ITWelt.at-Roundtable zum Thema Sicherheit: SASE – „Secure Access Service Edge“ – als intelligente Antwort auf aktuelle Bedrohungen und den Wunsch nach besserer Usability. Hier die gesammelten Statements von Matthias Lutz, Senior Account Executive bei Cloudflare. [...]
Welchen Aufgabenbereich verantworten Sie bei Cloudflare?
Ich sehe mich als Brücke zwischen Technik und dem Business. Wir sind überzeugt, dass das Thema Cybersecurity im Bewusstsein der IT-Abteilung angekommen ist. Dahinter steht immer die Frage des Businesses: Lohnt sich die Investition in Sicherheit? Welche Budgets soll man zur Verfügung stellen? Finden wir den ROI? Dementsprechend ist es meine Aufgabe, die Brücke zwischen beiden Bereichen zu schlagen und zu versuchen, die manchmal komplexe Technik in einen Business Use Case zu verwandeln.
Wo stehen Unternehmen heute in Sachen Sicherheit? Wie sieht das aktuelle Bedrohungsbild aus?
Besonders Corona hat den Ausschlag dafür gegeben, dass sehr überhastet auf die neuen Anforderungen reagiert werden musste. Es wurden sehr schnell Patchwork-Lösungen eingesetzt, VPNs eingerichtet, Hardware gekauft, Software heruntergeladen, die gar nicht richtig lizensiert war bzw. nicht entsprechend gecheckt wurde. Heute müssen wir mit den Folgen leben. Das heißt: Nicht wenige Unternehmen stehen vor der Frage: Welche Cloud-Lösungen sind überhaupt im Einsatz? Haben wir eine Shadow-IT? Diese ist entstanden, weil die gekauften Lösungen nicht das erfüllt haben, was die Mitarbeiter und Mitarbeiterinnen gebraucht haben. War ein VPN überlastet, wurde er ausgemacht, um frei im Netz surfen zu können.
Das ist eine Thematik, die nicht auf die Schnelle mal eben gelöst werden kann. Unternehmen müssen sich überlegen: Was ist bei uns im Einsatz? Welche Rollenverteilung haben wir innerhalb des Unternehmens und wie kann man ein Regelwerk schaffen, um auf die neuen Bedrohungen optimal reagieren zu können? Zu allererst muss man identifizieren, wie die eigene IT-Infrastruktur aufgebaut ist, um danach Verbesserungen anzusetzen.
Oft wird Komplexität als Bremser in der Entwicklung und Anwendung von Security genannt. Ist dafür die Industrie verantwortlich oder ist sie einfach historisch gewachsen?
Ich glaube, es gibt kaum Unternehmen, die nicht über ihre komplexe Infrastruktur klagen würden. Wir haben früher generell in Silos gedacht, etwa in Form von getrennten Netzwerk- und Sicherheitsabteilung. In der heutigen Zeit geht es darum, all das zusammenzubringen, um einen Überblick über die Infrastruktur und über die potenziellen Angriffsvektoren zu gewinnen. Von der Firewall bis zum Thema Zugriffsrechte – man braucht die Gesamtsicht. Viele Unternehmen schrecken davor zurück, weil sie einen gewaltigen Aufwand fürchten. Man muss das Rad jedoch nicht neu erfinden. Man kann einfach beginnen, zu konsolidieren, anstatt aus Angst, etwas Falsches zu machen, bei dem chaotischen Status quo zu bleiben. Das lähmt sehr oft. Die Bedrohungen nehmen jedenfalls drastisch zu.
Was verbirgt sich hinter der Bezeichnung SASE? „Secure Access Service Edge“ ist nicht unbedingt selbsterklärend. Kann man das Konzept in ein paar Sätzen erklären?
Wir haben stets sehr viel Zeit damit verbracht, einen Kompromiss zwischen Geschwindigkeit, Usability und Sicherheit zu finden. Bis jetzt war dies immer eine Jonglage. SASE ist ein Konzept, das aus einzelnen Produkten besteht, um die zwei Thematiken Konnektivität und Sicherheit zu vereinen – und das abgestimmt auf die Modernität der heutigen Arbeitswelt. Mir ist bewusst, dass die Diskussion über SASE sehr schnell technisch werden kann, die bei einigen Personen Fragezeichen produziert. Wenn man aber weiß, dass es sich um ein Konzept handelt, das hilft, auf aktuelle Bedrohungen, aber auch Trends wie Bring-your-own-Device oder Remote Work als Antwort auf die moderne Arbeitskultur zu reagieren, dann wird die Sache klarer.
