Sicherheitsintegration
In Ihrer Organisation sollte Sicherheit zum Tagesgeschäft jedes Mitarbeiters gehören, genau wie Unternehmensanforderungen, Leistung und Zuverlässigkeit. Beim Thema Sicherheit sollten auf allen Ebenen die Betriebsprioritäten insgesamt, IT-Initiativen und die Risikofreudigkeit Ihrer Organisation berücksichtigt werden. Stellen Sie sich Sicherheit als roten Faden vor, der sich durch alle Aspekte Ihres Unternehmens zieht. Sicherheit sollte sich ganz natürlich in Ihr Unternehmen einfügen, und Ihr Unternehmen sollte sich ganz natürlich in Sicherheitsaspekte einfügen.
Ihre Organisation muss Sicherheit gewährleisten können, der reibungslose Ablauf von Unternehmensprozesse sollten dabei aber möglichst unberührt bleiben.
Interne Reibungspunkte und gewisse Konflikte zwischen Teams können in jeder Organisation entstehen. Diese Konflikte sind aber selten von langer Dauer. In Zeiten von Cloud, digitalen Unternehmen und Zero-Trust-Sicherheitslösungen ist es von entscheidender Bedeutung, dass alle Teams zusammenarbeiten. Teams, die mit verschiedenen Zielsetzungen, einer unterschiedlichen Unternehmenskultur und einer eigenen Sprache arbeiten, machen Organisationen ineffizient und ineffektiv.
Sorgen Sie dafür, dass Sicherheitsteams nicht in Silos arbeiten. Diese Teams sollten eng zusammenarbeiten, um einen reibungslosen Ablauf von Prozessen und eine effiziente Weitergabe von Wissen zu ermöglichen.
Schauen Sie sich das folgende Video an, um mehr über die Integration von Sicherheit in allen Bereichen Ihres Unternehmens zu erfahren.
Dieser Leitfaden beschreibt, wie Sie die Integration von Sicherheit mit Ihrem Unternehmen und den IT-Teams und die Integration zwischen Sicherheitsteams verbessern können.
Normalisieren von Beziehungen
Den Siloansatz hinter sich zu lassen, der sich in vielen Organisationen abzeichnet, kann eine Herausforderung sein, es ist aber möglich. Essentiell dafür ist, sich ein klares Bild vom gewünschten Endzustand zu machen, den Prozess klar zu gestalten und für kontinuierliche Unterstützung der Geschäftsführung zu sorgen, um greifbare Ziele zu erreichen und die Unternehmenskultur und das Verhalten zu ändern. Die folgenden Elemente sind entscheidend für diesen Prozess:
- Ermitteln gemeinsamer Ziele und Ergebnisse
- Ermitteln eines geeigneten Grads an Sicherheit
Ermitteln gemeinsamer Ziele und Ergebnisse
Sorgen Sie dafür, dass ein gemeinsames Verständnis für die Ziele erreicht wird, an dem alle Teams beteiligt sind. Sicherheitsteams definieren sich gelegentlich als Qualitätslenkung für das Unternehmen und IT-Funktionen. Dieser Ansatz erschafft eine nachteilige Dynamik und führt zu Reibungen. Die Unternehmensproduktivität sowie das Erreichen von IT-Zielen und Sicherheitszielen kann dabei Schaden nehmen.
Achten Sie darauf, dass Sicherheitsteams eng mit ihren jeweiligen Gegenstücken in der IT-Abteilung und im Unternehmen insgesamt verzahnt sind. Sicherheitsteams sind für das Unternehmen, die IT-Aspekte und die Ergebnisse jeder Initiative gemeinsam verantwortlich. Teilen Sie die Herausforderungen, Systeme zu entwerfen, mit denen Unternehmens- und IT-Ziele erreicht werden können. Teilen Sie Sicherheitsperspektiven und das entsprechende Fachwissen zum richtigen Zeitpunkt.
