Digitalisierung ändert Sicherheitsarchitektur

Von der Kokosnuss zur Avocado bei der IT-Sicherheit

| Autor / Redakteur: Mathias Widler / Peter Schmitz

Die Digitalisierung bringt neue Security-Konzepte mit sich: Ein harter Kern zum Schutz der kritischen Daten und eine weiche Schale, die den Mitarbeitern die reibungslose Verbindung mit Anwendungen und externen Kunden und Partnern ermöglicht.
Die Digitalisierung bringt neue Security-Konzepte mit sich: Ein harter Kern zum Schutz der kritischen Daten und eine weiche Schale, die den Mitarbeitern die reibungslose Verbindung mit Anwendungen und externen Kunden und Partnern ermöglicht. (Bild: Pixabay / CC0)

Bisher basierten Sicherheitsansätze darauf, es den Angreifern so schwer wie möglich zu machen ins Netzwerk einzudringen. Unter­nehmen errichteten eine Security-Ansätze mit vielschichtigen Abwehrmechanismen und Produkten unterschiedlicher Hersteller für die gleiche Aufgabe. Der Gedanke dabei: Wenn ein Produkt eine Bedrohung nicht erkennt, dann soll ein anderes die Gefahr bannen.

Das Modell, dass Produkte unterschiedlicher Hersteller für die gleiche Aufgabe zum Einsatz kommen, entspricht der Kokosnuss. Eine harte, kaum zu knackende Schale bietet Angriffen Paroli. Die Kronjuwelen eines Unternehmens – das geistige Eigentum und Datenbestände - sind hinter der harten Schale gut geschützt. Das Problem dieses Modells besteht in dem weichen, flüssigen Inneren der Kokosnuss. Um bei der Analogie zu bleiben bedeutet das für Angreifer, die es geschafft haben die Schale zu überwinden, dass sie auf die Daten zugreifen können.

Die Nachteile des Kokosnuss-Modells

Im Lauf der Jahre haben die Hacker allerdings dazugelernt und neue Angriffsmethoden entwickelt, um die harte Schale zu knacken. Zero-Day Attacken sind nur ein Beispiel dafür, wie traditionelle Sicherheitsmaßnahmen unterlaufen werden können, die auf Schutz auf Basis von bekannten Malware-Mustern beruhen. Dual-Vendor-Strategien laufen hier ins Leere, da alle Hersteller gleichermaßen ihre Schwierigkeiten mit der Erkennung von Zero-Day Angriffen und damit unbekannten Pattern haben.

Zusätzlich schafft ein Ansatz mit verschiedenen Herstellern mehr Komplexität. Eine einheitliche Sicherheitskonfiguration als Abwehrmechanismus aufrechtzuerhalten wird mit zunehmender Hardware-Anzahl schwieriger. Zudem leiden die Mitarbeiter unter mangelhafter Benutzerfreundlichkeit. Sie haben oftmals einige Schritte zu durchlaufen, bevor sie auf ihre Anwendungen zugreifen können und die Latenz steigt mit Zunahme der Hardware, die die Datenströme erst filtern muss. Ungeduldige Mitarbeiter entwickeln nicht selten Strategien, um die Sicherheitsinfrastruktur zu unterlaufen, auf der Suche nach Anwendungen die ihnen die Arbeit erleichtern. Das Kokosnuss-Modell gestaltet sich aufgrund des Aufwands für die Implementierung und Wartung, sowie Updates mit neuen Policies als Herausforderung für die IT-Abteilung und damit als Achillesferse für Sicherheit des Unternehmens.

Digitalisierung bedingt Veränderung

Durch die digitale Transformation verändert sich die Geometrie eines Netzwerks und ein Überdenken des Sicherheitsansatzes ist gefordert. Die Geschäftsmodelle von Unternehmen wandeln sich durch die Cloud und schaffen Chancen und öffnen neue Märkte. Damit einhergehend verlagert sich die Vorhaltung von Anwendungen und Daten. Sie werden durch die Cloudifizierung nicht mehr innerhalb des Unternehmens-Perimeters vorgehalten. Office 365, Azure, Salesforce und Google Drive zeigen die neuen Möglichkeiten auf – Anwendungen und Daten stehen den Mitarbeitern über die Cloud zur Verfügung.

