Security Management Erfüllt die aktuelle Cybersicherheit die Anforderungen der CISOs?

Von Guy Matthews

Anbieter zum Thema

Die Cybersicherheit ist wie ein gigantischer Eisberg - riesig, komplex, ständig im Wandel, facettenreich. Von den verschiedenen Facetten hat vor allem eine die Eigenschaft, Sicherheitsexperten in Unternehmen nachts wach zu halten, und das ist die kritische Schnittstelle zwischen der Welt der Netzwerke und der Welt der Cybersecurity.

CISOs sollten alles tun, um das Element des menschlichen Versagens aus dem Risiko herauszunehmen.
CISOs sollten alles tun, um das Element des menschlichen Versagens aus dem Risiko herauszunehmen.
(Bild: ilkercelik - stock.adobe.com )

Diese Schnittstelle ist folglich nicht nur ein wesentlicher Stressfaktor für den bedrängten CISO, sondern auch das Ziel vieler Bemühungen und Investitionen in der Community der Sicherheitsanbieter. Auch Mauricio Sanchez, Research Director, Network Security & SASE/SDWAN beim unabhängigen Marktforschungsunternehmen Dell'Oro Group, hat sich eingehend mit diesem Thema befasst.

Sanchez unterteilt den Markt für Netzwerksicherheit in Produkttypen, die schon seit längerem zum Standardrepertoire gehören, und neuere Technologien, die für die Bewältigung aktuellerer Herausforderungen entwickelt wurden: „In der ersten Kategorie haben wir Lösungen wie Firewalls, E-Mail-Sicherheit und sichere Web-Gateways", erklärt er. „Einige davon werden jetzt als Plattformen in der Cloud bereitgestellt. Und auf der Anwendungs-, Bereitstellungs- und Sicherheitsseite, also näher am Rechenzentrum, gibt es Produkte wie Web-Application-Firewalls und Application-Delivery-Controller. Wenn wir dann Unternehmensnetzwerke und Sicherheit zusammenbringen, entsteht SD-WAN und das, was ich die große Konvergenz von SASE nenne."

Eine Historie der Fragmentierung

Network-Security-Trends: Cloud-basiert und End-to-End.
Network-Security-Trends: Cloud-basiert und End-to-End.
(Bild: Dell’Oro Group )

Sanchez sieht eine Reihe von Marktkräften und Trends, die die Entwicklungen in diesen Bereichen beeinflussen, wobei die Pandemie vielleicht am deutlichsten ist: „Wir haben einen enormen Anstieg von Vorfällen erlebt, seien es Ransomware oder Denial-of-Service-Angriffe", stellt er fest. „Es ist offenbar, dass die Hacker-Community die aktuelle Situation ausnutzt. Ich denke, dass hybrides Arbeiten eine zweite Marktkraft ist, die zu einer Umwälzung der Unternehmens-IT und dem Aufstieg der Remote-Arbeitskräfte geführt hat. Und dann ist da noch die Verlagerung von allem ins Internet. Die Notwendigkeit, dem Kunden ein digitales Erlebnis zu bieten, hat die Unternehmen wirklich dazu motiviert, ihr Handeln zu verbessern und zu investieren, aber damit öffnen sie sich auch einer Reihe von neuen Sicherheitsimplikationen.“

Die Cybersicherheitslandschaft der letzten 20 Jahre war, so Sanchez, eine Geschichte der Fragmentierung. Jetzt sieht er Anzeichen für eine gewisse Konsolidierung mit großen Anbietern, die noch größer werden und versuchen, die gesamten Cybersecurity-Ausgaben der CISOs abzugreifen.

