IT-Sicherheit im Jahr 2020
Was bringt die Zukunft, wenn sich laufend alles ändert?
Kaum etwas wandelt sich so schnell wie die IT. Das stellt vor allem die Sicherheitsverantwortlichen vor enorme Herausforderungen – und ständige Veränderungen. Marco Rottigni, Chief Technical Security Officer EMEA bei Qualys, wagt einen Ausblick.
Früher war die IT solide. Server und Betriebssysteme wurden angeschafft, die dann im Rechenzentrum jahrelang ihren Dienst taten, bis sie eines Tages ersetzt wurden. Dazu gab es ein Sicherheitsteam, das diese Infrastruktur schützen sollte.
Das Einzige, was davon heute noch davon übrig, ist das Risiko. Hacker dringen weiterhin in Systeme ein, Software-Schwachstellen werden entdeckt und Patches müssen installiert werden – doch der Wandel in der IT-Sicherheit hat sich beschleunigt. Die alten Prozesse reichen nicht mehr aus. Zudem können sich Cloud- und Container-Implementierungen – abhängig vom aktuellen Bedarf – jederzeit verändern. Wie muss sich die Sicherheit im Jahr 2020 also verändern, um Schritt zu halten? Im Folgenden einige Prognosen.
Prognose Nr. 1: Die Sicherheit wird – wie die IT – einem stetigen Wandel unterliegen
Immer mehr Unternehmen nutzen Container, um Anwendungen bereitzustellen, sei es in ihren internen IT-Umgebungen oder in der Cloud. Dort können Anwendungsdienste schnell skalieren und Orchestrierungswerkzeuge wie Kubernetes den Prozess automatisieren.
Damit wird es aus sicherheitstechnischer Sicht unerlässlich, diese Skalierung im Blick zu haben. Denn besteht in einem Teil der Cloud-Infrastruktur ein Problem und skaliert auf weitere Images, dann vergrößert es sich – und zwar wesentlich. 2020 werden darum Echtzeit-Updates zu neu erstellten Assets an Bedeutung gewinnen. Schließlich wäre die Alternative, dass Images erstellt, genutzt und dann gelöscht werden, oftmals ohne dass das Sicherheitsteam je von der Existenz dieser Objekte erfährt. Ein beängstigender Gedanke.
Prognose Nr. 2: Sicherheitsteams werden sich auf unterschiedliche Arbeitsgeschwindigkeiten einstellen
In Unternehmen gibt es viele verschiedene Plattformen. Jede von ihnen muss geschützt werden. Allerdings hat jede davon ihr eigenes Tempo. Das Spektrum reicht dabei von herkömmlichen oder älteren IT-Ressourcen, die sich im “Schneckentempo“ bewegen, bis hin zur rasanten Geschwindigkeit der Cloud.
Um damit umzugehen, könnten IT-Teams ihre Ressourcen künftig aufteilen: Während einige Mitarbeiter sich um altbewährte Plattformen kümmern, müsste sich eine andere Gruppe mit den neuen befassen. Dieses Vorgehen birgt allerdings das Risiko, dass sich eine “Wir und die“-Dynamik entwickelt, die langfristig dem Teamgeist schadet. Als Ausweg sind ganzheitlichen IT-Sicherheitspraktiken denkbar, bei denen die schnellen Veränderungen bereits eingeplant sind.
Wichtig ist es also, sich dieser Dynamik bewusst zu sein und sie zu beobachten. Die Planungen zu Patch-Fenstern und größeren Ereignissen sollte frühzeitig erfolgen. Das hilft den Teams, Prioritäten zu setzen und vorausschauend zu handeln – egal, ob es um eine plötzliche Veränderung oder einen langfristigen Prozess geht.
Prognose Nr. 3: Die geteilte Verantwortung für die Cloud muss noch in den Köpfen ankommen
Die Cloud wird immer beliebter. Provider wie Google Cloud Platform, Microsoft Azure und Amazon Web Services bieten hierfür eine Reihe von Optionen für den Betrieb, die Verwaltung und Implementierung von Anwendungen. Viele Unternehmen setzen zusätzlich auf Multi-Cloud-Strategien und nutzen standortabhängig mehrere Cloud-Dienste.
Dieses Vorgehen setzt voraus, dass die IT-Sicherheitsteams und die des Cloud-Providers effektiv zusammenarbeiten, was nicht immer der Fall ist. Denn selbst wenn die Cloud-Anbieter deutlich kommunizieren, wofür sie verantwortlich sind, kommt es trotzdem oft zu Missverständnissen und Sicherheitsmängeln. Häufig hat das mit schlechten Datenbank-Implementierungen oder unsicheren Speichern mit Standardkonfigurationen zu tun.
