Sicherheit
21.03.2023
Konsolidierung der Cybersicherheit
1. Teil: „Oberstes Gebot: Simplifizieren!“

Oberstes Gebot: Simplifizieren!

Shutterstock / Titima Ongkantong
Komplexität ist die am häufigsten genannte Security-Herausforderung. Für mehr Einfachheit zu sorgen ist schwer, aber nicht unmöglich.
Eine wirksame Cyberabwehr ist nicht in erster Linie eine Frage des Budgets, auch wenn man das glauben könnte. Nur 13 Prozent der von dem Marktforschungshaus IDC befragten Security-Verantwortlichen in Deutschland nannten den Mangel an Budget für Investitionen als eine der größten Security-Herausforderungen. Selbst der viel diskutierte Fachkräftemangel liegt in der IDC-Studie „Cybersecurity in Deutschland 2022“ nur auf Platz drei der Herausforderungen in der Cybersicherheit. Während es der häufig in der Kritik stehende Datenschutz immerhin auf Platz zwei bringt, ist es die Komplexität der Security, die den meisten Unternehmen in Deutschland zu schaffen macht.
Und daran wird sich auch so schnell nichts ändern. Wenn nicht konsequente Gegenmaßnahmen ergriffen werden, ist eine baldige Besserung in puncto Security-Komplexität nicht in Sicht, im Gegenteil: Zwei Drittel der Befragten gaben an, dass ihre Security-Landschaften in den letzten zwölf Monaten komplexer geworden sind, und 71 Prozent gehen davon aus, dass die Komplexität in den nächsten zwölf Monaten weiter zunehmen wird.
  • Quelle:
    IDC-Studie „Cybersecurity in Deutschland 2022“

Komplexität behindert Abwehr

Steigende Angriffszahlen, immer mehr Arbeitslast für die Security-Abteilung, aber auch die immer größere Security-Komplexität führen zu einer zunehmenden Eskalation in der Cybersicherheit. Gleichzeitig werden aus Sicht von IDC keine ausreichenden Gegenmaßnahmen ergriffen. Die Bewältigung vieler oder sogar aller anderen Security-Herausforderungen hängt den Analysten zufolge sehr stark davon ab, ob die Kernherausforderungen Komplexität und Fachkräftemangel angegangen werden.
Nicht nur der Wunsch nach mehr Einfachheit und Übersichtlichkeit sollte die Maßnahmen zur Reduktion der Security-Komplexität weit nach oben auf die Agenda der Security-Verantwortlichen bringen. Ohne diese Vereinfachung werden sich auch viele Probleme im Datenschutz, in der Netzwerksicherheit oder bei der Abwehr von Phishing und Ransomware nicht lösen lassen.

Fachkräftemangel verschärft das Problem

Nun ist es nicht so, dass die Unternehmen bislang untätig gewesen wären. So betreiben bereits rund 80 Prozent mindestens die Hälfte ihrer Security-Infrastrukturen in externen Umgebungen, um die eigene Security-Komplexität zu reduzieren, das Personal zu entlasten oder das Know-how zu ergänzen, berichtet IDC.
Die Nutzung externer Security-Services ist bekanntlich ein Weg, um dem Fachkräftemangel in der Security entgegenzutreten, doch auch die Risiken durch eine zu komplexe Security werden dadurch adressiert. So ist die Wechselwirkung von Komplexität und Fachkräftemangel ochgefährlich, wie IDC betont: Komplexität und Fachkräftemangel katalysieren sich gegenseitig, denn je größer die Komplexität, desto mehr Personal wird gebraucht, um ihr Herr zu werden, und je größer der Fachkräftemangel, desto weniger kann gegen die Komplexität unternommen werden.
Aber die Nutzung externer Security-Expertise alleine reicht nicht, um eine einfachere Security zu erreichen. Die Cybersicherheit ist deutlich zu heterogen, zu wenig „aus einem Guss“. Zu Recht beklagen 17 Prozent der Unternehmen eine unzureichende Integration und Rationalisierung in der Security.

