Bericht des Büro des CTO
Modernisierung der IT: Verlagerung der Sicherheit auf das Risikomanagement
Die Einführung eines risikobasierten Sicherheitsansatzes erfordert ein grundlegendes Umdenken in Bezug auf Sicherheit und digitale Ressourcen. Dieser Wandel ist jedoch notwendig, da sich die digitalen Bedrohungen rasant weiterentwickeln und die bestehenden Sicherheitsmodelle nicht in der Lage sind, sie abzuwehren, geschweige denn mit ihnen Schritt zu halten.
Von Paketen über Nutzdaten bis hin zu Prozessen
Herkömmliche Unternehmensarchitektur-Frameworks wurden ohne Rücksicht auf das Thema Sicherheit erstellt. Es ist absolut richtig, dass die Sicherheit im Allgemeinen erst im Nachhinein thematisiert wird, da sie sich weitgehend im Rahmen eines reaktiven Modells entwickelt hat. Das bedeutet, dass bösartige Akteure Angriffe starteten und Anbieter und Technologieexperten dafür Abhilfemaßnahmen entwickelten. Dies liegt in der Natur der digitalen Transformation begründet. In der Anfangsphase lag der Schwerpunkt auf der Steigerung der Produktivität und Effizienz durch Anwendungen. Diese Anwendungen waren weitgehend feststehend und statisch und befanden sich in einem isolierten Rechenzentrum. Das Risiko eines Angriffs von außen war gering, da es vor der Ära des Internets keine Eintrittspunkte in das Rechenzentrum gab.
In seiner frühesten Form konzentrierte sich das Thema Sicherheit auf den Schutz von Anwendungen, die im Internet auf den untersten Schichten des Technologiestapels, dem Netzwerk, Angriffen ausgesetzt waren. Zu viele Pakete pro Sekunde deuteten auf eine Art Denial-of-Service-Angriff hin. Die Antwort der Sicherheitsbeauftragten? Firewalls, die in der Lage waren, den Ursprung des Angriffs zu blockieren. Ports und Protokolle wurden zur Grundlage für Sicherheitsrichtlinien, wobei die Schwellenwerte auf dem Volumen und der Geschwindigkeit der Pakete basierten, die eine bestimmte Anwendung zu nutzen versuchten. Der Schwerpunkt der Sicherheit lag in dieser Phase darin, Störungen zu verhindern, indem Angriffe mithilfe von einfachen, statischen Regeln unterbunden wurden.
Die Angriffe wurden angesichts der starken Abwehr rasch weiterentwickelt. Während die Anwendungen immer funktionsreicher und leistungsfähiger wurden, machten Angreifer schon bald Schwachstellen in den Software-Stacks ausfindig. In der Branche kam es erstmals zu Angriffen – eingebettet in die Nutzdaten von Nachrichten, die zwischen Benutzern und Anwendungen ausgetauscht wurden – und diese Angriffe zielten darauf ab, bekannte Schwachstellen auszunutzen, um entweder Ausfälle zu verursachen, unberechtigte Zugriffe zu ermöglichen oder Daten zu exfiltrieren. Die Sicherheitsbranche reagierte wiederum auf diese neuen Angriffsformen und entwickelte Lösungen, die eingebettete Angriffe erkennen und neutralisieren können. Der Schwerpunkt der Sicherheit lag in dieser Phase auf der Erkennung und Neutralisierung von in Transaktionen eingebetteten Angriffen.