Im kommenden Jahr werden sich diese Probleme verstärken, etwas wenn Entwickler Anwendungen schnell fertigstellen müssen oder es versäumen, bei der Überführung von Diensten in die Produktion mit den IT-Sicherheitsteams zusammenzuarbeiten. Um Abhilfe zu schaffen, müssen Unternehmen künftig mehr Verantwortung für ihre Cloud-Implementierungen übernehmen. Dazu gehört die Schulung der Entwickler; ebenso wichtig ist aber auch, bessere DevOps-Prozesse zu erstellen, bei denen Sicherheitstools in den Release-Workflow integriert sind. So wird Sicherheit zum “Normalfall“.
Prognose Nr. 4: Betriebstechnologie wird besser abgesichert
Das Internet der Dinge (IoT) wächst weiter. Zahlreiche Geräte für Endverbraucher, bei denen einem bestehenden Produkt einfach ein Internetanschluss hinzugefügt wurde, wurden bereits eingeführt. Die wirklichen Marktchancen für die Zukunft liegen jedoch im Unternehmensbereich: Nach anfänglichen Pilotprojekten gibt es nun immer mehr IoT-Implementierungen in der Wertschöpfungskette, der Logistik und der Dienstleistungsbranche.
In der Praxis bedeutet dies, dass mehr Assets miteinander verbunden werden, darunter auch solche aus der Zeit, bevor das Internet in seiner heutigen Form existierte. Prozessleitsysteme und betriebstechnische Anlagen, die rund um die Uhr laufen müssen, können von dieser Vernetzung profitieren, sind aber meist auch älter und schwer zu aktualisieren.
Unternehmen müssen darum darauf achten, keine neuen Sicherheitsrisiken zu schaffen, nur weil sie möglichst schnell vom IoT profitieren wollen. Air Gapping wird weiterhin eine bedeutende Rolle spielen und auch in der Betriebstechnik wird es unerlässlich werden, den Kontext zu IT-Ressourcen zu kennen.
Prognose Nr. 5: Sicherheitslösungen werden verstärkt von DevOps-Teams angeschafft
Bisher wurden IT-Sicherheitslösungen von Spezialisten an Spezialisten verkauft. Der Chief Information Security Officer (CISO) fungierte als Schiedsrichter, wenn es darum ging, mit wem das Unternehmen zusammenarbeiten und wie die Lösungen verwaltet werden sollten.
Das wird sich 2020 ändern. Die Sicherheit wird nicht mehr die alleinige Domäne des IT-Sicherheitsteams sein; vielmehr wird auch das DevOps-Team für die Beschaffung von Lösungen verantwortlich werden beziehungsweise Einfluss darauf haben. Arbeiten Unternehmen mit einer CI/CD-Pipeline, ist folglich das DevOps-Team der Käufer, der überzeugt werden muss.
Eine Entwicklung, die dazu führt, dass Unternehmen, die bisher in der Sicherheitsbranche führend waren, ihren Status verlieren werden. Denn DevOps-Teams – und insbesondere Entwickler – möchten mit Anbietern zusammenzuarbeiten, die ihre Anforderungen und Arbeitsweisen verstehen. Dies wird zu einigen großen Umwälzungen und Veränderungen im Hinblick darauf führen, wer im Unternehmen in Budgetfragen das Sagen hat.
DevOps-Teams messen Erfolg anhand von Agilität, Geschwindigkeit und der Fähigkeit, Veränderungen zu bewältigen. Sie trennen nicht zwischen Cloud und traditionellen Systemen im Rechenzentrum, sondern nutzen laufend beides. Infolgedessen werden einige der heute führenden Sicherheitsanbieter große Akquisitionen tätigen müssen, um am Ball zu bleiben, während gleichzeitig neue Akteure in den Markt eintreten.
Prognose Nr. 6: Sicherheitsmetriken setzen den Fokus stärker auf die TTR
Bisher wurden Sicherheitsteams an ihrer Fähigkeit gemessen, Angreifer am Eindringen ins Firmennetzwerk zu hindern. Angesichts der schieren Anzahl von Schwachstellen und sonstigen Problemen ist dieses Konzept jedoch immer schwerer aufrechtzuerhalten. Selbst die besten und fortschrittlichsten Sicherheitsteams müssen hinnehmen, dass Hacker ins Netz gelangen. Gleichzeitig können gängige, spezifische Sicherheitsmetriken wie die erkannten Angriffe oder die mittlere Verweildauer von Angriffen einem Unternehmen nicht helfen, die Risiken oder daraus resultierenden Kosten zu verstehen.