Integration ermöglicht Automatisierung

Laut der Cybersecurity-Studie von IDC bekommt Security-Automatisierung und -Orchestrierung zu wenig Aufmerksamkeit. „Gemessen an der Security-Komplexität und dem Fachkräftemangel sollte diesem Thema wesentlich mehr Aufmerksamkeit beigemessen werden“, rät Marco Becker, Consulting Manager bei IDC und Studienleiter.
Hier sind allerdings auch die Security-Anbieter gefragt: Der Markt für Cyber- und IT-Security wird zunehmend unübersichtlich. Anwender können moderne Lösungen und ihren Nutzen immer schwieriger voneinander unterscheiden, und auch die Lösungen selbst sind ohne spezifisches Fachwissen oft nur schwer zu betreiben und zu bedienen. Die Folge kann ein Wildwuchs sein, mit vielen ungenutzten Funktionen, die kaum ein Anwenderunternehmen kennt.
Deshalb forderte IDC bereits 2021: Security-Anbieter müssen die Unternehmen mit Beratung und Schulungen unterstützen, mit anderen Anbietern den Schulterschluss suchen und die Integration ihrer Lösungen in Security-Plattformen und Ökosystemen vorantreiben und schlussendlich ihre Lösungen Cloud-ready machen. Zudem sollten Security-Anbieter auch verstärkt an der Optimierung ihrer Lösungen für Managed-Service-Provider arbeiten, um gemeinsam auch die komplexen, aber nötigen IT-Security-Lösungen als Managed Service anbieten zu können. Doch auch die Anwenderunternehmen sind gefragt, ihr Verständnis von einer einfachen und effektiven Cyber­sicherheit zu überdenken.
2. Teil: „Missverständnisse 1-3“

Missverständnisse 1-3

Missverständnis 1: Komplexität betrifft nur die Security

Um die Cybersicherheit vereinfachen zu können, muss sich nicht nur in der Security selbst etwas verändern. Security ist bekanntlich kein Selbstzweck, sondern sie dient dem Schutz der IT-Infrastrukturen, Applikationen und Daten. Will man also die Komplexität in der Security mindern, sollte sich auch der Aufgabenbereich der Cyber­sicherheit so einfach wie möglich gestalten, also die zu schützende IT weniger komplex werden.
Mehr als 80 Prozent der IT-Führungskräfte in Deutschland halten Technologie, Daten und Betriebsumgebungen in ihren Unternehmen für unnötig komplex – und schätzen, dass die Firmen daher nicht optimal gegen Cyber­angriffe geschützt sind. Das zeigt die Studie „Digital Trust Insights 2022“ der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC.
„Unternehmen nutzen zu selten Daten und Automatisierung, um ihre Prozesse effizienter zu gestalten. Dabei führt die Vereinfachung des Betriebs, der Prozesse und der zugehörigen Systeme dazu, dass sie Cyberrisiken schneller erfassen und IT-Sicherheit besser gewährleisten können“, kommentiert Moritz Anders, Partner im Bereich Cyber Security & Privacy bei PwC Deutschland.
  • Die Ausgaben für Hardware, Software und Dienstleistungen im Bereich IT-Sicherheit werden sich 2022 auf rund 7,8 Milli­arden Euro belaufen, prognostizierte der Digitalverband Bitkom vergangenen Oktober. 2023 sollen es 8,5 Milliarden sein.
    Quelle:
    Bitkom
Wer also eine einfachere Security erreichen will, muss auch die Komplexität in allen anderen Bereichen der IT erkennen und vermindern. Das macht die Aufgabe einer Vereinfachung in der Security deutlich umfangreicher, aber nur ein ganzheitliches Vorgehen gegen die ausufernde Komplexität der IT kann die Risiken reduzieren.

Missverständnis 2: Komplexität ist nur eine Techniksache

Wenn es um eine zu komplexe Security geht, denken viele Unternehmen zuerst und häufig allein an die Vielfalt der technischen Security-Lösungen, die nebeneinander operieren und mangels Integration nicht einfach orchestriert und automatisiert werden können. Eine wirkliche Übersicht über die eigene Security ist damit kaum zu erreichen.
So berichtet etwa Absolute Software: Zu einem beliebigen Zeitpunkt laufen im Durchschnitt 11,7 Sicherheitsanwendungen auf einem Endgerät. Dies kann eine große Herausforderung für die Durchsetzung von Richtlinien, die Aufrechterhaltung der Sicherheitslage und die Reaktion auf ein wahrgenommenes Sicherheitsrisiko sein. Sowohl IT- als auch Sicherheitsadministratoren müssen inventar- und sicherheitsrelevante Datenpunkte über mehrere Dashboards von verschiedenen Produkten überwachen, um ein vollständiges Bild ihrer Umgebung zu erhalten.
Doch die hohe Komplexität findet sich nicht nur in der technischen Security, sondern auch in der Security-Organisation. So rät der Digitalverband Bitkom: Unternehmen müssen in einem Angriffsfall reaktionsfähig sein. Es braucht deshalb die klare Definition von Verantwortlichkeiten im Sicherheitsbereich und die Einrichtung entsprechender Anlaufstellen – sowohl intern als auch bei externen Dienstleistern. Außerdem ist es sinnvoll, sich darauf vorzubereiten, auch ohne die Hilfe externer Dienstleister kurzfristig reagieren zu können – bei großflächigen Cyberangriffen könnten Externe an Kapazitätsgrenzen stoßen, wie der Bitkom unterstreicht.
Ebenso ist Security weniger komplex und durchschaubarer, wenn alle Beschäftigten regelmäßig zur Cybersicher­heit geschult werden. Dazu gehört, potenzielle Gefahren verständlich zu erklären und Schritt-für-Schritt-Anleitungen bereitzustellen, wie man sich im Fall eines Angriffs verhält und an wen man sich wenden muss. „Die Mitarbeiterinnen und Mitarbeiter können Cyberangriffe erleichtern oder erschweren – sie sind die erste Abwehrreihe gegen Cyberkriminelle. Unternehmen sollten unbedingt über Risiken und Angriffsarten aufklären und Hinweise für das richtige Verhalten geben“, empfiehlt Simran Mann, Referentin Sicherheitspolitik beim Bitkom.

