2020 war das Jahr, in dem viele Organisationen ihre Herangehensweise an die große Debatte hinsichtlich Prevention versus Detection neu bewertet haben. 25 Jahre lang wurde von Sicherheitsexperten die Strategie verfolgt, „Grenzen“ zu errichten, die Eindringlinge am Netzwerkrand aufhalten und damit Schutz für ihre Vermögenswerte bieten sollten.
Ein Beispiel für diesen Ansatz ist die Firewall. Der Firewall-Ansatz geht davon aus, dass der internen Seite des Netzwerks vertraut werden kann und die andere Seite nicht vertrauenswürdig ist, und das Errichten der gesicherten Grenze verhindert, dass sich die beiden Lager vermischen.
Dies konnte eine intelligente Mauer sein, mit Regeln, intelligenter Heuristik und logischen Funktionen, denn es galt herauszufinden, was Guten von schlechtem Datenverkehr unterscheidet. Allerdings versagen Firewalls immer noch zu oft und Assets gehen verloren, weil sie diese beiden Netzwerke grundsätzlich miteinander austauschen.
Was wir im Jahr 2020 gesehen haben und was sich auch bis zum nächsten Jahr fortsetzen wird, ist die Erkenntnis, dass wir nicht immer alles schützen können. Vielmehr gilt es besser darin zu werden Schaden zu begrenzen und auf Ereignisse zu reagieren, die unvermeidlich eintreten werden.
Und genau darum geht es im Wesentlichen bei „Zero Trust“: um Schadensbegrenzung und um das Eingeständnis, dass der Sicherheitsexperte zumindest an bestimmten Fronten im Nachteil ist. Daher zielt ein Zero Trust-Ansatz darauf ab, die Stärken der Cybersicherheit auszuspielen, anstatt zu versuchen, ihre Schwachstellen zu beheben.
Anstelle einer neuen Technologie mit mehr Funktionalität als die gescheiterte Firewall, oder mehr Ressourcenaufwand darauf zu verwenden, mit derselben Firewall Angriffe zu stoppen, die sie im letzten Jahr verpasst hat, sollte eine neue Überlegung treten. Als Branche und als Anbieter gilt es sich neu zu definieren und neue Wege zu finden, diesen Kampf auf eine bessere, vernünftigere Weise zu führen.
Zwei Methoden des taktischen Rückzugs
Es gibt zwei entscheidende Beispiele dafür, wie Sicherheitsexperten ihren Umgang mit Cyber-Bedrohungen neugestalten können. Da ist einmal der Zero-Trust-Ansatz, um die Angriffsfläche zu reduzieren. Zero Trust verlagert das Vertrauen, das für den Zugriff auf eine Anwendung erforderlich ist, weg vom Netzwerk und hin zum Benutzer.
In einem Zero-Trust-Modell kennt man die Identität eines autorisierten, authentifizierten Benutzers, sein verwendetes Gerät und die Anwendung, auf die er zuzugreifen versucht, und beurteilt den Zugang anhand dieser Datenpunkte. Dieser Ansatz reduziert die Angriffsfläche der gesamten Netzwerkinfrastruktur, die dem Internet ausgesetzt ist. Er reduziert die Sichtbarkeit von möglichen Einfallstoren in der Infrastruktur und limitiert damit den Zugang für mögliche Bedrohungsakteure, denn was nicht sichtbar ist, kann nicht angegriffen werden.
Zweitens gibt es den Ost-West-Schutz oder die „Mikrosegmentierung“, die im Wesentlichen davon ausgeht, dass es zu einem Einbruch kommt. Diese Schutzmaßnahme zielt darauf ab, den Schaden zu begrenzen, den ein Eindringen von Malware-Akteuren in einem Netzwerk verursacht. Dadurch wird sichergestellt, dass sich der Eindringling nicht lateral durch das gesamte Unternehmensnetzwerk beweget, und somit schneller verfolgt und aufgespürt werden kann, bevor er zu einer Gefahr für die Geschäftskontinuität wird.
Diese Ansätze sind an sich nicht neu; neu ist der Antrieb sie zu implementieren, und die Industrie, die sich um sie herum entwickelt hat. Die Ereignisse des Jahres 2020 haben die Akzeptanz dieser Ansätze deutlich beschleunigt. Mit der Umstellung globaler Belegschaften auf Remote-Arbeit waren IT- und Sicherheitsteams gezwungen, sich mit neuen Architekturen und neuen Bedrohungen auseinanderzusetzen.
Was wir gesehen haben, ist eine Verlagerung des Schwerpunkts weg von der Prevention und eine größere Investition von Aufwand, Zeit und Geld, um sicherzustellen, dass Reaktion und Wiederherstellung von Systemen im Sicherheitsbereich nicht zu kurz kommen.
Die IT mag die Welt letztes Jahr ein Stück weit gerettet haben, aber die Kommunikation mit der Geschäftsführung muss noch gelernt werden
Mit dieser neu gefundenen Richtung und der schnellen Reaktion auf die globale Pandemie waren IT-Teams auf der ganzen Welt in diesem Jahr die Helden. Sie ermöglichten es Unternehmen, ihre Belegschaft innerhalb weniger Wochen aus den Büros nach Hause zu verlagern. Auch wenn sich die Wirtschaft während der Ausgangssperre je nach Branche zum Teil verlangsamt hat, haben die IT-Teams die Geschäftstätigkeit aufrechterhalten.
Wird sich diese Erkenntnis zur Bedeutung der IT im Jahr 2021 fortsetzen, wenn die Gesundheitskrise hoffentlich eingegrenzt werden konnte? Ich bin mir da nicht so sicher. IT- und Sicherheitsteams werden weiterhin darum kämpfen zu bekommen, was sie für angemessene Budgets halten. Um dies zum Besseren zu verändern, sollten diese Teams ihrer Bedeutung gerecht werden und auf Augenhöhe mit der Geschäftsleitung kommunizieren lernen. Was dabei helfen kann, ist die allmähliche Abkehr des CISOs von dem ausschließlichen IT-Blickwinkel hin zu einem geschäftsorientierten Modell.
Wie die aktuelle Krise deutlich gemacht hat sind IT und Sicherheit der Schlüssel zu Business Continuity. Als Vermittler zwischen der technischen und der finanziellen Seite eines Unternehmens könnte der CISO in einer erweiterten Rolle dazu beitragen, dass diese Diskussionen ausgereifter und für beide Seiten gewinnbringend durchgeführt werden. Damit reift nicht nur die technische Seite der IT-Sicherheit, sondern auch der Wertschöpfungsbeitrag der IT zum Unternehmenserfolg.