2020 wird sich darum die Time To Remediate (Zeit zur Behebung, TTR) zum Frühindikator für die Teams entwickeln. Die TTR ist eine verständliche, gut verwertbare Metrik. Beträgt sie oder liegt die nahe bei null, sind die Sicherheitsteams in der Lage, Problemen vorzubeugen, indem sie bei den Geschäftsprozessen und der Entwicklung von Anwendungen und Diensten frühzeitiger intervenieren und die Angriffsoberfläche früher minimieren. Dazu muss Sicherheit allerdings integriert statt aufgesetzt werden.
Prognose Nr. 7: Schwachstellenerkennung findet in Echtzeit statt
Traditionell folgten Programme für das Schwachstellenmanagement einem bestimmten Zeitplan. So war es bekannt, dass Microsoft einmal im Monat Patches veröffentlichte, ebenso wie Adobe. Bei Oracle war es quartalsweise der Fall. Wurden all diese Patches installiert, war die Mehrzahl der Probleme gelöst. Die Suche nach anfälliger Software konnte auf diese Weise anhand dieser Updates geplant werden.
Heute werden Schwachstellen jedoch so schnell ausgenutzt, dass sie sich mit herkömmlichen Patchzyklen nicht mehr bewältigen lassen. Angesichts der großen Vielfalt der eingesetzten Plattformen können sich Änderungen auf mehrere Systeme auswirken, die an verschiedenen Orten laufen. Neue Technologien wie Cloud-Anwendungen und Container sind möglicherweise unregelmäßig im Einsatz, sodass sie von den planmäßigen Scans nicht immer erfasst werden.
2020 werden Unternehmen zunehmend auf Schwachstellenscans in Echtzeit umsteigen müssen, um Probleme zu entdecken, sobald sie auftreten. Dafür ist es notwendig, dass die Teams Daten zu allen vorhandenen IT-Assets erhalten, von Cloud-Umgebungen und Containern bis hin zu herkömmlichen Endpunkten, Mobilgeräten und Webanwendungen. Um bekannte und unbekannte Anomalien zu finden, müssen die Daten zudem nicht nur verfügbar, sondern auch von hoher Qualität sein. Darüber hinaus müssen Prozesse entwickelt werden, mit deren Hilfe ein Problem schnellstmöglich behoben werden kann, um potenzielle Schäden zu minimieren, Mitarbeiter zu entlasten und eine Beeinträchtigung der Produktivität zu vermeiden.
Prognose Nr. 8: Integration und Orchestrierung werden unverzichtbar
Viele Teams implementieren Kubernetes und Software-Container, um ihre Prozesse zu verbessern und Software schneller bereitzustellen. Für die Sicherheitsmitarbeiter ist es jedoch schwierig, mit diesen neuen Prozessen und Produkten im Unternehmen mitzuhalten. Kubernetes hilft den Anwendungsteams bei der Automatisierung und Orchestrierung ihrer Dienste. Den gleichen Ansatz sollten auch die Sicherheitsteams verfolgen.
2020 werden sich die Sicherheitsteams ansehen, wie die DevOps-Teams ihre Ergebnisse erzielt haben und was sie dafür verändern mussten. Gleichzeitig werden sie versuchen, mehr Mitarbeiter zu gewinnen, die Kompetenzen bei der Erstellung von Integrationen und automatisierten Prozessen besitzen. Vor allem die Security Operations Center werden möglichst viele datenbezogene Prozesse automatisieren wollen, damit ihre Mitarbeiter produktiver arbeiten und sich mit wertschöpfenden Aufgaben befassen können.
Prognose Nr. 9: Compliance unterstützt die Sicherheitsplanung
Es gibt eine Vielzahl von Sicherheits-Frameworks, die Sicherheitsexperten nutzen können. Das Spektrum reicht vom NIST CyberSecurity Framework und den CIS Top 20 Controls bis hin zu ISO 27001 und den Datenschutzbestimmungen der DSGVO in der EU. Ziel all dieser Ansätze ist es, die Sicherheitsteams bei der Entwicklung von Best Practices zu unterstützen und ihnen zu helfen, die Komplexität moderner IT-Infrastrukturen zu beherrschen.
2020 werden die Teams dazu übergehen, Compliance-Frameworks für eine Form der Sicherheitsplanung zu nutzen, die auf Risikomanagement statt auf einem bestimmten Sicherheitsproblem oder einer bestimmten Bedrohung basiert. Sie werden die Regelwerke heranziehen, um die größten Probleme und die Geschäftsrisiken für das Unternehmen zu ermitteln und im anschließenden Schritt entsprechend zu planen. Dies wird ein Thema “für das ganze Unternehmen“ werden anstelle eines, das nur die IT-Sicherheit oder die Techniker betrifft.
Marco Rottigni ist Chief Technical Security Officer EMEA bei Qualys.
Lesen Sie mehr zum Thema