„Ein weiteres Phänomen, das wir beobachten, ist die Verlagerung von der Hardware zur Cloud-basierten Netzwerksicherheit", führt er aus. „Nach dem Zeitalter von Hub-and-Spoke und Hardware, die an jedem physischen Punkt eingesetzt wurde, gibt es jetzt eine neue Generation von Sicherheitsanbietern, die ihren Wert ausschließlich über die Cloud liefern. Man muss keine Hardware mehr kaufen, sondern nur noch einen Vertrag unterschreiben und schon kann es losgehen.“

Der Anteil der Cloud-basierten Netzwerksicherheit steigt rasant.
Der Anteil der Cloud-basierten Netzwerksicherheit steigt rasant.
(Bild: Dell’Oro Group )

CR Srinivasan ist Executive Vice President, Cloud & Security Business beim globalen Carrier-Brand Tata Communications und hat zusätzlich die Verantwortung als Chief Information Security Officer und Chief Information Officer des Unternehmens. Er hat eine Reihe von bedeutenden Trends ausgemacht, die die Entwicklung des Cybersicherheitsmarktes beeinflussen: „Es gibt Remote-Arbeit und virtuelle Arbeit von überall", stellt er fest. „Eine verteilte Belegschaft ist jetzt die Norm. Außerdem drängen viele Unternehmen darauf, ihre Prozesse zu digitalisieren, ein Trend, der sich während der Pandemie noch beschleunigt hat. Es bestand die Notwendigkeit, die Zahl der Prozesse zu erhöhen, die Teil der digitalen Transformation sind. Und dann ist da natürlich noch die Verlagerung in die Cloud, die ebenfalls beschleunigt wurde, da immer mehr Arbeitslasten in diese Richtung verlagert werden. All dies übt Druck auf die Netzwerksicherheit aus.“

Er sieht außerdem, dass die Unternehmen immer mehr von ihren Kunden herausgefordert werden: „Diese Kunden suchen nach neuen Funktionalitäten, und zwar in einem schnelleren Tempo als früher. Die Unternehmen müssen mit den Markterwartungen Schritt halten und effektiv konkurrieren. Das bedeutet, dass sie viel dynamischer und anpassungsfähiger werden müssen, flexibler in dem, was sie tun. Und bei all dem wird digitales Vertrauen immer wichtiger.“

Worin besteht das Risiko?

Dr. Ronald Layton, Vice President, Converged Security Operations bei der Sallie Mae Bank, kennt sich mit digitalem Vertrauen bestens aus. Bevor er zu Sallie Mae kam, war er stellvertretender Direktor des US-Geheimdienstes mit einer Vielzahl von Aufgaben, darunter eine Aufgabe für Präsident Obama, bei der er für den täglichen Betrieb und die langfristige Strategie der Informationssysteme des Präsidenten zuständig war. Er ist außerdem ehemaliger stellvertretender Direktor der National Cybersecurity Division und Programmdirektor der Electronic Crimes Task Force. Er beschreibt sich selbst als ‚der Typ mit dem Geek-Hut und der Pistole‘.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

„Als Fachleute für Cyber-Risiken versuchen wir weiterhin, menschliches Verhalten zu verstehen und es mit einer Sicherheitsdecke zu umhüllen", erläutert er. „Meiner Meinung nach geht es bei der Sicherheit um drei Kernthemen. Der Mensch ist neugierig, er will es bequem haben und er will sich wohlfühlen, und all diese Dinge stellen eine Herausforderung für die Sicherheit dar. Als Risikoexperten müssen wir uns weiterentwickeln und auf diese Dinge reagieren.“

Was sollte ein CISO oder ein Risikoverantwortlicher angesichts des derzeitigen Klimas erhöhter Risiken tun? Dr. Layton rät in erster Linie zu einer SASE-Umgebung und zum Konzept des ‚Zero-Trust‘: "Es geht darum, wie wir uns als Risikoprofis auf diese menschlichen Verhaltensweisen einstellen, um sicherzustellen, dass wir immer noch in einer sicheren Umgebung arbeiten", ist sein Fazit.

Worin besteht nun dieses Risiko? Ryan Hammer, Chief Information Security Officer beim Anbieter Ciena, ist für die Gesamtstrategie und Ausführung der Unternehmens- und Produktsicherheitsfunktionen verantwortlich. Er verweist auf Statistiken, aus denen hervorgeht, dass ein ungepatchter Rechner mit Internetanschluss sein Überleben in Minuten, vielleicht Stunden, aber sicher nicht in Wochen oder Monaten messen kann.

