IT-Sicherheit - 17.06.2022

Cybersecurity-Strategie: neu gedacht.

Die Corona-Pandemie beschäftigt seit 2020 viele Unternehmen. Weitere Unsicherheiten und eine Zunahme von Risiken sehen wir auch seit Beginn des Kriegs in der Ukraine. Unterbrechungen der Lieferketten, Verzögerung in den Produktionsabläufen und eine sich verändernde Nachfrage haben erhebliche Auswirkungen. Gleichzeitig müssen Firmen ihre Prozesse anpassen: Seit Beginn dieser angespannten Lage haben viele Betriebe in Hardware, Software oder ihre digitale Infrastruktur investiert. Schnelles Handeln und die Entwicklung eines neuen Mindsets sind zur Bewältigung der anstehenden Aufgaben notwendig. Wie Unternehmen diese Fast Transformation und die daraus resultierenden verschärften Sicherheitsanforderungen meistern können, beschreibe ich in diesem Blog.

Verfasst von

Teamleitung Network & Security Engineers – CC-BISS

E-Mail: hans-juergen.martini@bechtle.com

Fast-Transformation – Drei Phasen des Wandels.

Wir gehen davon aus, dass Organisationen seit 2020 drei Phasen durchlaufen.

Phase I - Reaktion.

Unternehmen und Organisationen konzentrieren sich zunächst auf die Kontinuität des Geschäftsbetriebs und sorgen dafür, dass durch ihre Mitarbeitenden die Ausübung der Tätigkeiten, zum Beispiel im Homeoffice, gewährleistet wird. Sie ermöglichen ihren Kunden den Zugang zu Waren und Dienstleistungen. Dabei spielen Investitionen in das E-Commerce-Geschäft eine wichtige Rolle. Die Unternehmensleitung sorgt weiterhin dafür, dass Kerngeschäfte und Lieferkette aufrechterhalten werden.

Phase II - Umdenken.

Unternehmen erkennen die veränderten Markt- und Mitarbeiter:innen-Anforderungen. Diese Gegebenheit macht Platz für neue Gedanken und Visionen. Der Aufbau eines neuen und an die Zukunft angepassten Mindsets kann erfolgen. Erreicht wird dies oftmals durch eine Neukonfiguration des Produktportfolios und durch die rasche Straffung eines skalierbaren Betriebsmodells. Dabei müssen sie Sicherheitsrisiken neu bewerten und der Sicherheitsrahmen nach dem Zero-Trust-Standard priorisiert werden.

Phase III - Erneuern.

In Phase III überarbeiten die IT-Organisationen Ihre Cybersecurity-Strategie. Unternehmen erfinden sich und das zugrundeliegende Geschäftsmodell neu, um jede Chance zu nutzen, dass Unternehmen zu stärken und die Organisation und Prozesse widerstandsfähig zu machen. Eine kontinuierliche Anpassung des Unternehmens an die veränderte Geschäftslandschaft und das Anpassen der Technologien und Prozesse an Vorschriften und Compliance-Anforderungen sind maßgebliche Aufgaben dieser entscheidenden Phase. Das IT-Management muss neue Sicherheitskonzepte auf Basis einer soliden Roadmap entwickeln und implementieren. Dabei sollen Geschäftsanforderungen und Risikolage stets im Einklang stehen.

Fast-Transformation – Die Erfolgsfaktoren.

  • ANALYSE: Identifizieren Sie die Handlungsfelder und Analysieren Sie den IST-Zustand Ihrer IT-Security-Infrastruktur.
  • STRATEGIE: Verfolgen Sie Ihre Security-Roadmap, identifizieren Sie Risiken und passen Sie Ihre Strategie an die aktuelle Lage an.
  • PLAN: Entwickeln Sie Konzepte für die Umsetzung Ihrer Handlungsfelder.
  • BUILD: Richten Sie Ihre Sicherheitslandschaft nach den Ergebnissen der drei Phasen der FAST-Transformation aus.
  • RUN: Schaffen Sie ein widerstandfähiges und zukunftssicheres Betriebs- und Servicekonzept und legen Sie die Grundlage für eine erfolgreiche Transformation.

Fast-Transformation – Der Fünf-Punkte-Plan.

1. Zero Trust Die Null-Vertrauens-Mentalität.

Im Mittelpunkt dieses Konzepts steht die Überlegung, dass alles überprüft werden muss, bevor  Zugang zu Systemen und Anwendungen gewährt wird. Die Identität jeder Person, jedes Administratorkontos, jeder Anwendung, jedes Bots und Prozesses muss validiert und durch einen Steuerungs-Prozess verwaltet werden. Für diesen strategischen Ansatz müssen Netzwerk, Endgeräte, Workload und die Mitarbeitenden den Kriterien des Zero Trust entsprechen und ggf. angepasst werden. Gestärkt wird diese Null-Vertrauens-Sicherheitspolitik durch eine flächendeckende Visibilität der IT-Landschaft mit intelligenten Analysemethoden. Automatisierung und Orchestrierung weisen den Diensten, Prozessen, Services, Anwendungen oder Workloads konkrete Aufgaben zu und steuern die Abhängigkeiten untereinander. Gestützt wird das Sicherheitskonzept durch Bausteine wie Identity Access Management (IAM) und Privileged Access Management (PAM).

