Der (nicht) alltägliche Job eines IT-Sicherheitsarchitekten

Autor
Markus Pfister
Veröffentlicht
12. Oktober 2020

In diesem – etwas unkonventionellen – Blogbeitrag gebe ich Ihnen Einblick in die Arbeit als IT-Sicherheitsarchitekt im Consulting Team der InfoGuard. Schauen Sie mir über die Schulter und erfahren Sie meine persönlichen Tipps aus der Praxis. (Personen und Firmen sind fiktiv, jegliche Ähnlichkeiten rein zufällig.)

IT-Sicherheitsarchitektur, eine externe Einschätzung ist gefragt

Meine Arbeitswoche startet mit einer Kundenanfrage bezüglich einer Beurteilung resp. Zweitmeinung einer IT-Sicherheitsarchitektur. Um eine plausible Offerte zu erstellen, analysiere ich den Kunden auf seine Geschäftstätigkeit und Anforderungen: Industrie? Finanzsektor? Pharma? Verwaltung? usw. Daraus lassen sich die üblichen Frameworks ableiten, auf deren Basis die IT-Sicherheitsarchitektur des Kunden geprüft und bewertet werden kann. Dabei gilt es abzuschätzen, was die IT-Sicherheitsarchitektur aufgrund der zu erwartenden Risiken aus der Geschäftstätigkeit erfüllen muss. Denn IT-Sicherheitsarchitektur ist nicht gleich IT-Sicherheitsarchitektur! Verschiedene Faktoren wie die Unternehmensgrösse, IT-Affinität und natürlich das Budget sind wichtige Faktoren. Aufgrund dieser Rahmenbedingungen wird unser Vorgehensmodell an die aktuellen Gegebenheiten angepasst und die Aufwendungen abgeleitet. Bleibt zu hoffen, dass der Kunde dem Angebot zugeneigt ist.

Neue Systemkomponenten optimal in die IT-Architektur integrieren

Nach dem ersten (oder auch zweiten) Kaffee geht es an die Umsetzung meiner laufenden Projekt-Mandate. Oft bin ich direkt vor Ort beim Kunden tätig und ziehe bei Bedarf die Unterstützung von Kollegen bei. Bei umfangreicheren Projekten sind wir aber durchaus auch im Team unterwegs. Im Moment ist vieles nur Remote möglich. Die Erfahrung hat aber gezeigt, dass dies gut funktioniert.

Aktuell arbeite ich in einem Mandat bei einem Schweizer Industrieunternehmen mittlerer Grösse. Sie planen die Beschaffung einer Standardsoftware für die Produktionsplanung und -steuerung (PPS). Wie so oft, passt die Lösung gut auf die bestehenden Prozesse im Unternehmen, jedoch nicht in die bestehende IT-Landschaft. Daher lohnt es sich, die Frage der Integration vor einer Beschaffung zu klären. Gängige Lösungsansätze wie «nutzen wir die Anwendung in einem Cloud Container bei Provider XY» sind verlockend und durchaus legitim. Werden Ausnahmen zur Regel, entsteht jedoch Wildwuchs. Das kommt der Sicherheit, Verfügbarkeit und der Wartbarkeit selten entgegen.

In einem ersten Schritt habe ich zusammen mit dem Kunden den Schutzbedarf der verarbeiteten Daten, allfällige regulatorische Anforderungen sowie die Risiken identifiziert und daraus die Implementierungsvariante abgeleitet. Diese beinhaltet:

  • die Netzwerkzonen, in denen die Anwendung läuft,
  • die Sicherheitsmechanismen für die einzelnen Teile der Anwendung,
  • die erforderlichen Audit-Informationen sowie
  • die Vorgaben für das Monitoring, den Betrieb und ggf. Anforderungen an die Entwicklung.