Am Ende geht es darum, dass der CISO oder der Sicherheitsverantwortliche einen ganzheitlichen Blick darüber bekommt, was in Sachen Sicherheit im Unternehmen passiert. Wo gibt es potenzielle Angriffe? Wo sind die Risiken? Wenn das Gesamtsystem nicht konsolidiert ist, wenn wie früher eine Best-of-Breed-Kultur vorherrscht und man mit 20 Dashboards umgehen muss, fällt es sehr schwer, das Gesamtbild zu erkennen. Man sieht immer nur kleine Ausschnitte. Der heutige Angreifer bewegt sich sehr stark lateral, er kommt irgendwo durch eine Nische und bewegt sich sehr vorsichtig. Es ist wesentlich komplexer geworden. Es hilft einem Verantwortlichen, wenn man konsolidiert: Man gewinnt einen holistischen Überblick über die Themen Sicherheit und Konnektivität des Unternehmens und beides miteinander vereint. Wie viele Philshing-E-Mails habe ich bekommen? Wie viele Angriffe sind über die Firewall gekommen? Man kann auch erkennen, wenn ein Mitarbeitender mit seinem Arbeitshandy in einem ungesicherten WLAN unterwegs ist. Auch auf diese Szenarien braucht man heute Antworten. Die Antwort ist dann schwer zu finden, wenn man viele kleine Puzzlesteine hat. Daher ist der Plattform-Ansatz von SASE wesentlich besser als jener von Best-of-Breed.
Wandert die Sicherheit bei SASE nun an den Rand oder ins Zentrum?
Das Management sollte zentral sein, damit eine Person oder ein kleines Team – also mit wenig Manpower und mit wenig operativem Aufwand – genau sehen können, was sicherheitstechnisch passiert. Dieser Aspekt muss zentral und sollte nicht auf 50 verschiedene Systeme aufgeteilt sein. Gleichzeitig sollte am Edge, an den Kontenpunkten, eine gewisse Geschwindigkeit gegeben sein, was zur Usability führt: Wenn das Gesamtsystem zu langsam ist, lehne ich es als User ab. Wir als Hersteller müssen sicherstellen, dass viel auf dem Edge erledigt wird. Wenn ich zum Beispiel auf einer Website klicke, wo ich nicht sollte, ist es vorteilhaft, wenn die Security direkt auf dem Edge stattfindet. Das garantiert die Verbindung von Geschwindigkeit und Sicherheit. Die Informationen darüber sollten jedoch zentral ankommen, um das System managen zu können.
Gibt es den typischen SASE-Kunden?
Es ist keine Frage der Größe oder der Industrie. Vertreter bestimmter Branchen waren früher der Meinung, dass Angriffe in ihrem Sektor nicht so häufig seien. Im Healthcare war das lange tatsächlich so, es gab eine Art Ehrenkodex auf der Seite der Blackhats. Das hat sich geändert. Die entscheidende Frage ist die nach dem ROI: Was passiert, wenn wir gebreacht werden würden? Welche Zahl müssen wir dahintersetzen? Auch für kleine Unternehmen, die den Aspekt der Sicherheit nach außen tragen, etwa ein kleiner Provider oder App-Hersteller, ist es wesentlich, das Thema frühzeitig zu überdenken. Ebenso kann eine Bäckerei Kundendaten verlieren. Die Forschungs- und Entwicklungsabteilung eines Maschinenbauunternehmens hat sensible Daten, die nicht nach außen gelangen dürfen. Welche Auswirkungen hätte ein Data Loss auf den Ruf oder die Umsätze? Wenn man sich diese Frage stellt, dann ist der nächste Schritt, in Cybersecurity wie SASE zu investieren, ein kleiner.
Welche Rolle spielt SASE beim Thema Compliance?