Da Systeme entworfen, implementiert, in Betrieb genommen und fortlaufend optimiert werden, ist es entscheidend, Leitplanken zu setzen, damit Entscheidungen für das Unternehmen, für IT-Aspekte oder beim Thema Sicherheit nicht einseitig getroffen werden.
Ermitteln eines geeigneten Grads an Sicherheit
Einige Sicherheitsoptionen wie biometrische Anmeldungen mit Windows Hello for Business bieten den doppelten Vorteil, die Servicequalität für Benutzer zu erhöhen und gleichzeitig die Sicherheit zu stärken. Viele Sicherheitsmechanismen führen zu Reibungspunkten und können Unternehmensprozesse ausbremsen. Zunächst wird immer versucht, Sicherheitsmaßnahmen zu finden, die einfach sind und von Benutzern und Entwicklern nicht wahrgenommen werden. Manchmal sind aber Kompromisse nötig.
Gemeinsam sollten Teams versuchen, einen akzeptablen Reibungsgrad für Prozesse zu finden, der für Mehrwert sorgt, indem wichtige Fragen zur richtigen Zeit gestellt werden. Sie könnten beispielsweise berücksichtigen, welche Möglichkeiten ein Angreifer mit einem neuen Feature hätte oder wie stark es sich auf das Unternehmen auswirken würde, einige Daten zu ändern.
Die folgenden beiden Fakten sind unumstößlich. Teams sollten deshalb versuchen, eine optimale Balance zu finden:
- Sicherheit ist unumgänglich. Wenn Sicherheit nicht berücksichtigt wird, führt dies oft zu Vorfällen, die letzten Endes höhere Kosten verursachen (Produktivität, Umsatz, Auswirkungen auf das Unternehmen insgesamt), als für das Integrieren einer Sicherheitslösung entstanden wären.
- Sicherheitsmaßnahmen können so starke Reibungen verursachen, dass die nachteiligen Auswirkungen des Schutzes höher sind, als Mehrwert geschaffen werden kann.
Es ist von entscheidender Bedeutung, eine Balance zu finden, wenn Sicherheit in den Prozess integriert wird. Alle Projektbeteiligten müssen zusammenarbeiten, um sicherzustellen, dass Unternehmensbelange, Bedenken zur Zuverlässigkeit und Leistungsfähigkeit des IT-Betriebs und Sicherheitsfragen berücksichtigt werden und ausgeglichen sind. Organisationen müssen Lösungen für 80 Prozent der Maßnahmen erarbeiten, bei der Planung aber auch die restlichen 20 Prozent berücksichtigen. Wenn Sicherheitskontrollen, -features und -funktionen erst implementiert werden, wenn es eine 100-prozentige Lösung gibt, setzen Organisationen das gesamte Projekt dem Risiko einer Gefährdung aus. Iterative Ansätze eignen sich gut. Dasselbe gilt für den grundlegenden Ansatz von Aktualisierungen und entsprechenden Schulungen.
Weitere Informationen zu einem geeigneten Maß an Reibungen beim Thema Sicherheit finden Sie unter Das richtige Maß an Sicherheitsspannungen im Leitfaden „Definieren einer Sicherheitsstrategie“.
Im nächsten Abschnitt wird erläutert, wie Projektbeteiligte beim Thema Sicherheit mit der IT-Abteilung, mit Endbenutzern und Workloadbesitzern integriert werden können. Außerdem finden Sie für das Sicherheitsteam interne Beispiele.
Integrieren mit der IT-Abteilung und Unternehmensprozessen
Während die meisten Sicherheitsfunktionen unbemerkt im Hintergrund ablaufen, treten einige Sicherheitsüberlegungen beim Tagesgeschäft und bei IT-Workflows in den Vordergrund. Ein sicherheitsbewusstes Denken muss in den regulären Ablauf der Planung und des Betriebs eines Unternehmens integriert sein.
