:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Planung und Koordination von Security-Konzepten Was macht eigentlich ein IT-Sicherheitsarchitekt?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/118100/118185/65.jpg "VIT_Logo_Akademie.jpg ()")
Der Wert von Daten steigt und damit auch ihr Schutzbedarf. Der IT-Sicherheitsarchitekt entwickelt Sicherheitskonzepte für branchen- und kundenspezifische Anforderungen. In der Unternehmens-IT nimmt er eine immer wichtigere Schlüsselposition ein.
IT-Sicherheitsarchitekt ist keine allgemeingültige Berufsbezeichnung, ebenso wenig wie der IT-Security-Experte oder -Consultant; deren Aufgaben, Kenntnisse und Fähigkeiten hingegen sind inzwischen hinlänglich bekannt und stark nachgefragt.
Um zu verstehen, wie Berufsbezeichnungen und Aufgabengebiete entstehen, sich wandeln und irgendwann zu einer festen Größe im Bildungswesen werden, reicht ein kurzer Blick zurück: Ende der 80er Jahre tauchten die ersten Computerviren auf. Dass von ihnen eine ernste Gefahr ausgehen könnte, hat sich für das Gros der Unternehmen erst in den letzten 10 Jahren gezeigt. Vernetzung, datenbasierte Geschäftsmodelle und Kriminalität haben dazu geführt, dass heute die Cyber Security ein unersetzlicher Baustein im Unternehmen geworden ist – und mit ihr die dazugehörigen Experten, Consultants und Architekten.
Planung der Sicherheitsarchitektur
Die Funktion eines IT-Sicherheitsarchitekten – kurz IT-SA – lässt sich in Analogie zum Architekten eines Gebäudes erläutern. Ihm obliegt die technische, funktionale, gestalterische und wirtschaftliche Planung eines Gebäudes. Die Aufgaben der einzelnen Gewerke wie Maurer oder Dachdecker entsprechen den Aufgaben des Sicherheits-Experten. Er kann Funktionalitäten und Tools installieren und konfigurieren, oder auf Wunsch auch Umbauten vornehmen. Der Administrator wäre, um im Bilde zu bleiben, der Hausverwalter. Er bedient und verwaltet die Einrichtungen, die der Architekt entworfen und der Experte aufgebaut hat.
Vom Administrator über den IT-Experten bis hin zum IT-Sicherheitsarchitekten
Der Weg zur Tätigkeit als IT-SA führt häufig über ein IT-nahes Studium. Spezifische Fachkenntnisse erwirbt er sich zusätzlich über Kurse und Weiterbildungen. Am bekanntesten ist das Ausbildungsangebot des International Information Systems Security Certification Consortium zum CISSP (Certified Information Systems Security Professional). Über das BSI können erworbene Fachkenntnisse wie die des Lead Auditors ISO 27001 zertifiziert werden. Die ISO/IEC 27001 ist die den Informationssicherheits-Managementsystemen zugrundeliegende Norm. Doch weitaus häufiger erarbeitet sich der IT-SA seine Expertise über viele Jahre Praxiserfahrung. Ausgehend von einer Tätigkeit als Administrator, entwickelt er sich zum Experten, später zum Consultant und letztendlich zum Sicherheitsarchitekten. Der IT-SA muss außerdem kaufmännische Kompetenzen mitbringen. Die Evaluierung der Kosten jeder Leistung, jedes Produkts gehört zu seinem Aufgabengebiet. Oft erwartet der Kunde wiederverwendbaren Output, Designrichtlinien für weitere Security-Architekturen, auch diese muss er kalkulieren können.
Immer auf dem aktuellen Stand
In fachlicher Hinsicht sollte ein IT-Sicherheitsarchitekt die verbreitetsten Netzwerktechnologien kennen, sich intensiv mit Cyber Security auseinandersetzen, sowohl der IT Security als auch der organisatorischen Security. Da von Standardisierungsgremien (z.B. NIST = National Institute of Standards and Technology, Bundesbehörde USA) oder Communities wie der OSCD (Open Security Collaborative Development) oder The Internet Engineering Task Force (IETF) kontinuierlich Neues publiziert wird, gehören diese zu seinen wichtigsten Informationsquellen. Ohne über aktuelle Protokoll- und Security-Standards, Tools und Produkte auf dem Laufenden zu sein, kann er weder Risiken exakt einschätzen, noch seinem Kunden eine wirkungsvolle Sicherheitsarchitektur anbieten.
Softskills wie diplomatisches Geschick und Teamfähigkeit sind hilfreich. Denn Organisationen bestehen aus Menschen, die es zu begeistern oder zumindest zu überzeugen gilt. Um noch einmal zum Bild des Architekten zurückzukehren: der Kontakt zum Bewohner und zum Handwerker darf im Laufe der Arbeit nicht verloren werden. Es ist leicht, sich im Cyberspace zu verlieren und fantastische Luftschlösser zu entwerfen. Doch wenn diese nie gebaut und nicht belebt werden können, ist niemandem gedient.
