IT-Sicherheit im Wandel

Vernetzung, Datenaustausch und Datensicherheit sind nicht nur wichtige Elemente des digitalen Wandels in der Wirtschaft, sondern auch bestimmende Faktoren für das gesamtwirtschaftliche Wachstum. Noch allzu oft wird der Begriff Digitalisierung allerdings nur mit der Nutzung von SaaS-Services wie Office 365 oder Salesforce.com gleichgesetzt. Dabei ist mit der Digitalisierung die Optimierung von allen Produktions- und Kommunikationsprozessen gemeint. Es geht um eine gesteigerte Effizienz bei der Nutzung von Produktionsanlagen, Mitarbeitern und anderen wertvollen Ressourcen, die einem Unternehmen zur Verfügung stehen.

Intelligente und miteinander vernetzte Systeme tauschen Informationen in Echtzeit aus. Produktionsanlagen, die mittlerweile in „Smart Factories“ organisiert sind, koordinieren selbstständig Abläufe und Termine untereinander. Sie kommunizieren direkt mit den IT-Systemen im Unternehmen und damit auch direkt mit den Mitarbeitern. Im Gegensatz zu der früheren Produktions-IT, welche weitgehend vom Internet abgeschottet war, öffnen sich Produktionssysteme heute mehr und mehr dem öffentlichen Internet. Die Basis für den Informationsaustausch bilden meist IT-Infrastruktur- und Netzwerksysteme, die oftmals über Jahrzehnte gewachsen sind und über die Zeit immer komplexer, unflexibler und letztendlich oft unüberschaubar geworden sind. Genau hier kann Digitalisierung ansetzen und enorme Vorteile bringen. Aber natürlich müssen auch mögliche Risiken betrachtet werden.

Die Gefährdungslage für die Unternehmens-IT

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist in seinem aktuellen Bericht über die Lage der IT-Sicherheit in Deutschland auf die Anfälligkeit der Wirtschaft hin, Opfer von bösartigen Cyber-Angriffen zu werden. Ein Zitat aus dem BSI Lagebericht bringt es auf den Punkt: „Das Eindringen von Digitalisierung in alle Lebens- und Wirtschaftsbereiche bedeutet, dass sich Cyber-Sicherheit weiterentwickeln muss. Für einen starken und auch in Zukunft sicheren Standort Deutschland ist es notwendig, die Chancen der Digitalisierung aufzugreifen und zugleich den potenziellen Risiken von Beginn an angemessen zu begegnen.“ Denn die möglichen Folgen einer solchen Attacke für die Unternehmens-IT sind mannigfaltig – angefangen bei der Ausserbetriebsetzung von IT-Systemen und Produktionsanlagen bis hin zum Diebstahl von geschäftskritischen Daten. Verursacher sind meist Schadprogramme, die über Sicherheitslücken in Betriebssystemen unbemerkt eingeschleust werden oder auch durch eine klassische Infektion über einen Benutzer in das IT-Netzwerk gelangen. Typische Einfallstore sind auch Denial-of-Service (DoS)-Angriffe, durch die sich bestimmte Systeme gezielt lahmlegen lassen. Eine detaillierte Analyse des aktuellen BSI Lagebericht für das Jahr 2019 ist hier jedem Unternehmen zu empfehlen (hier nachzulesen).

Mit den fortschreitenden Entwicklungen im Bereich IoT und Vernetzung hat sich auch der Fokus der Angreifer in den letzten Jahren deutlich verbreitert. Waren früher fast ausschließlich Betriebssysteme, Browser und JavaScript-Programme Ziel von Angriffen, werden mittlerweile auch Prozessoren, Überwachungskameras, E-Mail-Verschlüsselungen und Smart Devices attackiert.

Früher : Jetzt

Fokus der Angreifer: Früher und jetzt

 

Auch die Anzahl der Angriffe nimmt rasant zu. So waren im Jahr 2018 bereits mehr als 800 Mio. Schadprogramme im Umlauf und aktuell werden pro Tag durchschnittlich etwa 320.000 neue Varianten identifiziert.

Maleware Varianten

Bekannte Malware-Varianten insgesamt

 

Die größte Gefahr besteht darin, dass IT-Systeme durch eingeschleuste Schadprogramme kompromittiert werden und durch die unternehmensweite Vernetzung sehr schnell das gesamte Computernetzwerk befallen können. Bei Distributed-Denial-of-Service (DDoS)-Angriffen werden mittlerweile sogar Rekordbandbreiten erreicht, auch wenn diese Angriffsmethode momentan eher noch die Ausnahme darstellt. Arbor Networks hat von einem Angriff mit einer Bandbreite von 1,7 Tbps (1700 Gbps) berichtet. Zusätzlich zu diesen Rekordbandbreiten vergrößern IoT-Bot-Netze wie z. B. das Mirai-Botnet auch noch die Quellen für DDoS-Angriffe. 

