritt wird der kommerzielle Sektor aufholen und KI nutzen, um Innovationen zu entwickeln und die Verteidigung zu verbessern. Die große Frage ist, wie lange das dauern wird.“
Angesichts der Möglichkeiten zum KI-Missbrauch sowie für Fehler solcher Systeme rät Scherff (Infinigate): „Man tut gut daran, die Schulung der Mitarbeiter und die Reportingfunktionalitäten für ungewöhnliche Entscheidungen aufrechtzuerhalten oder sogar noch zu verstärken.“ Ein gutes AwarenessTraining von Menschen, die eventuell auch in Situationen angesprochen werden, in denen keine Software zur Angriffserkennung verfügbar ist, bleibe bedeutsam: „Nur durch die sensiblen Wahrnehmungen der Mitarbeiter konnten in der Vergangenheit schon Angriffe vermieden werden“ – ihre Schulung werde mit steigender Komplexität von Angriffen umso wichtiger und dürfe nicht zurückgefahren oder vernachlässigt werden.
Bedeutung von Zertifizierungen
Im Rahmen unserer Umfrage haben wir die Experten auch um ihre Einschätzungen gebeten, ob Zertifikate, Siegel, Audits et cetera bei der Auswahl von Lösungen und/oder Partnern zukünftig eher mehr oder eher weniger Gewicht haben werden.
„Zertifikate, Siegel und Audits werden in Zukunft eine zunehmend wichtigere Rolle bei der Auswahl von Lösungen und Partnern spielen“, erwartet Duewel (Deloitte). Schließlich werde mit der steigenden Bedeutung von Sicherheit und Qualität in verschiedenen Branchen auch eine verlässliche Bestätigung der Erfüllung bestimmter Standards immer wichtiger: „Zertifikate und Siegel bieten eine objektive Bewertung und schaffen Vertrauen bei Kunden und Geschäftspartnern. Unternehmen, die solche Zertifizierungen vorweisen können, werden daher einen Wettbewerbsvorteil genießen.“
Auch Gille (Palo Alto Networks) schätzt, dass Zertifikate, Siegel und Audits an Bedeutung in der IT-Sicherheit gewinnen werden: „Angesichts steigender Cyberangriffe werden Unternehmen verstärkt nach nachweisbaren Sicherheitsstandards suchen, um Vertrauen aufzubauen. Gleichzeitig wird es schwieriger werden, diese Nachweise zu erbringen – dies liegt einerseits an der steigenden Komplexität, andererseits an der erhöhten Relevanz von IT und Cybersecurity für das Kerngeschäft der Unternehmen.“
Im Rahmen von NIS-2 sind regulierte Unternehmen aufgefordert, ihre Lieferkette in die Cyber-Risikobetrachtung zu integrieren. Um die Sicherheit der eigenen Dienstleistungen oder Produkte zu demonstrieren und es gleichzeitig potenziellen Kunden so einfach wie möglich zu machen, ihren Pflichten nachzukommen, werden allgemein anerkannte Zertifikate, Testate und Ähnliches eine wichtige – in manchen Fällen entscheidende – Rolle spielen“, antwortete Werner (Trend Micro).
Doch es gab auch zurückhaltendere Aussagen. So erwog Schmerl (Arctic Wolf): „Es gibt relevante Evaluierungen wie die von EDR-Tools durch die technische Stiftung MITRE Engenuity, die für die Auswahl von Lösungen zurate gezogen werden können. Bei diesen Bewertungen wird aber nicht die Fähigkeit der Integration mit anderen Lösungen bewertet. Zertifikate oder Siegel für Sicherheitslösungen gibt es derzeit wenige auf dem Markt und auch in Zukunft sehe ich hier keine Änderung.“
Nern (KPMG) äußerte: „Personenzertifizierungen wie CISM, CISSP, Ethical Hacker et cetera sind grundsätzlich ein Gütezeichen für das fachliche Know-how einer Person – Gleiches gilt für technische und organisatorische Maßnahmen von Unternehmen oder Zertifizierungen wie ISO/IEC 27001. Erfahrungen aus Projekten zeigen jedoch, dass das Zünglein an der Waage die Erfahrung ist: Sie hilft enorm dabei, Lösungen für Security-Themen aufzubauen beziehungsweise Projekte erfolgreich so umzusetzen, dass Effizienz und Compliance gewährleistet sind.“
„Zertifikate haben nach wie vor ihre Bedeutung bei der frühen Meinungsbildung, welche Lösung in die engere Auswahl kommt. Allerdings werden sich Unternehmen auch zunehmend an Best Practices von Unternehmen orientieren, die einen Ansatz (wie SASE) bereits ganzheitlich eingeführt haben und dementsprechend Auskunft über den eingeschlagenen Weg für einen konkreten Anwendungsfall geben können“, erwartet Schwarz (Zscaler).
„Bei der Auswahl von Lösungen und Partnern spielen Sicherheitssiegel und -zertifikate eine wichtige Rolle, da sie das Vertrauen in die Qualität und Zuverlässigkeit der angebotenen Dienstleistungen stärken können“, sagte Resetko (PwC): „Allerdings sind sie nicht ausreichend, um die tatsächliche Sicherheit zu garantieren, da sie oft nur einen bestimmten Aspekt oder eine Momentaufnahme der Sicherheitsleistung abbilden.“
Auch Pfeil (DCSO) sieht in den aufgeführten Nachweisen immer nur eine Momentaufnahme: „Sie können ein guter Indikator für das Produkt oder den Partner sein. Aber gerade bei Governance-Audits werden die Vorgaben nicht immer im Alltag umgesetzt – und bei Produktsiegeln weiß man oft nicht hundertprozentig, was dahintersteckt.“
Dass man bei Zertifizierungen oft „hinten dran“ ist, gab auch Scherff (Infinigate) zu bedenken: Gerade bei Produkten seien Siegel und Zertifikate sehr häufig nicht mehr auf aktuelle Produkte anzuwenden – bis zur erfolgreichen Zertifizierung liege der Fokus womöglich schon auf der nächsten Generation von Angriffen. Grundlegend sei es jedoch sehr hilfreich, „wenn ein Hersteller oder Dienstleister durch Zertifizierungen in den Bereichen Qualitäts- und Informationssicherheits-Management die Einhaltung gewisser Standards nachweisen kann.“