Sicherheitsupdateprozess
Sicherheitsupdates gehören zu den häufigsten und eindrücklichsten Punkten, an denen Unternehmensprozesse und Sicherheitsprozesse aufeinandertreffen. Es handelt sich dabei um einen gängigen Reibungspunkt, da hierbei die schwierige Balance zwischen zwei Kräften gefunden werden muss, die unterschiedlichen Parteien in einer Organisation zugewiesen werden können:
- Unmittelbare Unternehmensauswirkungen: Für Sicherheitsupdates sind oft Tests und Systemneustarts erforderlich, die für Anwendungsbesitzer und IT-Teams sowohl zeit- als auch ressourcenaufwendig sind und sich in Form von Downtime möglicherweise auf das Unternehmen auswirken.
- Mögliche zukünftige Unternehmensauswirkungen in Form von Sicherheitsrisiken: Wenn Updates nicht vollständig erfolgen, können Angreifer die Schwachstellen ausnutzen und dem Unternehmen Schaden zufügen.
Wenn Teams nicht mit gemeinsamen Zielen und Verantwortungsbereichen arbeiten (z. B. die IT-Abteilung und das Unternehmen legen den Fokus zu 100 Prozent auf die unmittelbaren Unternehmensauswirkungen, die Sicherheitsverantwortlichen zu 100 Prozent auf das Sicherheitsrisiko), herrscht ein ständiger Konflikt im Hinblick auf Sicherheitsupdates. Dieser Konflikt hindert die Teams durch endlose Diskussionen, anstatt dass gemeinsam an einer Problemlösung gearbeitet wird. So könnte direkt im Anschluss am nächsten Problem, an weiteren Risiken und an neuen Chancen für die Schaffung von Mehrwert für das Unternehmen gearbeitet werden. Mit kontinuierlicher Kommunikation in der gesamten Organisation und durch die Schaffung einer Unternehmenskultur, in der Updates wertgeschätzt werden, kann der Widerspruch von Endbenutzern schon erheblich eingedämmt werden. Wenn Benutzer wissen, dass sie besser geschützt sein werden, so produktiver arbeiten können und zum weiteren Unternehmenserfolg beitragen können, da sie von den Sicherheitsbestrebungen unterstützt werden, werden Updates und fortlaufende Schulungen wahrscheinlicher wertgeschätzt.
Wenn Zuständigkeiten für alle Vorteile und Risiken richtig auf die Besitzer von Ressourcen verteilt werden, erleichtert ihnen dies, sofortige und mögliche zukünftige Auswirkungen zu berücksichtigen. Wenn es zur gemeinsamen Verantwortung aller Fachexperten beim Thema Sicherheit, in der IT-Abteilung und im Unternehmen insgesamt erklärt wird, eine Lösung zu erarbeiten, wird die Qualität einer Lösung gesteigert, da mehr und vielfältige Perspektiven berücksichtigt werden. Machen Sie alle Personen zu Beteiligten am Thema Sicherheit in Ihrem Unternehmen. Zwar beinhaltet nicht jede Rolle Sicherheit auf täglicher Basis, Sicherheitsanforderungen bestehen aber für jede Rolle.
Dieser Beispielprozess zeigt, wie Organisationen an Lösungen dieses Problems über gemeinsame Verantwortungsbereiche und Flexibilität innerhalb eines begrenzten Zeitrahmens arbeiten:
Dieser Prozess wird entlang eines regulären Zeitplans befolgt:
- Die IT-Abteilung des Unternehmens und die Sicherheitsteams beginnen den Prozess, indem ermittelt wird, welche Sicherheitsupdates oder -patches erforderlich sind und die höchsten Auswirkungen nach sich ziehen. Über unternehmensweite Verteilungskanäle werden diese Updates für Endbenutzer oder Workloadbesitzer verfügbar gemacht.
- Endbenutzern steht ein fester Zeitraum zur Verfügung, während dessen die Updates getestet und angewendet werden und die Geräte neu gestartet werden können. Nach Ablauf dieses Zeitfensters wenden die IT-Abteilung des Unternehmens und die Sicherheitsteams das Update entweder an, oder sie blockieren den Zugriff auf Unternehmensressourcen. Dafür kann eine Methode wie der bedingte Zugriff von Microsoft Entra oder die Lösung eines Drittanbieters für die Netzwerkzugriffssteuerung verwendet werden.
- Workloadbesitzer erhalten einen festen Zeitraum, in dem die Updates getestet und auf Produktionssysteme angewendet werden können und bei Bedarf ein Neustart durchgeführt werden kann. Nach diesem Self-Service-Zeitraum und nach Ablauf möglicher Toleranzperioden erzwingen die IT-Abteilung des Unternehmens und die Sicherheitsteams die Anwendung des Updates entweder, oder sie isolieren sie von anderen Unternehmensressourcen. Manche Organisationen mit strengen Anforderungen verhindern die Nutzung der Ressourcen auch vollständig, indem sie aus den Azure-Abonnements oder AWS-Konten entfernt werden.
- Die IT-Abteilung des Unternehmens und die Sicherheitsteams überwachen den Status des Updates und führen möglicherweise ermittelte notwenige Wartungsarbeiten durch.
Dieser Prozess ist nicht statisch und kann auch nicht an einem Tag eingerichtet werden. Er wird iterativ entwickelt und im Lauf der Zeit kontinuierlich verbessert. Beginnen Sie mit Ihrer aktuellen Situation, und optimieren Sie den Prozess fortlaufend, um sich diesem Endzustand inkrementell zu nähern. Verwenden Sie die folgenden Dimensionen, um eine fortlaufende Verbesserung zu planen:
- Umfang: Beginnen Sie mit einigen wenigen Anwendungsteams, bei denen die Chance auf Erfolg hoch ist, oder die bei einem Angriff sehr hohe Unternehmensauswirkungen nach sich ziehen würden. Fügen Sie nach und nach mehr Workloads hinzu, bis alle Workloads in Ihrer Umgebung abgedeckt sind.
- Zeit: Beginnen Sie mit Fristen, die erreicht werden können, und erarbeiten Sie einen klaren Fahrplan, der immer weiter verkürzt werden kann, bis Sie es etwa schaffen, ein vollständiges Update in einer Woche oder weniger durchzuführen.
- Technologiebereiche: Verbessern Sie immer weiter, welche Patches und Technologien abgedeckt werden sollen, einschließlich Anwendungen, Middleware und Open-Source-Komponenten, die in Anwendungscode verwendet werden. Sie sollten zur Verwendung von Komponenten ermutigen, die für Sie aktualisiert werden, um Ihren Wartungsaufwand zu senken. Verwenden Sie z. B. Azure SQL-Datenbank, anstatt Ihre eigene SQL Server-Instanz zu installieren und zu aktualisieren.
- Prozesse: Verbessern Sie die Kommunikationskanäle zwischen Teams, den Leitfaden für die Priorisierung, Ausnahmeprozesse und alle anderen Aspekte dieses Prozesses immer weiter.
Integrieren von Sicherheitsteams
Sicherheitsteams sollten zusammenarbeiten, um ein erhöhtes Risiko für das Unternehmen zu vermeiden, das durch das Arbeiten in Silos entstehen würde. Wenn Ergebnisse und die wichtigsten Erkenntnisse nicht mit allen Sicherheitsteams geteilt werden, nimmt die Organisation möglicherweise größeren Schaden, und es entstehen in Folge eines zukünftigen Vorfalls weit größere Auswirkungen, die vermieden hätten werden können.
Sicherheit ist eine dynamische Disziplin, die immer auf aktive Bedrohungen reagieren und gewonnene Erkenntnisse immer umsetzen und Prozesse, Tools und Technologien fortlaufend verbessern muss. Sicherheit muss sich ständig an Änderungen bei den Methoden von Angreifern, bei Technologieplattformen und bei Geschäftsmodellen der Organisation anpassen. Sicherheitsteams sollten zusammenarbeiten, um schnell auf Bedrohungen reagieren und Erkenntnisse und Ergebnisse schnell in Prozesse integrieren zu können, die sowohl den Sicherheitsstatus der Organisation, als auch die Möglichkeit einer schnellen Reaktion auf Angriffe verbessern können.
