InfoGuard AG (Hauptsitz)
Lindenstrasse 10
6340 Baar
Schweiz
InfoGuard AG
Stauffacherstrasse 141
3014 Bern
Schweiz
InfoGuard Deutschland GmbH
Landsberger Straße 302
80687 München
Deutschland
Vermutlich machen das viele von Ihnen, wenn das neue Jahr sanft an die Türe klopft: Ein Blick zurück auf das Arbeitsjahr. Was hat mich und meine Kunden beschäftigt? Ein guter Startpunkt für mich ist jeweils ein Blick über die Kundenmandate, die ich im 2021 ausführen durfte. Dieser Blogartikel ist eine (konkretisierte) Weiterführung des Beitrags «Der (nicht) alltägliche Job eines Sicherheitsarchitekten». Die darin abgehandelten Themen haben nicht den Anspruch, repräsentativ für alle Freuden und Sorgen unserer Sicherheitsarchitektur-Kunden zu sein, aber sie geben einen Einblick, was für Themen und Herausforderungen sie beschäftigten. Folgend einige Einblicke…
Die Aufträge variierten von wenigen Tagen bis zu mehreren Monaten. Ein Hinweis, dass unsere Kunden unterschiedliche Bedürfnisse und Fragen im Bereich der Sicherheitsarchitektur-Dienstleistungen haben. Während die einen spezifische Fragen beantwortet haben möchten, fokussierten andere auf umfängliche Sicherheitsarchitektur-Themen. Letztere Aufträge haben typischerweise eine längere Laufzeit.
Manchmal musste ich schmunzeln, wenn ich von Kunden gefragt wurde, ob Zero Trust realistisch oder ein «konzeptionelles Hirngespinst» sei. Das war tatsächlich eine der häufigsten Fragen zu Zero Trust im 2021! Ich beschäftige mich auch im Rahmen meiner Referenten-Tätigkeit an der Hochschule Luzern (HSLU) mit Zero Trust. Das Konzept Zero Trust ist definitiv weder ein Hirngespinst noch eine Eintagsfliege. Zero Trust ist jedoch auch nichts vollständig Neues, sondern eine geschickte Kombination von bekannten und etablierten Sicherheitsmerkmalen, bestehend aus:
Die Zustandsinformationen werden in ein Rating-/Punkte-System (Punktesystem) überführt. Zugriff auf eine Ressource ist nur möglich wenn die zugreifende Ressource (User oder Service) mindestens so viele Punkte aufweist, wie für den Zugriff gefordert sind. Dies ermöglicht den sicheren Betrieb von IT-Umgebungen, die durch Unternehmen nicht direkt kontrolliert werden können – Cloud und Remote Work von Mitarbeitenden zum Beispiel. In Internet-of-Things(-IoT)-Umgebungen ist der Zero-Trust-Ansatz ebenfalls hilfreich.
Zero Trust gewinnt an Bedeutung. Richtig eingesetzt, erspart es Unternehmen viel Aufwand und erhöht das Sicherheitsniveau. In den Marketingbroschüren der Zero-Trust-Anbieter sieht es meist einfach aus: quasi Einführung auf Knopfdruck. Vertiefte Abklärungen und Analysen vor der Einführung von Zero Trust machen jedoch durchaus Sinn.
Schlagzeilen in der Tagespresse über Unternehmen, die von Ransomware-Angriffen betroffen sind, veranlassten vermehrt Kunden, ihre bestehende Sicherheitsarchitektur kritisch zu hinterfragen. Jedes Unternehmen und somit auch deren IT sind individuell. Unternehmen können in der Cloud unterwegs sein, Branchen-Spezifika bestimmen mit, das Geschäftsfeld kann national oder international ausgerichtet sein usw. Ein Industriebetrieb muss andere Assets schützen als ein Onlineshop oder eine Bank. Verschiedene Schwächen im Sicherheitsdispositiv können sich zu veritablen Lücken aufsummieren. Für die Abschätzung der dadurch entstehenden Risiken ist eine gute Portion «Professional Judgement» erforderlich.
