:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/d1/63d1b63470a199c6d3dd30f867257cae/0114316603.jpeg "Die meisten IT-Sicherheitslösungen konzentrieren sich darauf, unrechtmäßigen Zugriff von außen zu erkennen und zu verhindern. Insider-Threats bleiben hingegen oft lange unbemerkt. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/76/4276ea2d1e8017bef9f8062a8f86460e/0114233512.jpeg "Die mit NIS2 bevorstehende Einführung von Mindeststandards im Bereich der Cybersicherheit betrifft viele Institutionen, die das Thema bisher nur stiefmütterlich behandelt haben. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/23/9d238490894591cb945d1780b486d622/0113765261.jpeg "Schnelle oder aber komplexe Cloud Migrationen sorgen für mehr Konfigurationsfehler und damit für potenziell mehr Sicherheitslücken. (Bild: dmshpak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Planung und Koordination von Security-Konzepten Was macht eigentlich ein IT-Sicherheitsarchitekt?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
Der Wert von Daten steigt und damit auch ihr Schutzbedarf. Der IT-Sicherheitsarchitekt entwickelt Sicherheitskonzepte für branchen- und kundenspezifische Anforderungen. In der Unternehmens-IT nimmt er eine immer wichtigere Schlüsselposition ein.
IT-Sicherheitsarchitekt ist keine allgemeingültige Berufsbezeichnung, ebenso wenig wie der IT-Security-Experte oder -Consultant; deren Aufgaben, Kenntnisse und Fähigkeiten hingegen sind inzwischen hinlänglich bekannt und stark nachgefragt.
Um zu verstehen, wie Berufsbezeichnungen und Aufgabengebiete entstehen, sich wandeln und irgendwann zu einer festen Größe im Bildungswesen werden, reicht ein kurzer Blick zurück: Ende der 80er Jahre tauchten die ersten Computerviren auf. Dass von ihnen eine ernste Gefahr ausgehen könnte, hat sich für das Gros der Unternehmen erst in den letzten 10 Jahren gezeigt. Vernetzung, datenbasierte Geschäftsmodelle und Kriminalität haben dazu geführt, dass heute die Cyber Security ein unersetzlicher Baustein im Unternehmen geworden ist – und mit ihr die dazugehörigen Experten, Consultants und Architekten.
Planung der Sicherheitsarchitektur
Die Funktion eines IT-Sicherheitsarchitekten – kurz IT-SA – lässt sich in Analogie zum Architekten eines Gebäudes erläutern. Ihm obliegt die technische, funktionale, gestalterische und wirtschaftliche Planung eines Gebäudes. Die Aufgaben der einzelnen Gewerke wie Maurer oder Dachdecker entsprechen den Aufgaben des Sicherheits-Experten. Er kann Funktionalitäten und Tools installieren und konfigurieren, oder auf Wunsch auch Umbauten vornehmen. Der Administrator wäre, um im Bilde zu bleiben, der Hausverwalter. Er bedient und verwaltet die Einrichtungen, die der Architekt entworfen und der Experte aufgebaut hat.
Vom Administrator über den IT-Experten bis hin zum IT-Sicherheitsarchitekten
Der Weg zur Tätigkeit als IT-SA führt häufig über ein IT-nahes Studium. Spezifische Fachkenntnisse erwirbt er sich zusätzlich über Kurse und Weiterbildungen. Am bekanntesten ist das Ausbildungsangebot des International Information Systems Security Certification Consortium zum CISSP (Certified Information Systems Security Professional). Über das BSI können erworbene Fachkenntnisse wie die des Lead Auditors ISO 27001 zertifiziert werden. Die ISO/IEC 27001 ist die den Informationssicherheits-Managementsystemen zugrundeliegende Norm. Doch weitaus häufiger erarbeitet sich der IT-SA seine Expertise über viele Jahre Praxiserfahrung. Ausgehend von einer Tätigkeit als Administrator, entwickelt er sich zum Experten, später zum Consultant und letztendlich zum Sicherheitsarchitekten. Der IT-SA muss außerdem kaufmännische Kompetenzen mitbringen. Die Evaluierung der Kosten jeder Leistung, jedes Produkts gehört zu seinem Aufgabengebiet. Oft erwartet der Kunde wiederverwendbaren Output, Designrichtlinien für weitere Security-Architekturen, auch diese muss er kalkulieren können.
Immer auf dem aktuellen Stand
In fachlicher Hinsicht sollte ein IT-Sicherheitsarchitekt die verbreitetsten Netzwerktechnologien kennen, sich intensiv mit Cyber Security auseinandersetzen, sowohl der IT Security als auch der organisatorischen Security. Da von Standardisierungsgremien (z.B. NIST = National Institute of Standards and Technology, Bundesbehörde USA) oder Communities wie der OSCD (Open Security Collaborative Development) oder The Internet Engineering Task Force (IETF) kontinuierlich Neues publiziert wird, gehören diese zu seinen wichtigsten Informationsquellen. Ohne über aktuelle Protokoll- und Security-Standards, Tools und Produkte auf dem Laufenden zu sein, kann er weder Risiken exakt einschätzen, noch seinem Kunden eine wirkungsvolle Sicherheitsarchitektur anbieten.