Mit der Ausbreitung der digitalen Wirtschaft, die immer weiter in alle Aspekte unseres Lebens vordringt, haben sich auch die Möglichkeiten der Angreifer erweitert. Der Wert, den Daten und Zugangsmöglichkeiten zu Verbraucher- und Unternehmenskonten verkörpern, nimmt exponentiell zu. Man bedenke, dass schätzungsweise Tausende von Videospielkonten von Unternehmen wie Steam, EA Sports und Epic „jeden Monat gestohlen werden und riesige Kontodatenbanken in privaten Telegram-Kanälen für Summen zwischen 10.000 und 40.000 Dollar gehandelt werden“ (BitDefender). Heutzutage sind Kontoübernahmen in jeder Branche weit verbreitet, von der Spielebranche über das Finanzwesen und das Gesundheitswesen bis hin zu staatlichen Dienstleistungen. Im Jahr 2021 entstanden der US-Regierung im Bereich der staatlichen Leistungen betrugsbedingte Kosten von schätzungsweise 87 Milliarden Dollar (CNBC). Der Verlust wird in erster Linie auf das Pandemie-Arbeitslosenprogramm zurückgeführt, das größtenteils über digitale Dienste abgewickelt wurde.
Die Entwicklung spezialisierter Bots, die Verbrauchern dabei helfen sollen, ein Produkt aus einer limitierten Anzahl von Produkten zu erwerben, schreitet voran. Diese Bots stellen durch Technologien und ein hohes Tempo sicher, dass Verbraucher ein Produkt online schneller erwerben können, als ein Mensch die richtige Größe und Farbe auswählen kann. Diese als Hilfstechnologie für Verbraucher eingeführten Bots wurden fast sofort von bösartigen Akteuren dazu eingesetzt, Vorräte schnell zu erschöpfen, um sie zu einem höheren Preis weiterverkaufen zu können. Sneaker-Bots, Grinch-Bots und andere spezialisierte Bots haben es immer öfter auf bestimmte, stark nachgefragte Produkte und Anbieter abgesehen.
„Dank Weiterverkaufsseiten wie StockX und GOAT sind Sammler-Sneaker zu Anlagegütern geworden, deren Preisgestaltung sich daran orientiert, wie schnell ein Artikel ausverkauft ist. Ausgeklügelte Sneaker-Bots, die Tausende von Dollar kosten können, sind der Schlüssel zur Schaffung einer künstlichen Knappheit, die einen Sneaker wertvoll macht und im Gegenzug eine Marke als angesagt erscheinen lässt.“ (New York Times)
Die Sicherheitsbranche muss jetzt auf Angriffe reagieren, die Geschäftsprozesse ins Visier nehmen, wie z. B. die Anmeldung bei einem Dienst oder den Kauf von Produkten, und das zusätzlich zu den bereits bestehenden auf Netzwerkdienste und Anwendungen gerichteten Angriffen. Herkömmliche Prüf- und Evaluierungsmethoden sind keine Hilfe, wenn es darum geht, Angriffe auf legitime Geschäftsprozesse zu erkennen, denn es geht hier weder um Schwachstellen noch um Protokoll-Exploits. Es handelt sich um Prozesse, die als digitale Funktionalität angreifbar sind und von denjenigen ausgenutzt werden können, die über die Mittel oder das nötige Geld verfügen, um sich die erforderlichen Anmeldeinformationen zu beschaffen.
Die Tools, mit denen die Prozesse geschützt werden, müssen auch imstande sein, zwischen Softwareprogrammen und menschlichen Nutzern zu unterscheiden. Diese Aufgabe wird durch die Tatsache erschwert, dass Softwareprodukte (wie etwa Bots) sowohl von Verbrauchern, die effizient arbeiten möchten, eingesetzt werden, als auch von Angreifern, die sich einen Vorteil verschaffen wollen. Die Sicherheit muss sich erneut weiterentwickeln, und diesmal muss sie sich auf das Risikomanagement verlagern.
Die Verfolgung eines Risikomanagement-Ansatzes bedeutet nicht, dass frühere Sicherheitsverfahren aufgegeben werden. Tatsächlich finden ständig Angriffe auf jeder Ebene des Technologiestapels statt und müssen abgewehrt werden. Ein Risikomanagement-Ansatz schließt den Einsatz von Technologien zur Verhinderung von volumetrischen Angriffen oder Angriffen in Form von bösartigen Inhalten nicht aus. Ein Risikomanagement-Ansatz konzentriert sich nicht so sehr auf die Details der Implementierung, sondern vielmehr darauf, wie Bedrohungen erkannt und Risiken bestimmt werden.
