ITWelt.at-Roundtable zum Thema Sicherheit: SASE – „Secure Access Service Edge“ – als intelligente Antwort auf aktuelle Bedrohungen und den Wunsch nach besserer Usability. Hier die gesammelten Statements von Stefan Schachinger, Product Manager Network Security bei Barracuda. [...]
Welchen Aufgabenbereich verantworten Sie bei Barracuda?
Ich bin seit elf Jahren bei Barracuda und derzeit in der Funktion des Product Managers Network Security. Ich kümmere mich vor allem um die Go-to-Market-Aktivitäten für SASE.
Wo stehen Unternehmen heute in Sachen Sicherheit? Wie sieht das aktuelle Bedrohungsbild aus?
Die Bedrohungslandschaft verändert sich ständig. Wir befinden uns in einem laufenden Wandel, der nicht erst vor vier Jahren mit der Pandemie begonnen hat, sondern schon mit Einführung des Internets. Es gibt laufend große Veränderungen. Wir sind zum Beispiel von lokalen Infrastrukturen in Richtung Public Cloud gegangen und konsumieren sehr viele Services. Das heißt, die Art, wie wir konsumieren, hat sich stark verändert. Früher gab es für jede Applikation quasi ein eigenes Protokoll, heute ist alles mehr oder weniger Web-Traffic. Wir nutzen cyber-physikalische Systeme, die mitreden, IoT-Devices, die eingebunden werden. Wir sind mit einer Situation konfrontiert, wo Mitarbeiterinnen und Mitarbeiter zu Hause oder von unterwegs aus arbeiten, die auf Inhalte zugreifen, die nicht in der Firma beheimatet sind, sondern in der Public Cloud oder anderswo. All das führt dazu, dass wir uns in komplett verteilten Umgebungen wiederfinden, wo zentralisierte Sicherheitsansätze nicht mehr greifen und daher neu gedacht werden müssen. Der Wandel wird weitergehen. Ich denke, dass wir momentan wieder an einem Wendepunkt stehen: KI hält Einzug. Zum Glück gibt es neue Konzepte wie SASE, um die geänderten Herausforderungen zu adressieren.
Oft wird Komplexität als Bremser in der Entwicklung und Anwendung von Security genannt. Ist dafür die Industrie verantwortlich oder ist sie einfach historisch gewachsen?
Es gibt in Österreich seit fast 30 Jahren Internet und etwa gleich lang Cybersecurity-Probleme, die mit einer Vielzahl an Produkten gelöst werden. Diese werden in vielen Fällen schon sehr lange weiterentwickelt und sind im Laufe der Zeit groß und komplex geworden. Sie können sehr viel – zum Preis einer hohen Komplexität und mit gewissen Hürden bei der Einführung. Kunden und Partner müssen sich intensiv mit den Lösungen beschäftigen, um sie bedienen zu können. Sie lösen mitunter Probleme, die es in dieser Form gar nicht mehr gibt.
Ich glaube, es ist an der Zeit, einen Schritt zurückzutreten und zu überlegen, ob all das, was traditionelle Lösungen heute bieten, überhaupt gebraucht wird. Benötige ich das Setting im 17. Submenü, um die Lösung feinzutunen? Ich brauche eher ein Produkt, das meinen Use Case abdeckt – und das ohne Komplexität. Dazu kommt das Problem, das nicht nur ein Produkt im Einsatz ist, das komplex ist, sondern mehrere – Studien zufolge durchschnittlich 50 und mehr. Da verliert der Kunde leicht den Überblick, besondern dann, wenn die Sicherheitsverantwortlichen in kleinen und mittelständischen Unternehmen auch andere Aufgaben zu erfüllen haben, etwa Mobilfunkverträge zu verwalten. Jetzt ist der Zeitpunkt gekommen, aus weniger mehr zu machen, Dinge zusammenzuführen, um das Ziel mit einem hohen Security-Anspruch und einer wesentlich niedrigeren Komplexitätshürde zu erreichen.
Was verbirgt sich hinter der Bezeichnung SASE? „Secure Access Service Edge“ ist nicht unbedingt selbsterklärend.
Man kann sich unter dem abstrakten Begriff tatsächlich wenig vorstellen. Es ist per Definition die Konsolidierung von Netzwerk und Security, das heißt die Zusammenführung beider Bereiche, was gerade in mittelständischen Unternehmen sehr viel Sinn macht. Bei Enterprise-Unternehmen hat man sehr oft zwei voneinander getrennte Netzwerk- und Security-Abteilungen und fährt entsprechend geteilte Lösungsansätze. Für mittelgroße Unternehmen, die in Österreich stark vertreten sind, macht es Sinn, beide Bereiche zusammenzuführen. Zusätzlich ist SASE eine Plattform, die einzelne Produkte in Features einer größeren Lösung verwandelt. Die Liste der verpflichtenden oder optionalen Bestandteile einer SASE-Lösung ist nach der Definition von Gartner lang: Firewalling, Web-Security, