IT-Security muss Allem und Jedem misstrauen
Die physikalische Implementierung von Zero-Trust-Environment-Infrastrukturen stellt viel in Frage, auch den CIO
Historisch orientierte sich die IT-Security an der Schildkröte: Ein undurchdringlicher Panzer schützt vor Angriffen, die nötigen Öffnungen zur Außenwelt sind klein genug, um geschützt zu sein
(05.06.14) - Barracuda Networks präsentierte sich zu ihrer diesjährigen EMEA-Conference für IT-Sicherheit und Storage 15. und 16. Mai in München grundlegend verändert. Nach dem erfolgreichen Börsengang Ende 2013 profitiert der Anbieter von Cloud-vernetzten Security- und Storage-Lösungen von der allgemeinen Aufmerksamkeit: Anwender und Wirtschaft sind durch sie sensibel für Fragen der Sicherheit von Daten und IT-Infrastrukturen. Wieland Alge, Vice President und General Manager EMEA Barracuda Networks, prognostiziert nun umwälzende Veränderungen in der Art, wie IT in Unternehmen organisiert und welche Rolle sie spielen wird. Diesen Paradigmenwechsel fasst er in seiner Eröffnungsrede der Konferenz zusammen:
"Die gute Nachricht zuerst: Die IT-Security muss nicht mehr entscheiden, wo sie die Grenze zwischen Vertrauen und Misstrauen zieht. Sie muss Allem und Jedem misstrauen. Nichts und niemand darf unkontrolliert auf Daten zugreifen. Jede Applikation und jede Hardware kann gehackt sein, jeder Anwender surft auf unsicheren Seiten oder teilt sensible Daten schnell mal per File-Sharing-Dienst. So ist das potenzielle Szenario.
Wir wissen heute besser denn je, dass Kriminelle, Staaten und Mitbewerber hinter unseren Daten her sind. Auf dem Spiel steht nicht mehr und nicht weniger als der Bestand unserer Unternehmen. Wenn unsere IT in Folge einer Attacke längerfristig ausfiele, wäre die Insolvenz nicht weit. Kollektives Misstrauen ist kein Zeichen von Paranoia mehr, sondern ein Leitmotiv der IT. Das Gebot der Stunde heißt: Wir bauen Zero Trust Environments.
Es beschreibt die neue Strategie, sensible Daten zu schützen und das Unternehmen am Laufen zu halten. Ihre Umsetzung erfordert jedoch ein grundlegendes Umdenken beim CIO - bis hin zu seiner Verwandlung.
Forderung Nummer 1: Vertraue Keinem. Weder dem Kühlschrank noch den Mitarbeitern
Historisch orientierte sich die IT-Security an der Schildkröte. Ein undurchdringlicher Panzer schützt vor Angriffen, die nötigen Öffnungen zur Außenwelt sind klein genug, um geschützt zu sein. In den 2000er Jahren bekam unsere reptilienhafte Security aber Probleme: Die Frequenz der Angriffe stieg exponentiell, sie wurden gezielter, die Zahl der verwendeten Komponenten wurde unübersichtlich und spätestens mit der Erfindung des iPhones fingen die User an, aktiv Löcher von innen in den Panzer zu bohren. Wenn ihm eine Firewall oder eine interne Richtlinie im Weg stand, suchten sie kreative Wege, diese zu umgehen. Ein Verhalten, das kein IT-Verantwortlicher in den Griff kriegt.
Mit dem Trend zum Internet der Dinge weitet sich das Problem auf die Hardware aus. Wo alles vernetzt ist, kann jedes Gerät der Kanal sein, auf dem Angreifer in die Organisation eindringen, sie bestehlen oder korrumpieren. Damit ist das Grundgerüst des Zero Trust Environment klar: Die kritischen Infrastrukturen werden durch zusätzliche, intelligente Sicherheitsschleusen vor anderen IT-Komponenten und den Anwendern geschützt. Jede Anfrage wird kontrolliert, jedes verdächtige Verhalten verhindert und untersucht. Das übernehmen Application Delivery Controllern (ADC). Web Application Firewalls (WAF) schützen die sensiblen Applikationen in der Kommunikation mit der Außenwelt, Next Generation Firewalls (NGF) und dedizierte Content Security Gateways schützen die Gesamtheit des Unternehmens.