Das folgende Workflowdiagramm zeigt, wie Sicherheitsdisziplinen ineinandergreifen sollten, um Ergebnisse und Erkenntnisse vollständig zu integrieren, um die Sicherheit insgesamt zu verbessern.
Die Hauptaufgabe beim Thema Sicherheit ist es, schnell auf die folgenden Situationen reagieren zu können:
Neue Vorfälle: Aktive Angreifer mit Zugang zu Organisationsressourcen stellen ein unmittelbares Risiko für die Organisation dar, das schnell und mit oberster Priorität behoben werden muss. Nachdem die Situation unter Kontrolle ist, stellen diese Angriffe die beste Möglichkeit dar, sich ein Bild von möglichen zukünftigen Angriffen zu machen. Unabhängig davon, ob Angreifer erfolgreich waren oder nicht, wiederholen sie wahrscheinlich Angriffe auf dasselbe Ziel, mit derselben Technik oder mit demselben Monetarisierungsmodell.
Neue Erkenntnisse und Ergebnisse: Die folgenden Quellen können zu neuen Erkenntnissen und Ergebnissen führen:
Externe Vorfälle: Vorfälle in anderen Organisationen können Erkenntnisse zu Angreifern bieten. Möglicherweise wird derselbe Versuch für Ihre Organisation unternommen. Dieses Wissen kann als Grundlage für die Verbesserung von Plänen verwendet werden, oder es gibt Ihnen Aufschluss dahingehend, dass Sie sich mit Ihren Investitionen auf dem richtigen Weg befinden. Greifen Sie über ein Informationsaustausch- und Analysezentrum (Information Sharing and Analysis Center, ISAC), über direkte Beziehungen zu ähnlichen Organisationen oder andere öffentliche Berichte und Analysen zu Vorfällen auf Informationen zu externen Vorfällen zu.
Neue technische Funktionen: Cloudanbieter und Softwareanbieter bieten immer neue Innovationen. Sie fügen ihren Produkten Funktionen hinzu:
- Funktionen für Unternehmen, die Sicherheitsmaßnahmen erfordern
- Sicherheitsfunktionen, die die Sicherheitsmaßnahmen im Hinblick auf die Fähigkeit zur Verteidigung von Ressourcen verbessern: Bei diesen Funktionen kann es sich um native Sicherheitsfunktionen handeln, die in Cloudplattformen oder andere Plattformtechnologie integriert sind. Es kann sich auch um herkömmliche eigenständige Sicherheitsfunktionen handeln.
- Die Einblicke und Telemetriedaten, die mit cloudbasierten Sicherheitsmaßnahmen erzielt werden können, bieten weit mehr, als Organisationen über ihre einzelne lokale Umgebung erreichen könnten. Alle diese Daten werden mithilfe von Metadaten aus allen Bereichen zusammengefasst. Die Daten werden einem strengen Analyseprozess unterzogen, einschließlich Verhaltensanalysen, Sicherheitsbereichen für Detonationen, maschinellem Lernen und künstlicher Intelligenz.
Best Practices der Branche: Best Practices der Branche von Anbietern und Organisationen wie NIST (National Institute of Standards and Technology), CIS (Center for Internet Security) und Open Group. Diese Organisationen haben sich dazu verpflichtet, Ergebnisse und Best Practices zu sammeln und zu teilen, von denen Sicherheitsteams lernen können.
Sicherheitsrisiken sind überall dort zu finden, wo es ein Angreifer schaffen kann, die Kontrolle über eine Ressource zu erhalten, z. B. Sicherheitslücken in Software. Andere Beispiele sind die Auswahl von Sicherheitskonfigurationen, Schwachstellen bei Kryptografiealgorithmen, unsichere Methoden und Prozesse für das Verwenden oder Verwalten von Systemen. Wenn Sie Sicherheitsrisiken entdecken, bewerten Sie, wie sie sich auf Ihren Sicherheitsstatus und darauf auswirken können, wie Sie einen Angriff erkennen, darauf reagieren und sich davon erholen können.
Reaktion auf Bedrohungen: Sicherheitsbetriebsteams untersuchen erkannte Bedrohungen. Sie reagieren auf sie, indem versucht wird, Angreifern die erlangte Kontrolle in der Organisation wieder abzunehmen. Je nach Größe der Organisation und nach Komplexität eines Vorfalls sind für diese Reaktion mehrere Sicherheitsteams erforderlich.
Analyse der Grundursache: Wenn die Hauptfaktoren ermittelt werden können, die dazu beigetragen haben, dass ein entscheidender Vorfall leichter durchgeführt werden konnte oder dass die Auswirkungen größer waren, liefert dies Erkenntnisse und Ergebnisse, die den Sicherheitsstatus einer Organisation und ihre Fähigkeit, zu reagieren, erhöhen. Diese Ergebnisse können vielen Dimensionen entstammen, z. B. den Tools und der Infrastruktur eines Angriffs, den Methoden eines Angriffs, den Zielen, der Motivation und den Monetarisierungsmodellen. Die Analyse von Grundursachen kann als Informationsgrundlage für präventive Kontrollen, Mechanismen zur Erkennung von Angriffen, betriebliche Sicherheitsprozesse oder andere Elemente des Sicherheitsprogramms oder der Sicherheitsarchitektur dienen.
Bedrohungssuche: Eine proaktive Suche nach Bedrohungen ist eine fortlaufende Tätigkeit. Bei der Suche sollten immer neue Erkenntnisse oder Ergebnisse für die Planung einer Suche und die Entwicklung von Hypothesen berücksichtigt werden. Teams sollten sich bei der Suche auf die folgenden wichtigen Aspekte konzentrieren:
- Vor Kurzem entdecktes Sicherheitsrisiko mit hohem Geltungsbereich oder großen Auswirkungen
- Eine neue Angreifergruppe
- Eine neue Angriffsmethode, die bei einer Konferenz gezeigt wurde
Entwurf und Implementierung von Risikominderungsmaßnahmen: Die gewonnenen Erkenntnisse müssen in die technische Umgebung und sowohl in Sicherheits- als auch in Unternehmensprozesse integriert werden. Teams sollten zusammenarbeiten, um die gewonnen Erkenntnisse für die Architektur, für Richtlinien und für Standards zu berücksichtigen. Der Diebstahl von Anmeldeinformationen eines Administrators während eines vor Kurzem erfolgten internen oder öffentlichen Vorfalls könnte die Organisation beispielsweise darauf hinlenken, die Steuerungsmechanismen des privilegierten Zugriffs von Microsoft zu übernehmen. Weitere Informationen finden Sie unter Plan zur schnellen Modernisierung der Sicherheit.
Nächste Schritte
Legen Sie bei der Planung Ihrer Cloudeinführung den Fokus auf die gemeinsame Integration von Sicherheitsfunktionen. Integrieren Sie Sicherheit mit Ihrer größeren Organisation. Achten Sie genau auf die Reibungspunkte, zu denen Sicherheit führt. Sorgen Sie dafür, dass das Maß der Reibung akzeptabel ist. Ein akzeptables Maß an Reibung senkt das Risiko für eine Organisation, ohne verlangsamende Hindernisse zu schaffen, die mehr Mehrwert verhindern als zu schützen.
Weitere Informationen finden Sie unter Definieren einer Sicherheitsstrategie.
Sehen Sie sich auch den Artikel zu Cloudsicherheitsfunktionen an.
Im Artikel Geschäftsresilienz geht es um den nächsten für Sicherheit relevanten Bereich.