Auch die Art, wie Mitarbeiter auf ihre Daten zugreifen ändert sich. Der Bedarf nach ununterbrochener Anbindung ans Internet wächst durch die Cloud und die zunehmende Mitarbeitermobilität. Road Warriors bewegen sich außerhalb des physikalischen Perimeters des Unternehmensnetzes. Zugunsten höherer Flexibilität kehrt die IT-Welt dem zentralisierten Rechenzentrums- und Netzwerkmodell den Rücken. Mitarbeiter sind nicht mehr an einen fixen Arbeitsplatz in einer Niederlassung des Unternehmens gebunden. Einer aktuellen Studie zufolge Pendeln bereits 20 – 25 Prozent der Belegschaft häufig zwischen Standorten und 50 Prozent der Arbeitnehmer haben bereits ein Betätigungsfeld, das mit mobilem Arbeiten kompatibel ist. Mobilität ist zum Alltag der Mitarbeiter geworden und damit werden mobile Geräte eingesetzt, um auf Daten und Anwendungen außerhalb des Unternehmensnetzes zuzugreifen.

Um das mobile Arbeiten effizient zu gewährleisten, verlangen die Mitarbeiter nahtlosen Zugriff auf ihre IT-Systeme, unabhängig von ihrem Standort und davon, wo Daten und Anwendungen vorgehalten werden. Über die althergebrachte IT-Infrastruktur ist die IT-Abteilung damit gefordert, den sicheren Zugriff zu ermöglichen, ohne die Netzwerksicherheit zu gefährden. Ein neuer Ansatz muss also nicht nur das Sicherheitsniveau berücksichtigen, sondern darüber hinaus auch mit der geforderten Anwenderfreundlichkeit in Einklang gebracht werden. Das Kokosnuss-Modell, das durch eine harte Schale das Innere der Netzwerkarchitektur beschützt muss, einem umgekehrten Modell weichen.

Von der Kokosnuss zur Avocado

Gefordert ist ein Modell mit einem harten Kern zum Schutz der kritischen Daten und mit einer weichen Schale, die den Mitarbeitern die reibungslose Verbindung mit Anwendungen sowie externen Kunden und Partnern ermöglicht. Der Zugriff wird dabei so einfach wie möglich gestaltet, ohne die Sicherheit der Daten im Inneren zu gefährden: das entspricht dem Avocado-Modell.

Im Zentrum der Überlegung steht dabei, dass nicht alle Assets mit dem gleichen Schutzniveau versehen sein müssen. Ein Beispiel: Intranet-Inhalte, die für alle Mitarbeiter sichtbar sind, benötigen nicht den gleichen Schutzschirm, wie Finanzdaten, das Personalwesen oder Konstruktionspläne neuer Produktentwicklungen. Unternehmen müssen also klassifizieren, welche Assets mit welchem Schutzniveau versehen werden müssen. Die Daten mit den höchsten Sicherheitsanforderungen werden im harten Kern der Avocado vorgehalten und gleichzeitig erhalten die Mitarbeiter durch die weiche Schale unbeeinträchtigten Zugang zu Anwendungen und Daten.

Der performante Zugriff wird möglich, wenn Datenströme nicht mehr für die Sicherheitskontrolle durch die Appliances in der Unternehmenszentrale reisen müssen, bevor der Zugang ins Internet und damit die Cloud geöffnet wird. Direktes Ausbrechen ins Internet von jedem Standort reduziert die Latenz durch den kostentreibenden Umweg über die zentral vorgehaltene Sicherheitsinfrastruktur und senkt gleichzeitig MPLS-Kosten.

Um die Sicherheit bei einem solchen direkten Zugriff Rechnung zu tragen, ist ein veränderter Ansatz des Identitätsmanagements nötig, der dem Zero-Trust Modell der User-Authentifizierung folgt. Beim herkömmlichen Remote Access Zugriff erhält der glaubwürdige Anwender über VPN-Zugriff auf das gesamte Netzwerk mit allen Anwendungen und Daten. Im Gegenzug dazu erfolgt beim Zero-Trust Modell der Zugriff erst nach erfolgter Authentifizierung des Anwenders über ein Konzept des Identitätsmanagements, bei dem die Sicherheits-Policies unabhängig vom Standort des Anwenders greifen und nur Applikationen bereitgestellt werden, für die auch die Zugriffsrechte vorhanden sind. Darüber hinaus beleuchtet dieser Absatz detailliert die Unterschiede, wo die Absicherung der Applikationen beim Kokosnuss sowie beim Avocado-Ansatz stattfindet.

Über den Autor: Mathias Widler ist Regional Vice President und General Manager, Central EMEA bei Zscaler.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45670570 / Sicherheits-Policies)