2. Risikobewertung.

Wenn Sie, wie viele Organisationen, kürzlich eine schnelle Änderung Ihrer Unternehmens-Architektur und den Einsatz neuer Tools für zum Beispiel Collaboration vorgenommen haben, ist es an der Zeit eine Risikobewertung Ihrer Umgebung durchzuführen.

Helfen kann Ihnen dabei der Einsatz von standardisierten Prozessen und praxisnahen Handlungsempfehlungen:

  • IT-Risiko-Management
  • Cyber-Risk-Management
  • IT-Grundschutz
  • ISO/IEC 18028 (IT-Netzwerksicherheit)
  • ISO/IEC 27005 (Informationssicherheits-Risikomanagement)
  • ISO/IEC 15816 (Sicherheitsobjekte für Zugriffskontrolle)
  • ISO/IEC 27001 (Informationssicherheit in Organisationen)

3. Priorisieren von Sicherheitsprojekten, Budgets und Ressourcen.

Das Verständnis für die Risiken, die für Ihr neu gestaltetes Ökosystem bestehen, ermöglicht es Ihnen, bei der Festlegung der Prioritäten für Sicherheitsprojekte sowie beim Einsatz von Ressourcen und Budgets maßvoll und überlegt vorzugehen. Welchen Rahmen die Projekte einnehmen und welche Aufgaben mit höchster Priorität umgesetzt werden müssen, lässt sich am besten in Workshops oder mit Hilfe eines Assessments und einer anschließenden Analyse umsetzen.

4. Vereinfachen und verbessern der Sicherheitslandschaft.

Ein mehrschichtiger Sicherheitsansatz mit den richtigen Werkzeugen ist unerlässlich, aber achten Sie auf die Reduzierung nicht benötigter Maßnahmen. Bechtle hat einen Security Standard auf Basis eines "Advanced Security Frameworks" entwickelt, der neben Netzwerk- und Perimeter-Security auch alle Bausteine hinsichtlich des kompletten Zero-Trust-Modells adressiert. Dabei stellen unsere Sicherheits-Spezialist:innen auch gewachsene Netzwerke auf den Prüfstand und denken an die Absicherung kritischer Produktionsnetze. Die konsequente Trennung von IT und OT spielt bei der Entwicklung von Netzwerk-Architekturen immer häufiger eine wesentliche Rolle. Wir entwickeln für unsere Kunden moderne, bedarfsgerechte, skalierbare und flexible Multi-Cloud-Infrastrukturen und dies immer unter dem Aspekt der "Ende-zu-Ende-Sicherheit".

5. Erneuern und modernisieren der IT-Landschaft.

Realisieren Sie Ihre Sicherheitsziele und setzen Sie auf die langfristige Verwirklichung Ihrer Sicherheitsvision.
Implementieren Sie einen ganzheitlichen Ansatz für die IT-Sicherheit und machen Sie diesen zu einem Bestandteil Ihrer digitalen Transformation.

Die richtigen Werkzeuge zur Modellierung Ihrer Sicherheitsvision sind:

  • GAP-Analyse
  • Strategische Roadmap
  • Konzepte
  • BluePrint
  • Ziel-Architektur-Plan

Fazit.

Eine erfolgreiche Modellierung oder Anpassung einer Cybersecurity-Strategie ist keine einfache Aufgabe. Die grundsätzlichen Säulen des Standard-Security-Frameworks sind gute Parameter für eine zukunftsweisende Ausrichtung: Identifizieren (identify), schützen (protect), erkennen (detect), reagieren (respond) und wiederherstellen (recover).

Das Ergebnis aller Maßnahmen ist eine Cybersecurity-Strategie, die dem dynamischen Umfeld standhält. Kommen Sie gerne auf mich zu, wenn Sie Ihre IT-Sicherheit und Ihr Unternehmen zukunftsstark aufstellen möchten.

Weitere Hilfestellung für das Gelingen einer Cloud-Migration:

Aktion: Cloud-Migration

Blog: Wie gelingt die Cloud-Transformation?

Mehr zum Themenkomplex „IT-Security-Roadmap“:

Blog: Vom IT-Security-Assessment zur IT-Security-Roadmap

Beitrag weiterempfehlen

Diesen Beitrag haben wir veröffentlicht am 17.06.2022.