Das Thema Compliance wird immer wichtiger. Wenn NIS2 im Oktober an den Start geht, muss ich vorbereitet sein. Nicht wenige Unternehmen stellen sich die Frage, wie sie all die unterschiedlichen Compliance-Thematiken einhalten können. Auch hier hilft die SASE-Architektur, indem man die Compliance in Reglements gießt, die intern etwa dafür sorgen, dass nur berechtigte Mitarbeitende Zugriff auf sensible Daten haben. Der SASE-Ansatz hilft tatsächlich, die Compliance umzusetzen und ihr treu zu bleiben. Die Mehrzahl der Endnutzer, die ihre Jobs erledigen müssen, hat sicherlich nicht die Muse, sich Compliance-Regeln durchzulesen. Mit Hilfe von SASE kann man vorgeben, auf welche Daten sie zugreifen dürfen oder welche Websiten gefährlich sind.
Wie sieht eine SASE-Reise aus?
Ich würde sehr früh beginnen, mich mit dem Thema auseinanderzusetzen und mich vielleicht selbst informieren. Ich würde auch empfehlen, früh in den Dialog einzusteigen. Es ist wichtig frühzeitig zu wissen, wohin man herauskommen möchte. Gleichzeitig darf man sich nicht davon lähmen lassen, wenn man anfangs vor einem Berg steht. Wenn ich nur zu Hause bleibe, um die Wanderung zu planen, komme ich keinen Meter weiter. Daher ist es wichtig, den ersten Schritt zu machen. Ein Tagesworkshop kann helfen, zu sehen, wo das Unternehmen gerade steht. Ich glaube, ich spreche für jeden Lösungsanbieter: Es geht nicht darum, möglichst viele Produkte zum Einsatz zu bringen. Es geht eher darum, mit dem potenziell geringsten Aufwand zum richtigen Zeitpunkt – etwa wenn Linzenzen bestehender Produkte ablaufen –, den größten Mehrwert zu erzielen. Man sollte bald den ersten Schritte gehen, um den Kunden möglichst früh Resultate bieten zu können.
Security-Applikationen gehören nicht unbedingt zu den Lieblingsanwendungen im Büro. Wie wird SASE angenommen? Verbessert sich dadurch das Image von Security generell?
Ich glaube, dass viele Unternehmen schon die ersten Schritte gegangen sind. Sie sehen die Vorteile ganz klar. Wir reden davon, dass die IT-Abteilung, die sich um sehr viele Themen kümmern muss, chronisch unterbesetzt ist. Wie bei einem sinkenden Schiff schöpfen das Team ständig Wasser aus dem Rumpf. Wenn man das Security-Thema konsolidiert, einfacher und übersichtlicher macht, dann fangen Unternehmen an, die Löcher zu stopfen. Dem CISO oder Sicherheitsverantwortlichen, der sich bis dato um 50 und mehr Systeme kümmern musste, wird nach der Konsolidierung klar: Man spart Zeit, man spart Ressourcen, man spart auch Geld. Konsolidiert man und ersetzt die zahllosen Lösungen durch eine Plattform, dann lassen sich 30 bis 40 Prozent der IT-Kosten sparen – ohne die operative Zeit hineingerechnet zu haben, die man sich erspart.
Wie geht es mit SASE weiter? Welche Rolle spielt KI?
Dass KI die Bedrohungslage tatsächlich verschärfen kann, sind sich alle einig. Die Angriffe werden besser. Es ist nicht mehr die technisch affine Person im Keller mit dem großen technischen Wissen, das sich Hacking-Tools selbst schreibt, sondern es wird mittlerweile zu einem Business. Beispiel: Ransomware-as-a-Service. Man kann mit wenig Einsatz viel Geld generieren.
Deshalb ist es wichtig, dass Unternehmen besser identifizieren, was im Unternehmensnetzwerk überhaupt vor sich geht. Sie müssen den Traffic, die E-Mails usw. verstehen und dadurch erkennen, auch mit Unterstützung durch KI, wo die Angriffswege sind – und das ganze idealerweise predictive.
Der ITWelt.at-Roundtable SASE kann hier nachgehört werden:
Be the first to comment