IT-Sicherheit heute

Die heutige IT-Security betrachtet jeden Unternehmensstandort wie eine Insel und überwacht den Ein- und Ausgang in den Netzwerksegmenten. In der Regel wird der Datenverkehr zum Standort an der ersten „Verteidigungslinie“ von Screening Devices (Firewall oder Router) geschützt. An der zweiten Linie schützt meist mindestens eine Firewall das Netzwerksystem, welche im Bedarfsfall durch Intrusion-Detection-/Prevention-Systeme ergänzt wird. Die einzelnen Standort-Inseln teilen sich in verschiedene „demilitarisierte“ Zonen (DMZ) auf, was die Verwaltung von Regeln und Datenverkehrsbeziehungen vereinfacht. Für die Erreichbarkeit von Applikation Services kommen häufig Proxy und/oder Reverse Proxy Server zum Einsatz. Diese wiederum werden über die Firewall mit den benötigten Zonen verbunden. Der Standort selbst offeriert seine öffentlichen Netzwerke über die Firewall und sorgt damit für die weltweite Erreichbarkeit der Services einer Insel.

Netzwerkzentrierte Architektur

Beispiel für eine traditionelle, netzwerkzentrierte Architektur

 

Für den ausgehenden Netzwerkverkehr aus einer Zone werden neben Proxy Services und Firewall meist noch Web Security Services eingesetzt. Diese sollen Endgeräte vor dem unbemerkten Herunterladen von Schadcode schützen. Zusätzliche Standorte lassen sich wie eine Zone behandeln und an eine Insel anschließen oder können eine eigene Insel darstellen. Hierbei bestimmt die Anzahl der Zonen und ihre Schutzbedürftigkeit die Komplexität im Aufbau sowie im Betrieb. Allerdings ist genau dies auch der Grund, warum diese Art der Verteidigung nicht optimal ist. Denn eine Firewall ist ein Routing Device, das seine Weiterleitungsentscheidung auf Basis des Zielnetzwerkes fällt. Im besten Fall wird das Quellnetzwerk und der Service Port im policy-basierten Routing hinzugezogen. Alle Segmente terminieren an der Firewall. Das macht die Verwaltung der Regeln komplex und machen eine hohe Fachkenntnis in der IT-Abteilung notwendig.

IT-Sicherheit in der Zukunft

Es gibt aber auch eine gute Nachricht für Unternehmen: Moderne und virtualisierte Netzwerktechnologien liefern die Grundlage für neue Verteidigungsstrategien. Damit lassen sich Netzwerke erneuern – weg von der klassischen Architektur mit einem oder mehreren Verteidigungslinien hin zu logisch nach Applikationen sortierten Netzwerksegmenten. Ein Segment sollte dabei unabhängig von einem Standort betrachtet werden, um die IT-Sicherheit applikationsbezogen zu planen und anzuwenden. Das entzerrt die Komplexität an der Firewall, da die Trennung von Zonen in den applikationsbezogenen Segmenten am SD-WAN Router erfolgt. Im Fokus steht also nicht mehr die Infrastruktur, sondern die Applikationen und Benutzer.

Bei der disruptiven SD-WAN-Technologie (Software-Defined-Wide-Area-Network) wird die Software von der Hardware entkoppelt und mit Hilfe eines zentralen Managements gesteuert. Die Applikationen werden vom SD-WAN-Router dabei automatisch erkannt. In der Policy lassen sich weitere Parameter wie Benutzer, Betriebssystem oder Quellnetzwerk zur Identifikation heranziehen, so dass eine Trennung von Verkehrsbeziehungen nahe an der Quelle erfolgen kann. Der logische Router leitet Datenströme dabei auf Basis der Policy unabhängig vom klassischen Routing auf einen bestimmten virtuellen Pfad.

Applikationszentrierte Architektur

Beispiel für eine moderne applikationszentrierte Architektur

 

Diese Methode wird nicht nur für das reine Weiterleiten des Netzwerkverkehrs verwendet, sondern auch dazu, die entsprechenden Sicherheitsrichtlinien auf diese Verkehrsbeziehung anzuwenden.