„Mit der kinetischen Kriegsführung wurden die Kontrollmechanismen aufgeweicht", glaubt er. „Das Internet fühlt sich immer mehr wie ein Kriegsgebiet mit freiem Feuer an und nicht mehr nur wie eine raue Nachbarschaft. Bestimmte Sektoren sind viel stärker betroffen als andere. Aber mit einem durchlässigen Perimeter, mit Maschinen und Menschen auf der ganzen Welt, die zu unterschiedlichen Zeiten arbeiten und sich mit einer breiten Palette von Infrastrukturen verbinden, wird es für uns viel schwieriger, ohne zusätzliche Technologien auszukommen. Die Landschaft verändert sich sehr schnell, und wir als CISOs haben oft schlechte Karten. Es ist das alte Sprichwort, dass der Bedrohungsakteur nur einmal erfolgreich sein muss, aberwir müssen jedes Mal erfolgreich sein."

Eine Welt der Akronyme

Da Zero-Trust offenbar eine der besten Antworten auf dieses erhöhte Risiko ist, ist es sinnvoll, John Kindervag, SVP, Cybersecurity Strategy beim Anbieter von Managed-Security-Services ON2IT, zu hören. Er war acht Jahre lang beim Analystenunternehmen Forrester tätig, wo er das Konzept von Zero-Trust erfand.

Kindervag bezeichnet den Ransomware-Trend als eines der großen modernen Cybersecurity-Übel: „Als die Leute anfingen, sich gegen Ransomware zu versichern, führte das zu einem Anstieg der Ransomware-Angriffe", erinnert er. „Es ist wie bei der Erfindung der Lebensversicherung, als es einen Anstieg der Morde gab. Die Erfindung der Cyberversicherung hat zu einer Welle von Angriffen geführt, was letztendlich bedeutet, dass CISOs, wenn sie innovativ sein wollen, darüber nachdenken müssen, was das wirklich bedeutet."

In Anbetracht der aktuellen Lage sieht Ben de Bont, Chief Information Security Officer bei ServiceNow, seine Rolle in dreifacher Hinsicht: „Zum einen geht es darum, unser Unternehmen und unsere Kunden zu schützen, zum anderen geht es darum, unseren Kunden, von denen viele zu den am stärksten regulierten oder kritischen Infrastrukturen weltweit gehören, Vertrauen, Transparenz und Sicherheit zu bieten. Der dritte Teil besteht darin, unsere eigenen Sicherheitsprodukte zu nutzen, sie zu testen und unserer Produktabteilung Feedback zu geben."

Was können die Anbieter von Sicherheitslösungen angesichts der aktuellen Lage im Cyberspace tun? Wie können sie dem CISO besser zur Seite stehen?

„Wenn man sich die Herstellerlandschaft ansieht, gibt es wahrscheinlich 50 bis 100 Anbieter, die alle unterschiedliche Dinge tun", meint Srinivasan von Tata Communications. „Einige von ihnen sind auf einen sehr kleinen Bereich spezialisiert, und andere behaupten, viele Funktionen unter einem Dach zu vereinen, haben aber vielleicht nicht in jedem dieser Bereiche die gleichen Fähigkeiten oder die gleiche Tiefe. Ich denke, dass in vielen Bereichen eine Menge Hilfe benötigt wird."

Hammer von Ciena stimmt dem zu: "Es im Sicherheitsbereich viele Akronyme, aber für mich ist das nur ein Hinweis darauf, dass es wichtig ist, sich auf die Grundlagen zu konzentrieren", bemerkt er. „Es ist eine Sache, sich auf seine KI-DevSecOps-Strategie zu konzentrieren, aber wir müssen uns wirklich auf die Grundlagen fokussieren und sicherstellen, dass diese grundsolide sind."