Forderung Nummer 2: Es gibt Produkte von der Stange, aber keine Architekturen
Die logische Anlage der Architektur ist noch sehr einfach: drei Bereiche, drei Sicherheitsmechanismen. Doch die Umsetzung in eine physikalische Architektur ist alles andere als simpel. Jeder Standort, jeder externe Anwender im Home Office oder unterwegs erfordert eine eigene Sicherheitsstruktur. Die Cloud als zentrales Element fast jeder IT-Infrastruktur ist ein weiterer Faktor, der die Lage noch komplizierter macht. Sie muss in ausreichender Qualität an das Unternehmen angebunden sein.
Firewall, WAF und ADC bekommen ganz neue Aufgaben. Sie sorgen nicht nur wie ein Grenzschutzbeamter für Sicherheit, sondern lenken und optimieren die Datenströme wie ein Verkehrspolizist. Weil aber jedes Unternehmen einzigartig ist, unterscheidet sich die physische Implementierung der simplen Zero-Trust-Logik grundlegend. Kurz: Es gibt keine Infrastruktur von der Stange mehr. Jeder CIO muss die Bedürfnisse seines Unternehmens individuell analysieren und in seinem Konzept von Hardware, Links und Traffic-Regeln umsetzen.
Forderung Nummer 3: Ein fester IT-Budgetposten für den Umtrunk mit Kollegen
Politiker in Europa fordern, zehn Prozent des IT-Budgets in Sicherheit zu investieren. Das freut uns als Security-Anbieter zwar, ist aber der falsche Weg. Es ist ein insularer Ansatz, ein veraltetes Verständnis der IT. Für den Analysten IDC sind moderne Architekturen jetzt auf der so genannten "Dritten Plattform" angekommen. Hier dominieren nicht mehr Mainframes wie auf der ersten Stufe, und nicht mehr Client-Server-Konzepte, wie auf der zweiten Plattform. Heute dominiert das jeweils individuelle Geschäftsmodell der Organisation. Das ist völlig losgelöst von den physischen und technischen Kategorien.
Die Elemente dieser Plattform sind Cloud, Datenanalyse, Social Business und mobiler Zugriff. Vor allem aber sind branchen- und unternehmensspezifische Ansätze wichtig, die sich völlig an den Business-Anforderungen orientieren. Dies bedeutet das Ende der IT-Abteilung als Team isolierter Experten - und damit das Ende des CIO, wie wir ihn kennen.
Der IT-Mitarbeiter von morgen wird einen Großteil seiner Zeit mit den Fachabteilungen der Organisation verbringen, also Controlling, Einkauf, Vertrieb, Kundenservice und Marketing. Er wird von Anfang an in Projekte eingebunden und Verantwortung dafür tragen, dass die IT leistet, was das Business braucht. Am Ende verschwindet die IT-Abteilung, geht in anderen Abteilungen auf, und der CIO von Morgen ist ein anderer. Ausgangspunkt all seiner Überlegungen ist die Frage, was seiner Organisation hilft, erfolgreicher im Wettbewerb zu bestehen. Er lernt, unternehmerisch zu denken.
Entscheidend ist dabei die Kommunikation zwischen den IT-Fachleuten und dem Rest des Unternehmens. Erstere müssen besser verstehen, was ihre Kollegen brauchen. Dafür gibt es keinen besseren Weg als Networking und ein gemeinsames Bier nach Feierabend. Es wird so wichtig, dass es mit einem festen Budgetposten in jedem IT-Haushalt vorkommen sollte. Das ist sinnvoller als die Forderung der Politik.
Forderung Nummer 4: Der CIO muss die Zügel in der Hand halten
Die beiden oben erwähnten Paradigmen - Zero Trust und die Dritte Plattform - erfordern vom CIO eine eigenartige Art von Führung. Zum einen muss er die Zügel in der Hand halten, um zu verhindern, dass IT-Wildwuchs und die alltägliche Sabotage durch die Mitarbeiter sein IT-Reich unkontrollierbar machen.
Unterbindet er die Abteilungs-zentrierte IT aber strikt, werden die Mitarbeiter ihn umgehen. Der CIO muss sich also in ihre Bedürfnisse einfühlen, den Mut aufbringen, extravagante Forderungen abzulehnen und kreative Kompromisse finden. Vor allem muss er skeptisch hinterfragen, ob und wo einmal getroffene Entscheidungen von der Wirklichkeit untergraben wurden.
Wenn diese Job-Description mehr an das Berufsbild eines Politikers erinnert, dann ist das vielleicht ein Zeichen dafür, dass die Große Koalition nicht nur ihre IT-Forderungen überdenken sollte, sondern ihre eigene Zusammensetzung. Es gibt kein besseres Training für ein öffentliches Amt als das des CIOs der Zukunft. (Barracuda Networks: ra)
Barracuda Networks: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.