Beispiel 1:

Die Mitarbeiter eines internationalen Unternehmens nutzen soziale Netzwerke zu Recherchezwecken. Mit SD-WAN lässt sich dieser Datenverkehr einfach identifizieren und vom geschäftlichen Datenverkehr trennen. Zur Absicherung kann auf Security as a Service bzw. auf cloudbasierte Web-Security-Produkte zurückgegriffen werden, die an den jeweiligen internationalen Standorten des Unternehmens verfügbar sind. Der Netzwerkverkehr wird so ohne Umwege direkt an die Sicherheitslösung vor Ort weitergeleitet. Die Security-Abteilung entwickelt, wartet und nutzt dabei nur ein einheitliches Regelwerk für diesen Netzwerkverkehr, der an der zentralen Firewall des Unternehmens keine Berücksichtigung mehr finden muss, da er hier gar nicht mehr stattfindet.

Beispiel 2:

Ein Unternehmen betreibt eine IT-Serviceplattform (Frontend) mit einem an sein Produktionsnetzwerk gekoppelten IT-System (Backend). Die Kommunikation zwischen beiden Seiten benötigt eine ausfallsichere und hoch performante Verbindung. Das Backend kommuniziert hierbei mit Produktionssystemen an verschiedenen Unternehmensstandorten. Zur Verbesserung sollte die Cloud als ein vorgelagertes Netzwerk für das Frontend in Betracht gezogen werden. Cloud-Service-Plattformen wie die europäische Cloud Exoscale oder internationale Plattformen wie Microsoft Azure oder Amazon Web Services verfügen über spezialisierte Ressourcen zur Cyber-Abwehr, die als eine Art Basisschutz vor bösartigen Angriffen funktionieren. Darüber hinaus liefert der Aufbau der Rechenzentrums-Infrastruktur in der Cloud ein Maximum an Verfügbarkeit. SD-WAN dient hier zur Anbindung des Unternehmensnetzwerks an die Cloud-Plattform. Dabei legt die Policy neben der grundsätzlichen Kommunikation auch das anzuwendende Quality of Service für die Kommunikation fest. Dies stellt die Verfügbarkeit und Performance für eine Echtzeitkommunikation vom Unternehmensnetzwerk in die Cloud sicher.

Beide Beispiele zeigen exemplarisch auf, wie moderne Digitalisierungslösungen den Schutz der Unternehmens-IT deutlich vereinfachen.

Netzwerkverkehr ins Internet oder zu SaaS-Services wie Office 365 wird direkt dorthin geleitet und Externe können keinen Rückschluss auf offizielle IP-Netze eines Unternehmens folgern. Die Web Security (Firewall) wird von der Unternehmens-Firewall getrennt und der Netzwerkverkehr vom Internet in das Unternehmen wird in Cloud-DMZs verschoben. Diese verfügen durch den Cloud Service Provider bereits über einen Basisschutz. Mit weiteren Security Services können Unternehmen zusätzlich ihre Frontend-Infrastruktur absichern. Die Unternehmens-Firewall muss sich dann nur noch um den geschäftlichen Datenverkehr kümmern. Durch diese Entzerrung der Zonen lassen sich Gefahrenpotenziale besser verstehen, Gegenmaßnahmen einfacher planen und die permanenten Optimierungen verständlicher umsetzen.

Unser Fazit:

Komplexität ist nicht selten der Feind einer verlässlichen IT-Security. Erfordern der Betrieb und das Management von Sicherheitslösungen ein hohes Maß an spezifischem Fachwissen, damit diese zuverlässig funktionieren, können solche Sicherheitslösungen zu einem Risiko für die allgemeine Sicherheitslage eines Unternehmens werden. Tatsächlich unterscheiden sich die Vorteile einer cloudbasierten Sicherheit nicht allzu sehr von denen, die Unternehmen dazu veranlassen, auf eine cloudbasierte Infrastruktur oder noch allgemeiner auf ein IT-Outsourcing umzusteigen. In allen Fällen führt der Umstieg zu einer Vereinfachung der eigenen Infrastruktur, zu einer höheren Flexibilität und zu einer einfacheren und zentralisierten Verwaltung – und damit zu einer höheren Sicherheit. Darüber hinaus bedeutet eine Vereinfachung natürlich immer auch eine Entlastung des Fachpersonals, was vor dem Hintergrund des aktuellen Fachkräftemangels bei IT-Spezialisten kein unerheblicher Vorteil ist. Ein weiteres starkes Argument für eine Digitalisierung im Sicherheitsbereich sind nicht zuletzt auch die enormen Kosteneinsparungen, die Unternehmen dadurch erreichen können.

 

Quelle: Die Lage der IT-Sicherheit in Deutschland 2019, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2019.pdf?__blob=publicationFile&v=6

Quelle: Die Lage der IT-Sicherheit in Deutschland 2018, https://www.bmi.bund.de/SharedDocs/downloads/DE/publikationen/themen/it-digitalpolitik/bsi-lagebericht-2018.pdf?__blob=publicationFile&v=3