Kindervag von ON2IT erinnert diejenigen, die unter Terminologieverwirrung und technischer Überlastung leiden, daran, dass Zero-Trust als Strategie und nicht als Technologie betrachtet werden sollte: „Wenn man einen strategischen Ansatz wählt, verändert man das ganze Spiel", sagt er. „Als ich 2008 zu Forrester kam, wollte ich die Strategie in die Cybersicherheit einbringen, weil die meisten Menschen Strategie und Taktik verwechseln. Auch wenn sie meinen, strategisch zu handeln, wenden sie in Wirklichkeit nur eine Taktik an. Bei Zero-Trust geht es darum, Werte zu schützen. Wenn wir nicht verstehen, was wir schützen wollen, werden wir keinen Erfolg haben."

„Eine Faustregel, die ich anwende, ist, dass wir den Sicherheitsanbietern sagen, welche Anforderungen wir haben, um das Risiko zu senken, und uns nicht von ihnen sagen lassen, welche Lösungen wir ihrer Meinung nach verwenden sollten", ist der Ratschlag von de Bont von ServiceNow. „Wir verfolgen gerne einen risikobasierten Ansatz und schauen uns an, was wir tatsächlich erreichen wollen. Und dann ziehen wir einige Produkte in Betracht, und nicht umgekehrt. Es überrascht mich ein wenig, wie oft das umgekehrt passiert."

Pragmatische Ansätze gesucht

In der Welt der Informationssicherheit verläuft kaum etwas geradlinig, und nur selten gibt es einfache Antworten, erinnert Hammer von Ciena: „Alles entwickelt sich schnell und ändert sich ständig", meint er. „Wir planen und überprüfen kontinuierlich, um sicherzustellen, dass alles in Ordnung ist. Ein wichtiger Punkt ist es nachzuweisen, dass man über ein kommerziell angemessenes Sicherheitsprogramm verfügt. Wir dürfen dabei nicht vergessen, dass wir für das Sicherheitsprogramm unseres Unternehmens verantwortlich sind, und wir müssen sicherstellen, dass alle notwendigen Teile vorhanden sind und dass die Dinge, die wir tun und die Dinge die wir tun sollten problemlos nachzuvollziehen sind. Manchmal geht es um den Schutz des Unternehmens, ein anderes Mal um den Schutz von Kundendaten, den Zugang zu unseren Partnern oder geistigem Eigentum und die Sicherung unserer Produkte."

In einer komplexen Landschaft plädiert Srinivasan von TATA für einen pragmatischen Ansatz: „Suchen Sie nach einem wirtschaftlich tragfähigen Sicherheitsprogramm und nicht nach etwas, das Sie idealerweise gerne hätten", schlägt er vor. „Denn es gibt immer einen Kompromiss zwischen dem Risiko, vor dem man sich schützen will, und den Kosten."

Dr. Layton von der Sallie Mae Bank, der Geek mit der Waffe, rät dem CISO abschließend, alles zu tun, um das Element des menschlichen Versagens aus dem Risiko herauszunehmen: „Machen Sie es den Menschen schwer, etwas zu tun, das einfach nur daneben ist. Als Risikoverantwortlicher versuchen Sie eigentlich, Überraschungen auszuschließen und Ihre Umgebung zu kontrollieren. Sie sollten nie von einem exogenen Faktor überfallen werden, den Sie nicht einkalkuliert haben. Es geht darum, all diese Stolperdrähte einzubauen, damit man zumindest eine bessere Vorstellung davon hat, was auf einen zukommt."

Ergänzendes zum Thema
Diskussionsteilnehmer
  • Analyst Chair: Mauricio Sanchez, Research Director, Network Security & SASE/SDWAN, Dell’Oro Group
  • Ryan Hammer, Chief Information Security Officer, Ciena
  • John Kindervag, SVP, Cybersecurity Strategy, ON2IT
  • Dr. Ronald Layton, Vice President, Converged Security Operations, Sallie Mae Bank
  • Ben de Bont, Chief Information Security Officer, ServiceNow

Über den Autor: Guy Matthews ist Redakteur von NetReporter.

(ID:48389935)