Danach haben wir die Integration der Anwendung in das Berechtigungsvergabe-Tool (Identity und Access Manager) beim Kunden besprochen. Weiter ging es darum, wie die Prozesse in Bezug auf die neue Anwendung für Benutzerverwaltung, das Incident Management, die Einspielung von Patches, die Datensicherung und vieles mehr im Hinblick auf Sicherheitsfragen aussehen werden.

Mein erster Tipp: Prozesse pflegen nicht vergessen, denn was rastet, das rostet…

Oft geht ein wichtiger Aspekt vergessen: die Prozesse. Das Auto oder das Fahrrad wird regelmässig gepflegt und gewartet. Genau das sollten Sie auch mit den Komponenten (in diesem Fall der PPS Software, dem Container, der Infrastruktur etc.) tun. Etablieren Sie einen Prozess mit entsprechenden Zuständigkeiten, um Ihre Komponenten periodisch zu «pflegen und zu hegen».

Wenn die IT-Sicherheitsarchitektur mit dem Wachstum nicht Schritt hält

Im Verlauf der Woche ist meine Erfahrung bei einer Einschätzung der IT-Architektur eines Dienstleistungsunternehmens mit internationalen Standorten gefragt. Das Unternehmen war über die Jahre gewachsen und die IT-Architektur lückenhaft dokumentiert. Das IT-Management kam zum Schluss, dass der aktuelle Zustand die Erfüllung der Business-Anforderungen stark behindert. Das wollen sie verbessern und gleichzeitig die IT-Sicherheitsrisiken reduzieren.

In diesen Situationen zeigt sich der hohe Nutzen einer externen Sicht. Nach Sichtung der vorhandenen Dokumentation und Workshops mit den Wissensträgern des Kunden (das geht auch per Video-Call), erhalte ich eine grobe Übersicht. Die Kunst besteht nun darin, den Zustand der IT-Sicherheitsarchitektur strukturiert zu ermitteln und abzuleiten, an welcher Stelle Verbesserungen vorgenommen werden sollten. Dazu berücksichtige ich u.a. folgende Aspekte:

  • Was wird in Zukunft benötigt (Komponente, Funktion, Architekturmodell)?
  • Was wird von vielen in der IT bestehenden Komponenten bereits genutzt?
  • Was sollte von vielen Komponenten verwendet werden, wird es aber nicht?
  • Gibt es Komponenten, die immer wieder für Aufregung sorgen?
  • Wo ist das Kosten-Nutzen-Verhältnis gut?
  • Gibt es äusseren Druck, eine Komponente abzulösen oder einzuführen?
  • Haben wir das Wissen oder einen Partner zur Verfügung, der den Kunden unterstützt?
  • Wie kann der Einfluss der Änderungen auf den reibungslosen Betrieb minimiert werden?

Mein zweiter Tipp: Nutzen Sie bestehende Frameworks für Ihre IT-Architektur

Es gibt Frameworks (OSA, SABSA, TOGAF o.ä.) und Leitfäden, die Unterstützung bieten bei der Frage, wie eine gute Zielarchitektur aussehen sollte. Den Weg zum Ziel zu gestalten, ist eine der Kernaufgaben von IT-Sicherheitsarchitekten. Dabei spielen Erfahrung, Wissen und ein gut entwickeltes Bauchgefühl eine nicht unwesentliche Rolle. Basierend auf Erfahrung weiss die gute IT-Sicherheitsarchitektin resp. der -architekt, was im jeweiligen Umfeld funktioniert und was nicht. Und wenn auch der Kunde davon überzeugt ist, sind das gute Voraussetzungen für eine erfolgreiche Umsetzung.

Netzwerk- und Zonenkonzept – wenn weniger mehr ist

Ähnlich gelagert ist das Mandat bei einem Kunden aus der öffentlichen Verwaltung. Dieser will ein neues Netzwerk- und Zonenkonzept durch uns ausarbeiten lassen. Ausgehend vom Schutzbedarf und den Risiken, wird das passende Netzwerk- und Zonenkonzept abgeleitet. In den einzelnen Zonen und Zonenübergängen sind verschiedene Sicherheitsmechanismen wirksam, welche definiert werden. Am Ende des Prozesses soll eine optimale Lösung für die jeweiligen Anforderungen im Sinne von «reduce to the max» vorliegen. Denn jede nicht zwingend benötigte Netzwerkzone vermindert die Kosten im laufenden Betrieb.