Durch eine risikobasierte Herangehensweise an das Thema Sicherheit können Unternehmen von übereilten Reaktionen auf Angriffe abrücken. Stattdessen können sie ganz bewusst Sicherheitsentscheidungen treffen, die sich an den Geschäftsergebnissen orientieren und die Risikotoleranz des Unternehmens berücksichtigen.
Modernisierung der Sicherheit: Verlagerung auf das Risikomanagement
Die digitalen Unternehmen von heute vernetzen sich mit ihren Kunden und Partnern, indem sie über moderne Anwendungen digitale Erlebnisse vermitteln. Der Schutz von Anwendungen ist daher das A und O bei der Modernisierung der Sicherheit. Der Wert dieser Anwendungen – und auf der nächsthöheren Granularitätsebene der Workloads und Dienste als deren Bausteine – besteht darin, dass sie für das Unternehmen auf die eine oder andere Weise digitale Ressourcen schaffen oder diese bereichern und/oder den Zugriff darauf ermöglichen, was sie in den Mittelpunkt eines modernen Sicherheitsdenkens rückt. Die Cybersicherheit, wie sie heute allgemein genannt wird, konzentriert sich stark auf den Schutz der Anwendungen und der APIs, die diese Anwendungen zugänglich machen, um Benutzer aller Art mit den digitalen Ressourcen zu verbinden, die ein digitales Unternehmen am Laufen halten.
Technologieexperten wissen genau, welche Werkzeuge und Methoden zur Umsetzung reaktiver und proaktiver Sicherheitsmaßnahmen erforderlich sind. Die Frage lautet: „Wie stellt man sein Unternehmen auf einen Ansatz um, der auf einer Risikobewertung basiert, die sich weitgehend auf Identitäten und Ressourcen stützt?“
Es gibt zwei Kerntechnologien, die für diesen Wandel von zentraler Bedeutung sind: Authentifizierung und Zugriffskontrolle. Die Authentifizierung bietet Richtlinien für die Identitätskomponente, während die Zugriffskontrolle die Verwaltung digitaler Ressourcen ermöglicht.
Bei der Authentifizierung geht es im Wesentlichen darum, die Identität eines Anwendungsnutzers festzustellen und zu überprüfen. In der Vergangenheit waren es vor allem Menschen, die Zugang zu monolithischen Anwendungen in privaten Rechenzentren suchten, weshalb alle Authentifizierungssysteme und -dienste in demselben Rechenzentrum untergebracht werden konnten. Heutzutage nutzen moderne Anwendungen verteilte Architekturen und offene APIs – ein Umstand, der eine Weiterentwicklung der Authentifizierung erforderlich macht. Bei der Authentifizierung müssen jetzt nicht nur menschliche Benutzer erkannt werden, sondern auch Proxys, die Menschen vertreten, wie z. B. automatische Agents. Da verteilte Anwendungen sich zudem aus Diensten zusammensetzen, die aus verschiedenen Clouds bezogen werden, muss die Authentifizierung in einer Welt der gebündelten, unternehmensübergreifenden Identitätsspeicher erfolgen. Kurz gesagt, die Authentifizierung bildet zwar immer noch ein Kernelement der Basisabwehr, doch die erweiterte Natur der heutigen digitalen Dienste erfordert eine veränderte Sichtweise der Identität und der Art und Weise, wie diese validiert wird.
