Moderne Unternehmen sind durch die Einführung der Cloud-Technologie effizienter geworden. Die Abläufe sind besser skalierbar, und die Mitarbeiter können von jedem Ort aus und auf jedem Gerät produktiv sein. Doch während verschiedene Geschäftsbereiche durch die digitale Transformation Impulse erhalten, stagniert die Sicherheit und bleibt oft an die Hardware gebunden. Dies ist nicht unbedingt die beste Option. Wie andere Bereiche des Unternehmens kann auch die Sicherheit von der Cloud profitieren. Man könnte sogar behaupten, dass die Cloud jetzt de facto eine Voraussetzung für die Sicherheit ist, da sich Daten über unzählige Anwendungen – sowohl vor Ort als auch in der Cloud – ausbreiten und das Internet zum neuen Unternehmensnetzwerk wird.
Gastbeitrag von Sundaram Lakshmanan, CTO für SASE-Lösungen bei Lookout
Um die Sicherheit sensibler Daten zu gewährleisten und gleichzeitig die Produktivität zu steigern, muss man in der Lage sein, intelligente Zero-Trust-Zugriffsentscheidungen zu treffen, die sowohl das schwankende Risikoniveau der Benutzer und Endgeräte als auch die Sensibilität der Daten berücksichtigen. Eine Möglichkeit für Unternehmen, diesen Punkt zu erreichen, besteht darin, sich von der Anwendung unterschiedlicher Produkte zu lösen und nach umfassenden Plattformen zu suchen.
Die Cloud hat die Sicherheitsanforderungen auf den Kopf gestellt
Die Sicherheit der alten Schule konzentrierte sich darauf, alles abzusperren – Anwendungen, Daten und Benutzer mussten innerhalb der Unternehmensgrenzen bleiben, und nur verwaltete Geräte waren erlaubt. Diese Philosophie drehte sich auch um den Einsatz unterschiedlicher Tools, die ein bestimmtes Problem lösen sollten. Da jedoch alles in die Cloud verlagert wird und die Benutzer von überall aus arbeiten, verliert man nicht nur den Überblick und die Kontrolle, sondern die Herausforderungen werden auch immer komplexer. Das bedeutet, dass spezielle Teams, die voneinander getrennt sind, nicht mehr tragbar sind. Vor allem angesichts des anhaltenden Arbeitskräftemangels im Bereich der Cyber Security muss man die bestehenden Abläufe rationalisieren, anstatt sie zu erweitern.
Um die Produktivität zu unterstützen, als die Covid-19-Pandemie fast alle dazu zwang, von zu Hause aus zu arbeiten, setzten Unternehmen vorrangig auf Tools für Remote Access wie zum Beispiel virtuelle private Netzwerke (VPNs) mit zusätzlichen Sicherheitstools, die vorgeben, Zero Trust zu erzwingen. Das Problem besteht jedoch darin, dass diese Produkte nur zum Zeitpunkt des Zugriffs Sicherheitsüberprüfungen durchführen. Was passiert jedoch, wenn ein Zugang durch einen Phishing-Angriff kompromittiert wurde und beginnt, sensible Daten herunterzuladen? Was passiert, wenn eine kritische Schwachstelle im Endpunkt eines Betriebssystem entdeckt wird? Die Herausforderung bei der Überprüfung der Sicherheit zum Zeitpunkt des Zugriffs besteht darin, dass sich die Risikostufen von Benutzern und Endgeräten ständig verändern.
Um Remote Work zu garantieren, während sensible Daten geschützt werden, muss die Sicherheit funktionsübergreifend sein. So bietet zum Beispiel Data Loss Prevention (DLP) tiefe Einblicke in die Art der Daten, die man besitzt, wird aber in der Regel nicht von denselben Personen verwaltet, die sich um die Cloud-Dienste kümmern. Zero Trust setzt voraus, dass alle Sicherheitstools zusammenarbeiten, um einen granularen und dynamischen Zugriff zu gewährleisten, weshalb Unternehmen zunehmend auf Cloud-Lösungen setzen.
Worauf man bei einer Cloud-Sicherheitsplattform achten sollte
Auch bei der Cloud-Sicherheit gibt es zwei Komponenten, auf die man achten sollte: Risikobewusstsein und Bewusstsein für Inhalte. Um sicherzustellen, dass ein Unternehmen sein volles Potenzial in einer ortsunabhängigen Arbeitsumgebung ausschöpfen kann, müssen Unternehmen einige Schlüsselkonzepte verstehen, wenn sie Cloud-Plattformen in Betracht ziehen:
1. Risikobewusstsein: Man muss sich des Risikoniveaus seiner Endgeräte und Benutzer ständig bewusst sein, die sich ständig ändern. Indem sie diese Änderungen berücksichtigen, können Unternehmen sicherstellen, dass der Zugang kontinuierlich gewährt oder entzogen wird.
2. Bewusstsein für Inhalte: Hierbei handelt es sich um die Berücksichtigung der Sensibilitätsstufe der Daten, auf die jemand zugreifen möchte. Der risikobasierte Zugriff mindert die Bedrohungen, die von Benutzern und Endgeräten ausgehen. Um jedoch sicherzustellen, dass Zugriffsentscheidungen effizient getroffen werden, sollte man sich auch auf die Daten selbst beziehen.
3. Detaillierte Aktionen: Das Verständnis der Daten muss sich auch auf eine differenzierte Durchsetzung von Richtlinien erstrecken, um sicherzustellen, dass die Produktivität nicht beeinträchtigt wird. Zero-Trust-Zugriffsentscheidungen sollten sich nicht bloß auf binäre Zahlen stützen. Detaillierte Maßnahmen wie das Anbringen von Wasserzeichen, die Hervorhebung von Schlüsselwörtern und die Einschränkung von Downloads sind entscheidend, um sicherzustellen, dass jedes Risiko vermieden wird und die Daten jederzeit geschützt sind.
4. Aktive Verschlüsselung: Der Datenschutz muss auch über den persönlichen Einflussbereich hinausgehen. Man sollte aktive Verschlüsselungstechnologien in Betracht ziehen, die die Sensibilität der Daten berücksichtigen, um sicherzustellen, dass die sensibelsten Daten nur von autorisierten Benutzern eingesehen werden können, selbst wenn sie offline weitergegeben werden.
Der Beginn mit der digitalen Transformation der Sicherheit
All diese Fähigkeiten, die bisher erwähnt wurden, klingen auf dem Papier grossartig. Aber ihre Umsetzung in die Praxis ist eine andere Geschichte. In der Vergangenheit hatten Unternehmen spezielle Teams für verschiedene Funktionen: Informationssicherheit, Netzwerksicherheit, Endpunktsicherheit usw. Einige der üblichen Herausforderungen bei diesem Ansatz sind:
1. Der Unternehmenssicherheit fehlt es oft an einer "Vision": Die verschiedenen Abteilungen bewegen sich in grossen Unternehmen mit unterschiedlichem Tempo, was es schwierig machen kann, eine gemeinsame Vision oder einen Fahrplan für die Einführung der Sicherheit zu erstellen. Vertriebs- und Marketing-Teams führen zum Beispiel Cloud-Plattformen oft viel früher ein als Finanz-, Personal- oder Technikabteilungen.
2. Sicherheit ist reaktiv: IT-Teams sind möglicherweise damit belastet, alte Lösungen zu unterstützen, während sie diese Erweiterungen begleiten. Um diese Belastung zu überwinden, sollte man die richtigen Projekte finden, um die digitale Transformation der Sicherheit anzustossen.
3. Sicherheit besitzt eine kontrollorientierte Denkweise: Die Sicherung der Arbeit von zuhause aus und Cloud-Technologien erfordern eine "produktivitätsorientierte" Denkweise. Die Sicherheitsfunktionen in Unternehmen sind heute an eine "sicherheitsorientierte" oder "kontrollorientierte" Denkweise gewöhnt. "Nein" zu sagen, ist für IT-Teams keine Option mehr.
4. Cloud und Cloud-Anwendungen verändern Geschäftsabläufe im Unternehmen grundlegend: In den Anfangsphasen des Projekts zur digitalen Transformation der Sicherheit wird es eine steile Lernkurve geben. Bevor die Sicherheits-Teams die in der Cloud bereitgestellten Sicherheitskontrollen neu erlernen, müssen sie auch die Feinheiten der Cloud-Dienste und -Anwendungen verstehen, bevor sie diese wirksam schützen können.
Zusammenfassend lässt sich sagen, dass Unternehmen angesichts der Tatsache, dass sich Daten und Benutzer überall befinden, die Art und Weise neu überdenken müssen, wie Sicherheit in der Vergangenheit bereitgestellt wurde. Angesichts der heutigen Cloud-Produkte muss man sicherstellen, dass man über alle notwendigen Werkzeuge wie Telemetrie und Regeln verfügt, um Zero Trust oder perimeterlose Sicherheit wirksam durchzusetzen. Kurz gesagt: Es kommt nicht nur darauf an, von wo aus die Sicherheit bereitgestellt wird, sondern auch darauf, wie sie mit anderen Tools zusammenarbeitet.
