01.07.2021

Vom IT-Security-Assessment zur IT-Security-Roadmap – So gelingt das Re-Design der IT-Landschaft.

Die Corona-Pandemie hat die digitale Transformation in deutschen Unternehmen massiv beschleunigt. Die Verantwortlichen in den Vorstands- und Chefetagen haben diese Entwicklungen maßgeblich vorangetrieben. Im Sinne einer modernen Unternehmensführung stehen sie gleichzeitig aber auch bei der IT-Sicherheit in der Verantwortung. Wie gelingt es Unternehmen, die IT-Landschaft den aktuellen Security-Anforderungen anzupassen?

Verfasst von

Team Leader Network & Security Engineers – CC-BISS

E-Mail: hans-juergen.martini@bechtle.com

Risiken der digitalen Transformation.

Die Vorteile einer digitalisierten Unternehmenswelt stehen auch immer im direkten Kontext mit zahlreichen digitalen Risiken. Für Cyberkriminelle war es nie einfacher, Unternehmensgeheimnisse oder Kundendaten zu stehlen. Gleichzeitig können sie - bei mangelnden Sicherheitsvorkehrungen von Seiten der Unternehmen - einen laufenden Betrieb sabotieren (z. B. durch eine Ransomware-Attacke). Dabei drohen den Unternehmen neben Klagen wegen verlorener Kundendaten im Rahmen der DSGVO auch weitreichende Reputationsverluste. Eine modern ausgerichtete Unternehmensführung muss daher die Vorzüge der digitalen Transformation mit einer umfassenden IT-Sicherheitsstrategie schützen.

Herausforderung IT-Sicherheit.

Cyberangriffe gehören mittlerweile zu den größten Betriebsrisiken. Denn eines ist spätestens seit dem Hafnium-Hack jedem IT-Verantwortlichen klar geworden: Die potenziellen Gefahren und Angriffsmethoden werden immer ausgeklügelter und so mancher IT-Administrator sieht sich im Spagat zwischen der geforderten Umsetzung der unternehmerisch wichtigen Datenkommunikation und den eigenen Ansprüchen zur Absicherung dieser Kommunikationswege und deren Applikationen. Und in Bezug auf ausreichende Budgets für die aktuellen IT-Sicherheitsbelange sind die Haushaltspläne der Unternehmensführung nicht immer zur vollsten Zufriedenheit der CISOs und IT-Security-Verantwortlichen ausgerichtet.

Die Folgerung: Heute findet man glücklicherweise in Unternehmen das Thema IT-Security zwar als einer der ersten Punkte in der Agenda zur Ausrichtung der Unternehmens-IT, aber die Marschrichtung und Zielvorgaben werden nicht ausreichend beschrieben.

Informationstechnik damals und heute.

In der Vergangenheit wurden IT-Infrastrukturen und Computernetze eher unter dem Aspekt von notwendigen Verbindungen zwischen IT-Endgeräten und Servern entwickelt. Die IT-Sicherheit spielte tendenziell eine untergeordnete Rolle und wurde oftmals nur stiefmütterlich behandelt. Netzwerke waren flach ausgeprägt und boten wenig bis gar keine Sicherheit. Dies ist laut BSI in zu vielen Unternehmen in Deutschland noch immer der Fall. Mit Blick auf den aktuellen Stand der IT-Sicherheit in Organisationen ist es deshalb auch nicht überraschend, dass Cyberkriminelle immer wieder Einfallstore finden.

Sicherheitsorientierte IT-Infrastrukturen.

Trotzdem sehen wir heute einen Trend zur sicheren Bereitstellung von Netzwerken und ganzen IT-Infrastrukturen. Themen wie Mikro-Segmentierung, Software-defined Networking, Zugriffs- und Datenflusskontrolle, Next-Generation-Firewall, Identitätsmanagement, SIEM, Analytics und SOC-Dienste spielen dabei entscheidende Rollen. Wir befinden uns inmitten eines Paradigmenwechsels. Die Entwicklung schreitet voran – vom verbindungsorientierten Planungsansatz hin zu einem sicherheitsorientieren und applikationszentrischen Ansatz einer IT-Planung. Im Gegensatz zu früheren Planungsmodellen, bei denen man sich sehr auf die Verbindungen von Standorten konzentrierte, rücken heute Applikationen und Benutzer in den Mittelpunkt des Geschehens.