Ablauf eines typischen Case beim Kunden
Die Arbeit des IT-SA fängt mit einer Analyse der vorhandenen Softwareprozesse beim Kunden an. Sein wichtigster Ansprechpartner ist der CSO. Häufig wird dabei nach dem Testing Maturity Model (TMM) vorgegangen. Die Fragen, die in dieser ersten Phase beantwortet werden müssen, lauten: Wo steht der Auftraggeber im Zusammenhang mit Cyber Security heute? Wo soll die Reise hingehen – vor allem in Hinblick auf Digitalisierung, IoT, OT-Security? Wie sieht die Awareness im Unternehmen aus und wo liegen die Prioritäten des Kunden? Der IT-SA muss dabei das große Ganze im Blick haben und darf sich nicht in Details verlieren. Er trägt für das Gesamtkonstrukt Verantwortung.
Und schon sind wir bei dem Kern seines Wissens und seiner Fähigkeiten: Was muss er dafür können?
Der Sicherheitsarchitekt ist ein Generalist mit einer breiten Wissensbasis. Detailwissen benötigt er weniger: vereinfacht ausgedrückt, er muss wissen, welche Firewalls es gibt, sie aber nicht unbedingt programmieren können. Programmiergrundkenntnisse, sind dennoch empfehlenswert, schließlich muss er beurteilen können, was technisch möglich ist, was nicht. Außerdem muss er die Anforderungen des Kunden sehr genau einschätzen können. Denn aus den Verticals des Kunden leitet er sein Framework ab. So bietet er dem einen eine Zero-Trust-Architektur an, in einem anderen Szenario reicht eine einfachere Lösung. Beratungsgeschick und Einfühlungsvermögen sind hier vonnöten.
In der Design-Phase entsteht die maßgeschneiderte Security-Architektur
Jetzt beginnt die Design-Phase. Wenn der IT-SA alle Inputs rekapituliert hat, seine Nachrecherche beendet ist, Testaufbauten vorgenommen wurden, entwirft er das eigentliche Design. Hier beginnt der kreative Teil seiner Tätigkeit und hier zeigt sich, wie gut der Sicherheitsexperte ist, da sich die Verticals je nach Branche stark unterscheiden. So sieht die Security-Architektur im Einzelhandel anders aus als die für kritische Infrastrukturen oder die für ein Unternehmen aus dem Bereich Health-Care oder aus der Industrie. Bei dem einen spielen Compliance Richtlinien eine Rolle, bei dem anderen sind die Risiken besonders hoch, bei dem Dritten müssen die Sicherheitsmaßnahmen für dessen Produkte mitgedacht werden, da diese smart und vernetzt sind.
Künftiges Arbeitsumfeld des IT-SA
Die Leistung eines IT-SA kauft sich das Unternehmen in der Regel zu, von ICT-Dienstleistern wie beispielsweise Axians IT Security. Da die Planungs- und Beratungsphase deutlich kürzer ausfällt als die Implementierungs- und Betriebs-Phasen scheint das sinnvoll. Doch das wird sich ändern. Die Bedeutung von Daten für die Prozesse im Unternehmen und als Bestandteil von Produkt oder Dienstleistung steigt – Stichwort Smart Devices. Für Unternehmen bestimmter Branchen ist die Datensicherheit immens wichtig – Banken, Versicherungen, Versorger oder das Gesundheitswesen legen schon heute ihren Fokus auf das Cyber-Security-Umfeld. Aber auch die Automobilindustrie denkt um: IT-Themen sprengen schon heute die Grenzen der ERP-Welt und ziehen sich bis ins intelligente Fahrzeug. Es ist also absehbar, dass der IT-SA fester Bestandteil einer IT-Abteilung werden wird. Nur so kann das Security-Design auf dem aktuellen Stand gehalten werden und agil in die Produkte oder Dienstleistung des Kunden einfließen. Gute IT-Sicherheitsarchitekten verfügen über eine hohe Expertise, gespeist aus jahrelanger Erfahrung, umso wichtiger ist es, sich den Zugang zu ihrem Know-how langfristig zu sichern.
Über den Autor: Ben Kröger ist seit 2002 Senior Security Consultant und Leiter Support & Managed Service bei Axians IT Security. Seit 2014 verantwortet er gesamten technischen Bereich mit den Schwerpunkten Firewalling, Sandboxing, E-Mail-, Proxy- und Surf-Security.
(ID:47549781)
:quality(80)/images.vogel.de/vogelonline/bdb/1933800/1933897/original.jpg "Cybersecurity ist kein Add-On, sondern der Schlüssel für eine erfolgreiche Digitalisierung. (photon_photo - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1896200/1896232/original.jpg "Security by Design ist ein Designansatz in der Hard- und Softwareentwicklung, der schon im Entwicklungsprozess die Berücksichtigung der Sicherheit verlangt. (gemeinfrei)")