Wie sich der gordische Knoten der IT-Sicherheit zerschlagen lässt

Cloud Migration, neue Workplace-Konzepte, die Konvergenz von IT und OT, Künstliche Intelligenz – die Liste an Themen, die in Sachen Cyber-Sicherheit von einer IT-Organisation zu bewältigen ist, scheint endlos. Die Security-Verantwortlichen müssen unterschiedlichste Services abteilungsübergreifend kombinieren und am Laufen halten und diese Anforderungen oft noch mit Legacy Infrastruktur abdecken. Sie sehen sich dadurch nicht selten einem gordischen Knoten an Komplexität gegenüberstehen. Guter Rat tut Not, wie sich ein solcher Knoten zur Zufriedenheit aller lösen lässt, ohne die Sicherheit einer Organisation bei der stetig steigenden Cyber-Bedrohungslage zu vernachlässigen.

Moderne IT-Plattformen erlauben es heute, Entscheidungen für eine vereinfachte und optimierte Infrastruktur in Kombination mit der notwendigen Sicherheit dezentral auf Ebene einzelner Anwendungen zu treffen und dabei Autonomie, Mitarbeiterzufriedenheit und die Produktivität zu steigern. Wie ein solcher „Shift-Left“ zur Komplexitätsreduktion mit einem Kulturwandel hin zu dezentraler Sicherheit einhergehen kann, wollen wir auf der it-sa demonstrieren.

Komplexität als Feind der IT-Sicherheit

Komplexität ist in den heutigen IT-Umgebungen einer der Haupthinderungsgründe für effektive Sicherheit. Viele Unternehmen ahnen, dass sie einen grundlegenden Wandel einleiten müssen, um ihre über die Jahre komplex gewachsene Infrastruktur zu entzerren, aber es fehlt die Vision, sich aus diesem Dilemma zu befreien. Zu viele Abteilungen und Services (wie Netzwerk, Cybersecurity und Workplace) müssen zusammenspielen, um Konnektivität und Sicherheit für Business-Applikationen bereitzustellen. Dabei ist ein typischer Querschnitts-Service wie zum Beispiel das Netzwerkteam abhängig von sehr vielen anderen Services und Bereichen, um den Betrieb sicherzustellen. Diese Vernetzung verlangsamt nicht nur Entscheidungsprozesse, sondern stellt  eine signifikante Fehlerquelle dar und kann Veränderungen sehr kompliziert gestalten.

Um diesen gordischen Knoten der Komplexität zu zerschlagen, bietet sich die folgende Vorgehensweise an: 

1. Es gilt, den vorhandenen Stack an Einzellösungen zu vereinheitlichen. Dazu müssen Point-Produkte reduziert und ca. drei bis vier übergreifende Plattformen aufgebaut werden. Ein solcher Veränderungsprozess muss zentral angestoßen werden, aber alle beteiligten Parteien sollten an den runden Tisch geholt werden. 
2. In einem weiteren Schritt muss die Konfigurationslast für die Policies auf diesen  Plattformen weg von der zentralen IT-Security-Abteilung auf mehrere Schultern verteilt werden. 

Durch ein solches Zerkleinern und Verlagern der Policy-Arbeit gewinnen Organisationen die gewünschte Agilität und auch Unabhängigkeit der Service-Teams zurück. Der Hintergedanke dabei: ein zentrales Sicherheitsteam, das die Verantwortung für die Richtlinien global trägt, kennt die Anforderungen der vielen einzelnen Applikationen in der Regel nicht. Ist aber eine schnelle Reaktionsfähigkeit gefragt, um Policies für einzelne User-Gruppen zu modifizieren, hat die Applikationsabteilung den besseren Einblick in die Bedürfnisse. Ein solcher “Shift-Left” transferiert die end-to-end Verantwortung für die Sicherheit in die Applikationsebene und entzerrt die Komplexität in der IT- und Cybersecurity-Abteilung.

Wie funktioniert der Shift-Left?

Um Komplexität zu reduzieren, lautet die Devise der Stunde nicht nur die Zahl der Security-Produkte zu Gunsten eines Plattformansatzes zu reduzieren, sondern auch den Aufgabenumfang der IT-Abteilung in kleinere Häppchen zu schneiden. Der Application Owner erhält im Zuge des Shift-Left den Auftrag, sich end-to-end um seinen Service zu kümmern. Anstelle eines zentral vorgehaltenen IT-Teams übernimmt die Fachabteilung dezentral die Konfiguration, das Patchen und die Verwaltung der Security-Policies. Eine solche Verlagerung der Verantwortung ist oft eine massive Veränderung, die nicht leicht in Gang zu setzen ist. 

Dieses neue Empowerment wird in einem ersten Schritt einen internen Kampf um Posten und Responsibilities auslösen. Hier müssen die Vorteile des neuen Modells immer wieder erläutert werden. Eine konsequente Umstellung bedarf einer kompletten Neuorganisation der Prozesse, die letztlich aber zu der gewünschten Agilität und einer höheren Resilienz gegen Sicherheitsvorfälle führen. Die Verantwortlichen auf Service-Ebene erhalten die Autonomie zur selbständigen Weiterentwicklung ihrer Dienste, die an den Bedarf des Business angepasst sind. 

Kulturwandel zu mehr Autonomie

Moderne IT-Plattformen wie die Cloud-basierte und KI-unterstützte Zero Trust Exchange-Plattform von Zscaler schaffen die Basis für dezentrale Anpassungen, z.B. über API Steuerung direkt aus der DevOps Pipeline heraus. Ein Empowerment der Applikationsverantwortlichen gestaltet neue mächtige Rollen in einem Unternehmen und schafft gleichzeitig Einsparpotenzial. Das zentrale Prozessgetriebe wird ausgedünnt durch die Abschaffung vermittelnder Querschnittsfunktionen, geht allerdings auch mit der Schaffung großer Ende-zu-Ende Verantwortung auf Applikationsebene einher.

Hier bedarf es der passenden Man Power auf Ebene der Applikation, die sich inhaltlich mit dem Service auskennt. Im Zuge der Umsetzung eines Shift-Left-Modells ist oft auch ein Upskilling der Applikations-Verantwortlichen erforderlich. Als ein solcher Manager des Services wird der laufende Betrieb über ein Dashboard für eine begrenzte Anzahl eigener Anwendungen überwacht. Zeigt das Security Dashboard Auffälligkeiten, werden im Zuge eines kontinuierlichen Risikomanagements Anpassungen an den Policies erforderlich, die der Applikation-Owner aufgrund seiner Fachkenntnis schnell selbst implementieren kann. Für die Applikations-Segmentierung und die Transparenz über alle Datenströme sorgt eine Security-Plattform, die zwar zentral vorgehalten wird, aber auf Grundlage des Cloud-basierten Footprints lokal verwaltet werden kann.

Wie eine Zero Trust-Plattform diesen Wandel ermöglicht, wird auf der it-sa am Mittwoch, den 23. Oktober auf dem Forum 6A von 11:00  bis 11:15 Uhr erläutert.