Beruhigend ist, dass die identifizierten Schwachstellen mit entsprechendem Ressourceneinsatz und Wissen sowie angepassten Sicherheitskomponenten und Prozessen meistens entschärft werden können.
In den letzten Jahren sehen wir bei Kunden die Tendenz, auf reine Cloud- oder hybride Setups zu setzen. Unternehmen (bzw. deren Business) suchen in der Cloud die für sie am besten geeigneten Services, z.B. Social Media, Speicher, Data-Processing, Backup etc. Früher oder später führt dies zu einem auf unterschiedlichen Cloud Stacks (z.B. Azure, Amazon Web Services, AWS, Google Cloud Services GCS) basierenden Setup. Willkommen im Multi-Cloud-Umfeld!
Auch die Multi-Cloud will überwacht werden. Dazu müssen die Ereignisse miteinander verknüpft (korreliert) werden. Weil beispielsweise «Server-Name» in den verschiedenen Cloud-Umgebungen eine unterschiedliche Bezeichnung haben oder der Server-Name unterschiedlich aufgebaut ist, müssen Attribute und Inhalte so umgeformt (normalisiert) werden, dass korrelierende Abfragen möglich sind.
Je früher sich Unternehmen mit diesen Themen beschäftigen, um so sanfter wird der Migrationspfad. Eine gewachsene Multi-Cloud-Umgebung bezüglich Monitoring und Governance neu auszurichten, ist eine Herausforderung.
Im Zuge von COVID-19 und der Home-Office-Welle setzen Unternehmen ihre Pläne und Infrastrukturen für Remote-Work / Home-Office teilweise im Notfall-Modus um. Folglich waren in diesem Jahr verschiedene Bestrebungen zur Konsolidierung angesagt. Bestehende Setups wurden einer Prüfung unterzogen, um allfällig korrigierend eingreifen zu können.
Die integrierten Produkte und Lösungen haben viele Features, aber nicht alle sind aus der Perspektive «Sicherheit» ausgereift, wünschenswert oder sinnvoll. Hier gilt es, die richtige Balance zwischen geforderter Funktionalität und Sicherheit zu finden.
Kennen Sie das auch? Aufträge, die besonders Freude machen, weil sie Gebiete betreffen, die Sie besonders interessieren oder an denen Sie sich vor dem Erfolgserlebnis die Zähne ausgebissen haben? Oft kommen diese Aufträge aus heiterem Himmel. Unsere Kunden möchten dabei meist eine ganz spezifische Fragestellung geklärt haben. Eine der Herausforderungen ist, zeitnah Unterstützung innerhalb der InfoGuard zu organisieren, wenn das eigene Wissen an die Grenzen stösst.
Für unsere Kunden ist es bei schwierigen oder kontroversen Fragestellungen hilfreich und entlastend, eine kompetente Unterstützung durch InfoGuard zu erhalten. Und wir bleiben im Gegenzug am Puls unserer Kunden und wissen, was diese gerade umtreibt.
Doch ganz so klar wie bei einem Haus ist es für viele gar nicht, wofür «Sicherheitsarchitekten» eigentlich gebraucht werden. Als Anregung: Kunden, die sich in Fragen zur Sicherheitsarchitektur an uns wenden, wünschen beispielsweise:
Wie Sie aus diesem «Architekturdigest 2021» sehen, ist das Leben von Architekturschaffenden im Bereich Cyber-Sicherheit weiterhin spannend. Wenn die Kunden durch unseren Beitrag, unsere Erfahrung und Arbeit einen Erfolg feiern können, ist dies sehr befriedigend.
Weil es Architekturschaffende im Bereich Cyber-Sicherheit nicht wie Sand am Meer gibt, empfehlen wir unserer Kundschaft mit Plänen für das 2022, sich frühzeitig mit uns in Verbindung zu setzen. Das geht ganz einfach hier: