CRN-Interview mit Jan Müller von Computacenter
»Am wichtigsten ist eine individuelle Risikoanalyse«
Mit CRN spricht Jan Müller, Director Security Solutions bei Computacenter, über das Ende von Best-of-Breed und darüber, wie man als Systemhaus die richtigen Security-Lösungen auswählt. Außerdem erklärt er, warum es nicht reicht, sich an statischen Compliance-Standards zu orientieren und individuelle Risikoanalysen notwendig sind.
CRN: Herr Müller, das Thema Sicherheit durchzieht mittlerweile alle Bereiche der IT und eigentlich jeden Unternehmensprozess. Gibt es überhaupt noch klassische Security-Projekte oder ist Security mittlerweile eher ein fester Bestandteil aller Projekte?
Jan Müller: Beides kommt in Unternehmen vor. Tatsächlich ist Security in vielen IT-Projekten integriert. So gehört zum Beispiel eine Risikoanalyse heute praktisch zu jedem IT-Projekt. Viele Unternehmen setzen bereits DevSecOps-Methoden ein. Bei jedem Netzwerk-Projekt sind Segmentierung und Zugangskontrolle ein Thema, in der Cloud der Secure Access, am Workplace die Endpoint Security, und auch im Data Center ist Sicherheit ein fester Bestandteil. Unternehmen benötigen hier eher umfassende Managed Security Services statt einzelner, punktueller Sicherheitslösungen.
Zu den klassischen Security-Projekten gehören dagegen die Bereiche Identity and Access Management, Privileged Access Management, Cyber-Defence oder Patch-Management. Diese werden meist unabhängig von einzelnen IT-Projekten übergreifend durchgeführt.
Insgesamt müssen Unternehmen ihre klassischen Sicherheitsansätze verbessern und gleichzeitig neue Methoden integrieren. Dabei sollte im ersten Schritt die Prävention im Vordergrund stehen, um die Anzahl der Vorfälle von vornherein zu reduzieren. Dies erleichtert dann auch die Detektion und Reaktion auf tatsächliche Angriffe.
CRN: Welche Auswirkungen hat das auf die Entwicklung der Security-Budgets von Kunden?
Müller: Insgesamt steigen die Budgets, da Security inzwischen einen echten Business Impact hat. Heute kann sich kein Unternehmen mehr einen größeren Sicherheitsvorfall leisten. Zusätzlich zwingen sie verschärfte Compliance-Anforderungen dazu, ihre Security-Hausaufgaben zu erledigen.
Gleichzeitig sinken in bestimmten Bereichen die Ausgaben, da sich Unternehmen auf die wichtigsten Security-Themen konzentrieren und keine schicken Zusatzlösungen mehr kaufen, die eigentlich unnötig sind und sich kaum in die bestehenden Systeme integrieren lassen. Sie installieren nur noch das, was sie wirklich brauchen. Entsprechend verschieben sich die Budgets.
CRN: Schätzen Kunden Ihrer Erfahrung nach die Sicherheitsrisiken, denen sie unterliegen, realistisch ein?
Müller: Viele Unternehmen schätzen die Risiken nicht richtig ein. Denn sie orientieren sich meist an Compliance-Standards, berücksichtigen aber nicht ihre individuelle Situation: Welche Angreifer haben es auf das eigene Unternehmen abgesehen, welche Daten sind am stärksten gefährdet und wo liegen die Schwächen bei der Absicherung?
Zudem vergrößert und verändert sich die Angriffsfläche ständig. Daher genügen statische Compliance-Regeln nicht mehr und es sind regelmäßige individuelle Risikoanalysen nötig.
CRN: In welchen Bereichen gibt es den größten Nachholbedarf in puncto IT-Sicherheit und um welche Risiken sollten sich Kunden am schnellsten kümmern?
Müller: Am wichtigsten ist eine individuelle Risikoanalyse. Je nach Ergebnis müssen dann Unternehmen ihre Security-Maßnahmen priorisieren. Das schwächste Glied ist weiter der Benutzer, der E-Mails und deren Inhalte falsch behandelt. Die Steigerung der User Awareness ist daher ein wesentlicher Punkt.
Dieser muss mit ausreichenden technischen Schutzmaßnahmen sowie der Eingrenzung und Kontrolle von Administrator- und VIP-Rechten einhergehen. Wenn Hacker auf diese Konten Zugriff erhalten, können sie heute praktisch alle Daten und Anwendungen des Unternehmens manipulieren. Aber auch Social Engineering stellt eine große Gefahr dar, insbesondere bei Mitarbeitern mit Geld-Überweisungsrechten.
Nicht nur bei diesen Präventionsmaßnahmen, sondern auch bei Detektion und Reaktion gibt es einen großen Nachholbedarf in vielen Unternehmen. Da die IT-Systeme immer umfangreicher und unübersichtlicher werden, müssen sie bei jedem IT-Projekt Risikoanalysen durchführen und ihre IT-Infrastrukturen widerstandsfähiger gegenüber neuen Angriffsmethoden machen. Dabei sind auch neue Technologien wie Cloud oder IoT zu berücksichtigen.
CRN: Sie sprachen gerade die Awareness der Mitarbeiter an. Macht man es sich da nicht ein bisschen einfach, indem man den Mitarbeitern die Verantwortung zuschiebt? Eigentlich sollten IT- und Sicherheitslösungen doch so ausgelegt sein, dass sie auch den unbedarften Nutzer schützen…
Müller: Ja, das ist grundsätzlich richtig. Die beste Sicherheitslösung wäre eine technische – wenn es sie immer und sofort gäbe. In der Praxis sind die Angreifer den Unternehmen aber immer noch einen Schritt voraus. Denn Unternehmen müssen ihre gesamten, verteilten Netzwerke hundertprozentig absichern, während dem Angreifer eine einzige Schwachstelle in diesem System genügt, um Schaden anzurichten. Daher kann eine rein technische Lösung nur theoretisch umfassenden Schutz bieten – und die Anwender müssen zusätzlich wachsam bleiben.
- »Am wichtigsten ist eine individuelle Risikoanalyse«
- »Best of Breed führt in der Regel zu einem Management-Problem«
Lesen Sie mehr zum Thema