Architektur-Assessment mit anschliessender Erarbeitung der Zielarchitektur

Und weiter geht die Woche! Ein KMU im Gesundheitsbereich möchte eine Einschätzung (Gap-Analyse) der bestehenden Sicherheitsarchitektur haben. Dabei sind die aktuellen Regulierungen und Best Practices im Gesundheitswesen zu berücksichtigen. Basierend auf einem anerkannten Framework (z.B. ISO/IEC 27001:2013) und zusätzlichen relevanten Industriestandards, werden die relevanten Fragestellungen bestimmt. Aber: Die richtigen Fragen zu stellen, ist eine Sache – die für den Kunden daraus resultierenden Empfehlungen eine andere. Diese werden aus den Fragestellungen, den Branchengegebenheiten, Best Practices sowie unserer Erfahrung abgeleitet und der Umsetzungsplan zur Verbesserung der IT-Sicherheit bestimmt.

Mein letzter Tipp: Kombination von IT Sicherheitsarchitektur-Assessment und Erarbeitung einer Zielarchitektur

Aus meiner Erfahrung empfiehlt sich die Kombination aus IT-Sicherheitsarchitektur-Assessment und anschliessender Erarbeitung einer Zielarchitektur für die identifizierten Gaps. Denn für die Erarbeitung der Zielarchitektur muss die bestehende IST-Architektur beurteilt und die Umsetzung der SOLL-Sicherheit bestimmt werden. So erwischen Sie zwei Fliegen auf einen Streich!

Der IT-Architekt als Moderator

Bevor es ins Wochenende geht, sind meine Moderations- und Mediationsfähigkeiten gefragt. Ja, Sie haben richtig gehört, denn zwei Abteilungen bei einem Finanzdienstleister haben unterschiedliche Auffassungen zur Umsetzung von Sicherheitsfunktionen. Um die unterschiedliche Einschätzung zu klären, soll eine Auslegeordnung erstellt und diese in einem Workshop mit Vertretern der beiden Abteilungen diskutiert werden. Dadurch können die Pros und Contras der unterschiedlichen Einschätzungen und Sichtweisen beurteilt und eine optimale (sowie abgestimmte) Lösung gefunden werden. Bei diesen Fragen zeigt sich, dass der Faktor «Mensch» neben all der Technik und IT-Architektur nicht unterschätzt werden darf.

Sicherheitsbeurteilung einer Schliessanlage aus Architektursicht

Als IT-Architekt komme ich, wie Sie bereits erfahren haben, nicht nur mit IT-Aspekten in Berührung. So möchte ein grösseres Dienstleistungsunternehmen seine Schliessanlage erneuern. Wir wurden beauftragt, die Architekturkonzepte zu beurteilen und mit den Lieferanten kritische Interviews zur Sicherheit der einzelnen Komponenten zu führen. Hier ist ein integriertes, interdisziplinäres Vorgehen im Team gefragt. Fundiertes Einlesen in die spezifische, spannende Materie von Schliesssystemen ist dabei unabdingbar. Denn es gilt bestimmte Standards von Schliesssystemen zu kennen und Funktionsweisen von physischer Sicherheit zu berücksichtigen. In Workshops werden die Resultate aus dem Bericht erörtert und anschliessend die ergänzenden Massnahmen umgesetzt.