Ausrichtung für die Zukunft.

Gerade in der aktuell sehr dynamischen und schnelllebigen Zeit, auch bedingt durch die Corona-Pandemie, werden Geschäftsführer und IT-Entscheider immer häufiger mit den Fragen einer bedarfsgerechten IT-Sicherheit konfrontiert. Es gilt, mit dem Unvorhersehbaren Schritt zu halten.

Die Mobilität nimmt stark an Fahrt auf. Was gestern noch als Sonderfall einzelner Abteilungen behandelt wurde, ist heute in den meisten Enterprise-Unternehmen fest etabliert und ebenso ein integraler Bestandteil des Geschäftsmodells geworden. Das Thema Homeoffice - oder neudeutsch „Arbeitsplatz der Zukunft“ - ist in Organisationen nicht mehr wegzudenken. Die voranschreitende Transformation von Applikationen und Identitäten in die Cloud ist zum Synonym der eigenen Digitalisierung und zum Kennzeichen eines zukunftsfähigen Unternehmens geworden.

Ganze Netzwerke und Rechenzentren werden umgebaut oder modernisiert, um die notwendigen Anforderungen im Sinne der IT-Sicherheit umsetzen zu können. Neue interne Next-Generation-Firewalls werden in Rechenzentren und Cloud-Rechenzentren platziert, um die wichtigen Server und Applikationen vor Schadcode und unbefugtem Zugriff zu schützen. Die Weiterverkehrsnetze (WAN) werden zu Software-defined WAN (SD-WAN) umgestaltet, um den Weg in die Cloud abzusichern und die Unternehmenskommunikation effizienter zu gestalten. Traditionelle Remote-Access-Lösungen werden zu modernen SASE-Lösungen umgestaltet.

Sicherheitsverantwortliche wissen längst um die prekäre Situation und sehen gerade in der aktuellen Lage Nachholbedarf. Maßnahmen der IT-Sicherheit helfen doch gerade in den aktuell herausfordernden Zeiten, Risiken zu minimieren. Sie verringern die Wahrscheinlichkeit für kostspielige Angriffe und sichern damit Wertschöpfung – und nicht zuletzt Arbeitsplätze.

Analyse - Sortieren - Abarbeiten.

Doch wie gelingt es Organisationen, aus einem Geflecht von IT-Sicherheitsvorgaben, businessgetriebenen Anforderungen, unternehmerischen Prozessen und dem aktuellen Tagesgeschäft den Überblick zu behalten und die richtigen Maßnahmen und Projekte in Sinne einer sicheren IT zu identifizieren?

Die Frage, wie man die für viele mittelständische Unternehmen große Herausforderung eines Re-Designs der IT-Landschaft angeht, lässt sich mit einem einfachen Dreisatz beantworten: Es gilt, die aktuelle Lage zu sondieren (Analyse), Prioritäten zu setzen (Sortieren) und daraus die Projekte abzuleiten (Abarbeiten).

Helfen kann dabei ein IT-Security-Assessment, also eine Art Ist-Aufnahme der IT-Infrastruktur. Anhand vielfältiger Informationen, der Feststellung der aktuellen Ausgangslage und unter Berücksichtigung von Best-Practice-Strategien sind unsere IT-Security-Spezialisten des BISS (Bechtle Internet Security & Services) in der Lage, Ihnen eine Blaupause einer möglichen neuen Ausrichtung Ihrer IT-Security zu erarbeiten.

Der darin enthaltene Maßnahmenplan ist mit Prioritäten und Arbeitspaketen so aufgestellt, dass Sie einen klaren Handlungsrahmen vorfinden und dabei die zeitliche Komponente immer im Auge behalten können.

Kommen Sie gerne auf mich zu  – wir finden einen gemeinsamen Weg, um Ihre IT für die Zukunft mit den richtigen Sicherheitsarchitekturen auszurichten.

Beitrag weiterempfehlen

Diesen Beitrag haben wir veröffentlicht am 01.07.2021.