Bei der Zugriffskontrolle geht und ging es immer schon darum, zu bestimmen, wer – oder was – auf eine Unternehmensressource zugreifen darf. Doch wie bei der Authentifizierung haben sich auch die für die Zugriffskontrolle erforderlichen Funktionen parallel zu den Unternehmensanwendungen weiterentwickelt. Die ersten Formen der Zugriffskontrolle fanden auf der Netzwerkebene statt; potenzielle Anwendungsnutzer befanden sich entweder „innerhalb“ oder „außerhalb“ eines durch Netzwerk-IP-Adressen definierten Bereichs. Heutzutage jedoch, wo mobile Benutzer auf verteilte Anwendungen zugreifen, die über mehrere Auslieferungspunkte bereitgestellt werden, gibt es keine saubere, statische Grenze, die den Begriff „innerhalb“ oder „außerhalb“ definiert. Die Zugriffskontrolle muss sich daher auf die Benutzeridentität beziehen, die im Zuge der Authentifizierung überprüft wird. Die Benutzer moderner Anwendungen lassen sich nicht mehr anhand des Netzwerkstandorts auseinanderhalten, sondern werden stattdessen anhand ihrer Identität klassifiziert.
Diese Technologien können in Verbindung mit einem vollständigen Inventar aller wichtigen digitalen Ressourcen verwendet werden, um Entscheidungen umzusetzen, die im Hinblick auf das Risiko, das mit der Gewährung eines Zugriffs auf eine bestimmte Ressource verbunden ist, getroffen wurden. Diese Entscheidungen beruhen auf der Überlegung, wie diese Ressourcen zugänglich gemacht werden und der Frage, wem diese Ressourcen zugänglich gemacht werden sollten bzw. nicht zugänglich gemacht werden sollten.
Der erste Schritt bei der Modernisierung der Sicherheit besteht also darin, ein Ressourceninventar zu erstellen oder zu überarbeiten und dabei den Schwerpunkt auf die Frage zu legen, auf welche Weise und warum auf diese Ressourcen zugegriffen wird. Darüber hinaus sollten Technologieverantwortliche bedenken, dass Anwendungen das primäre Mittel sind, über das auf alle Daten zugegriffen wird, weshalb das Inventar auch in der Lage sein sollte, die Ressourcen jenen Anwendungen zuzuordnen, die mit ihnen interagieren.
Als Nächstes müssen die Technologieverantwortlichen gemeinsam mit der Unternehmensleitung Risiko-Nutzen-Profile für wichtige Ressourcen erstellen. In den entsprechenden Risiko-Nutzen-Profilen sollten die Sicherheitsmaßnahmen mit den Geschäftsergebnissen abgeglichen werden. Aus Untersuchungen von AiteNovarica geht beispielsweise hervor, dass „Händler 75 Mal mehr Umsätze durch falsche Ablehnungen verlieren als durch Betrug“. Das Risiko einer so genannten falschen Ablehnung ist somit potenziell größer als das Risiko, eine Transaktion zuzulassen.
Daher sollten Interaktionen im Zusammenhang mit dieser Transaktion auf der Grundlage der Risikotoleranz des Unternehmens zugelassen oder verweigert werden. Zu den Faktoren, die die Entscheidung beeinflussen können, gehören der Wert der Transaktion und die Gewissheit über die Legitimität des Benutzers. Ist das System zu 50 % sicher, dass der Benutzer legitim ist? Noch sicherer? Weniger sicher? Jedes Unternehmen legt seine Risikotoleranz fest und passt anhand dieser Toleranz seine Profile an, um innerhalb dieser Grenzen sicher zu agieren. Anhand von Risiko-Nutzen-Profilen können Menschen und Systeme entscheiden, wie mit potenziellen Risiken umgegangen wird. Unternehmen, die eher risikoscheu sind, gewichten Risiken tendenziell höher und wenden Kontrollen an, um sie zu meiden. Umgekehrt werden Unternehmen mit einer höheren Risikotoleranz den Nutzen bei der Entscheidung über die Anwendung von Sicherheitskontrollen als einen schwerwiegenderen Faktor bewerten.