Missverständnis 3: Neue Lösungen erhöhen nur die Komplexität

Neue Plattformansätze wie Extended Detection and Response (XDR), Security Service Edge (SSE) und Cloud Native Application Protection Platforms (CNAPP) beschleunigen die Vereinfachung und Konsolidierung der Cybersecurity-Lösungen, erklärt der Gartner-Analyst Jay Heiser. Das Marktforschungshaus prognostiziert beispielsweise, dass bis 2024 30 Prozent der Unternehmen cloudbasiertes Secure Web Gateway (SWG), Cloud Access Security Broker (CASB), Zero Trust Network Access (ZTNA) und Branch Office Firewall as a Service (FWaaS) von nur einem Anbieter einführen werden, also eine Plattform nutzen werden, die diese Funktionen in sich vereint.
Mit neuen Security-Ansätzen muss also die Komplexität nicht steigen, wenn einheitliche Konzepte genutzt werden. Damit aber die neuen Plattformen nicht doch zu weiterer Komplexität beitragen, muss die Security-Organisation darauf ausgerichtet werden. Dazu gehören Schulungen zur Nutzung der neuen Plattformen, aber auch eine Anpassung der internen Meldewege und Berichte, da die Konsolidierung der Security auch zu veränderten Security-Dashboards und Security-Warnungen führt.
Nicht zuletzt müssen die internen und externen Ansprechpartnerinnen und Ansprechpartner geprüft und bei Bedarf neu definiert werden, wenn zum Beispiel bestimmte Security-Lösungen und -Anbieter wegfallen und dafür wenige neue hinzukommen. Die Zusammenarbeit interner und externer Security-Stellen muss sich neu einspielen und finden, damit die mögliche Vereinfachung auch eintreten kann.
Erneut zeigt sich, dass Cybersicherheit einen entscheidenden menschlichen Faktor aufweist, der von einer Vereinfachung ebenso betroffen ist wie die Technik. Konsolidierung und Vereinfachung sind keine Selbstläufer, sondern mit Aufwand und Zeit verbunden, die aber investiert werden müssen, wenn man auf die komplexen Cyberbedrohungen möglichst einfache Antworten finden will.
Experten-Empfehlungen
Das IT-Beratungshaus Gartner rät Unternehmen, die sich mit der Konsolidierung ihrer IT-Security beschäftigen wollen, Folgendes:
  • Kostenoptimierung sollte nicht der Hauptgrund für die Anbieterkonsolidierung sein: Die Verbesserung der Risikolage ist der wichtigste Vorteil der Security-Konsolidierung, und nicht, um Budgets zu sparen oder die Beschaffung zu verbessern. 65 Prozent der von Gartner für eine Studie befragten Unternehmen erwarten dadurch, ihre allgemeine Risikolage zu verbessern, und nur 29 Prozent der Befragten erwarten geringere Ausgaben für die Lizenzierung.
  • SASE und XDR sind Konsolidierungsmöglichkeiten: Sicherheits- und Risiko­management-Führungskräfte sollten XDR (Extended Detection and Response) und SASE (Secure Access Service Edge) als Optionen für den Beginn ihrer Konsolidierungsreise betrachten. SASE bietet einen ganzheitlichen, sicheren Unternehmenszugriff, während sich XDR auf die übergreifende Erkennung und Reaktion auf Bedrohungen durch erhöhte Sichtbarkeit von Netzwerken, Clouds, Endpunkten und anderen Komponenten konzentriert.
  • Vereinfachung und Konsolidierung der Security brauchen Zeit: Sicherheits- und IT-Führungskräfte sollten mindestens zwei Jahre für die Konsolidierung einplanen.

mehr zum Thema