Meine persönlichen Highlights als IT-Sicherheitsarchitekt

Ab und an möchten Kunden neue Technologien sowie Technologie-Trends einschätzen und beurteilen lassen, ob und wie sie für das Unternehmen einen Mehrwert darstellen könnten. Diese Aufträge sind meine Highlights: Ich lerne neue Aspekte kennen und darf mir überlegen, was sie dem Unternehmen in Zukunft für einen Nutzen bringen könnten. Aufträge dieser Art waren beispielsweise die Beurteilung eines Mobile-Device-Management-Systems, die Einschätzung von Cloud-Migrationsszenarien, Verschlüsselungs- oder Datenverteilungsarchitekturen, Anomalie-Detektion, Deployment-Architektur, Mehrfaktor-Authentisierung oder die Beurteilung von zukunftsweisenden Remote-Access-Produkten.

Alles schön und gut… aber aufwendig

Sie denken, «schön, gut, (hoffentlich) interessant und der Job scheint Spass zu machen. Aber die Projekte sind doch aufwendig?!». Das mag durchaus stimmen. Mit einer durchdachten IT-Architektur können Sie jedoch einen realen Mehrwert generieren:

  • Dinge agil und sicher ändern, um dadurch vor Ihren Mitbewerbern auf Marktbedürfnisse zu reagieren.
  • Eine Sicherheits-Zertifizierung für Ihre IT und damit einen Marktvorteil erlangen.
  • Das Sicherheitsniveau erhöhen und die Angriffsoberfläche verkleinern. Und wenn Sie ein Angriff erwischt hat, können sie nachweisen, alles Mögliche in Sachen IT-Architektur getan zu haben.

Und da es ja ein Blog aus meiner persönlichen Sicht ist:

«Wenn Sie Ihre IT-Sicherheitsarchitektur im Griff haben, schonen Sie Ihre Nerven für andere Themen.»

Berechtigt ist die Frage nach den Ursachen, weshalb eine IT-Sicherheitsarchitektur über die Zeit an Qualität einbüsst. Hier meine persönliche Einschätzung aus den letzten Jahren:

  1. Zeitdruck und die Abkürzungen: Der Versuch (oder die Versuchung) eine rasche Umsetzung zu wählen, die nicht mit der bestehenden IT-Sicherheitsarchitektur abgestimmt ist.
  2. Unterschätzung: Auch Standard-Software erfordert ein Standard-Architekturmodell das zum Unternehmen passt.
  3. Komponenten werden nicht wiederverwendbar entwickelt: Fehlende Schnittstellen führen zu redundanten Implementierungen von Funktionalitäten oder von ganzen Programmteilen.
  4. Fehlende Cloud-Strategien: Clouds werden schleichend eingeführt und am Ende passen On-premises, Hybrid- und Cloud nicht zusammen. Dabei können mitunter auch regulatorische Probleme betreffend Datenhaltung in der Cloud entstehen.

InfoGuard unterstützt Sie bei der IT-Sicherheitsarchitektur

Sie sehen, meine Arbeit als IT-Architekt ist enorm spannend und vielfältig. Bestimmt gibt es auch in Ihrem Unternehmen konkrete IT-Sicherheitsherausforderungen – wir können Sie dabei unterstützen! Ihre Herausforderungen ist unsere Begeisterung. Sei es bei der Erarbeitung von Zielarchitekturen und den entsprechenden Umsetzungsprioritäten, bei der Beurteilung bestehender Sicherheitsarchitekturen oder der Erarbeitung von Zonenkonzepten über konkrete Fragestellungen zu On-premises, Hybrid- oder Cloud bis hin zur Moderation von Workshops oder gar als «IT Security Architect as a Service».

Sie profitieren von unserem Wissen in unterschiedlichen Disziplinen wie dem Engineering, dem Security Operation Center (SOC) und der Cyber Defence sowie der Zusammenarbeit mit führenden Bildungsinstituten. Ich unterrichte beispielsweise IT-Sicherheitsarchitektur an der Hochschule Luzern. Nicht zu unterschätzen ist das durch jahrelange Erfahrung im Bereich der IT-Sicherheitsarchitektur entwickelte «professionelle Bauchgefühl». Überzeugt? Dann melden Sie sich! Ich und meine Kollegen werden Sie gerne unterstützen.

Jetzt Kontakt aufnehmen!

Artikel teilen