Die hier verwendete Granularität – die der Bewertung auf Transaktionsebene – impliziert die Fähigkeit, digitale Interaktionen kontinuierlich zu bewerten und Sicherheitsentscheidungen auf der Grundlage des Echtzeit-Kontextes und unter Berücksichtigung von Richtlinien anzupassen. Diese Vorgehensweise ist eine Schlüsselfähigkeit von Zero-Trust-Ansätzen, ebenso wie die Schlüsseltechnologien, die zur Durchsetzung von Entscheidungen verwendet werden: Authentifizierung (wer) und Zugriffskontrolle (was), wie in der Studie „Zero-Trust-Sicherheit: Warum der Zero-Trust-Ansatz eine wichtige Rolle spielt (und zwar für mehr als nur den Zugang)“ beschrieben.
Die Fähigkeit, digitale Interaktionen kontinuierlich zu bewerten, hängt von einer Daten- und Beobachtungsstrategie auf Unternehmensebene ab, d. h. davon, dass das Unternehmen eine Strategie zur Verfügung hat und an der Ermöglichung einer umfassenden Beobachtung sowie einer Methode arbeitet, Interaktionen über verschiedene Speicher hinweg zu vernetzen und in Zusammenhang zu bringen, sofern es die Daten nicht in einem einzigen Speicher zentralisiert.
Bei der Verlagerung zum Risikomanagement geht es also um die Anwendung von drei spezifischen Technologien: Identität, Beobachtbarkeit und Zugriffskontrolle mit einem übergreifenden Zero-Trust-Ansatz, der die Ausführung regelt.
Sicherheit als notwendige Komponente der IT-Modernisierung
Für ein digitales Unternehmen nimmt das Thema Sicherheit eine Schlüsselfunktion ein – die Sicherheit seiner digitalen Ressourcen, seiner Daten und der finanziellen und personenbezogenen Informationen seiner Kunden.
Da in einem digitalen Unternehmen fast alle Interaktionen digital abgewickelt werden, sollte die Sicherheit zu einem zentralen Bestandteil des Unternehmens und, im Fall von IT-Unternehmen, der Unternehmensarchitektur werden. Für die meisten Unternehmen bedeutet dies, dass sie ihre Sicherheitspraktiken, -tools und -richtlinien – von denen viele ad hoc eingeführt wurden, um zunehmende Angriffe und aufkommende Bedrohungen abzuwehren – dahingehend überprüfen müssen, ob sie in einer vorwiegend digitalen Umgebung noch relevant sind. Ein bewussterer, umfassenderer Ansatz wird notwendig sein, um alle digitalen Werte und Interaktionen, die das Unternehmen benötigt, um in einer digitalen Wirtschaft erfolgreich zu sein, vollständig zu sichern.
Viele Aspekte des Betriebs eines digitalen Unternehmens wurden nicht berücksichtigt, als Unternehmen ihre technologischen Grundlagen in Form einer Unternehmensarchitektur schufen. Die Sicherheit ist einer dieser unzureichend berücksichtigten Aspekte.
Auf dem Weg zu einer digitalisierten Welt müssen Unternehmen ihre IT modernisieren, um das Tempo des Wandels und die datengestützte Entscheidungsfindung, die für eine erfolgreiche Zukunft notwendig ist, zu unterstützen und zu ermöglichen. Ein wichtiger Schritt ist die Modernisierung der Unternehmensarchitektur. Dazu gehört auch ein durchdringender, umfassender und letztlich anpassungsfähiger Sicherheitsansatz – ein Risikomanagement-Ansatz.
Wenn Sie mehr über die Modernisierung der Architektur – und insbesondere der Sicherheit – von digitalen Unternehmen erfahren möchten, lesen Sie unser neues Buch „Unternehmensarchitektur für digitale Geschäfte“ von O'Reilly.