Softskills wie diplomatisches Geschick und Teamfähigkeit sind hilfreich. Denn Organisationen bestehen aus Menschen, die es zu begeistern oder zumindest zu überzeugen gilt. Um noch einmal zum Bild des Architekten zurückzukehren: der Kontakt zum Bewohner und zum Handwerker darf im Laufe der Arbeit nicht verloren werden. Es ist leicht, sich im Cyberspace zu verlieren und fantastische Luftschlösser zu entwerfen. Doch wenn diese nie gebaut und nicht belebt werden können, ist niemandem gedient.
Ablauf eines typischen Case beim Kunden
Die Arbeit des IT-SA fängt mit einer Analyse der vorhandenen Softwareprozesse beim Kunden an. Sein wichtigster Ansprechpartner ist der CSO. Häufig wird dabei nach dem Testing Maturity Model (TMM) vorgegangen. Die Fragen, die in dieser ersten Phase beantwortet werden müssen, lauten: Wo steht der Auftraggeber im Zusammenhang mit Cyber Security heute? Wo soll die Reise hingehen – vor allem in Hinblick auf Digitalisierung, IoT, OT-Security? Wie sieht die Awareness im Unternehmen aus und wo liegen die Prioritäten des Kunden? Der IT-SA muss dabei das große Ganze im Blick haben und darf sich nicht in Details verlieren. Er trägt für das Gesamtkonstrukt Verantwortung.
Und schon sind wir bei dem Kern seines Wissens und seiner Fähigkeiten: Was muss er dafür können?
Der Sicherheitsarchitekt ist ein Generalist mit einer breiten Wissensbasis. Detailwissen benötigt er weniger: vereinfacht ausgedrückt, er muss wissen, welche Firewalls es gibt, sie aber nicht unbedingt programmieren können. Programmiergrundkenntnisse, sind dennoch empfehlenswert, schließlich muss er beurteilen können, was technisch möglich ist, was nicht. Außerdem muss er die Anforderungen des Kunden sehr genau einschätzen können. Denn aus den Verticals des Kunden leitet er sein Framework ab. So bietet er dem einen eine Zero-Trust-Architektur an, in einem anderen Szenario reicht eine einfachere Lösung. Beratungsgeschick und Einfühlungsvermögen sind hier vonnöten.
In der Design-Phase entsteht die maßgeschneiderte Security-Architektur
Jetzt beginnt die Design-Phase. Wenn der IT-SA alle Inputs rekapituliert hat, seine Nachrecherche beendet ist, Testaufbauten vorgenommen wurden, entwirft er das eigentliche Design. Hier beginnt der kreative Teil seiner Tätigkeit und hier zeigt sich, wie gut der Sicherheitsexperte ist, da sich die Verticals je nach Branche stark unterscheiden. So sieht die Security-Architektur im Einzelhandel anders aus als die für kritische Infrastrukturen oder die für ein Unternehmen aus dem Bereich Health-Care oder aus der Industrie. Bei dem einen spielen Compliance Richtlinien eine Rolle, bei dem anderen sind die Risiken besonders hoch, bei dem Dritten müssen die Sicherheitsmaßnahmen für dessen Produkte mitgedacht werden, da diese smart und vernetzt sind.
Künftiges Arbeitsumfeld des IT-SA
Die Leistung eines IT-SA kauft sich das Unternehmen in der Regel zu, von ICT-Dienstleistern wie beispielsweise Axians IT Security. Da die Planungs- und Beratungsphase deutlich kürzer ausfällt als die Implementierungs- und Betriebs-Phasen scheint das sinnvoll. Doch das wird sich ändern. Die Bedeutung von Daten für die Prozesse im Unternehmen und als Bestandteil von Produkt oder Dienstleistung steigt – Stichwort Smart Devices. Für Unternehmen bestimmter Branchen ist die Datensicherheit immens wichtig – Banken, Versicherungen, Versorger oder das Gesundheitswesen legen schon heute ihren Fokus auf das Cyber-Security-Umfeld. Aber auch die Automobilindustrie denkt um: IT-Themen sprengen schon heute die Grenzen der ERP-Welt und ziehen sich bis ins intelligente Fahrzeug. Es ist also absehbar, dass der IT-SA fester Bestandteil einer IT-Abteilung werden wird. Nur so kann das Security-Design auf dem aktuellen Stand gehalten werden und agil in die Produkte oder Dienstleistung des Kunden einfließen. Gute IT-Sicherheitsarchitekten verfügen über eine hohe Expertise, gespeist aus jahrelanger Erfahrung, umso wichtiger ist es, sich den Zugang zu ihrem Know-how langfristig zu sichern.
Über den Autor: Ben Kröger ist seit 2002 Senior Security Consultant und Leiter Support & Managed Service bei Axians IT Security. Seit 2014 verantwortet er gesamten technischen Bereich mit den Schwerpunkten Firewalling, Sandboxing, E-Mail-, Proxy- und Surf-Security.
(ID:47549781)
:quality(80)/p7i.vogel.de/wcms/0e/23/0e230de1c20fb230dcb9f53eb72377e1/0111159525.jpeg "Das rasant zunehmende Entwicklungstempo und die zunehmenden Risiken unterstreichen die Notwendigkeit für CISOs, sich mit DevSecOps zu befassen. (Bild: Rawf8 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/e3/dae352cf5f041b05485f23af1a6c572c/0105300196.jpeg "Ein SIEM beschleunigt die Erkennung von Angriffen deutlich und entlastet die Cyberabwehr von repetitiven Routine-Aufgaben. (Bild: Sergey Nivens - stock.adobe.com)")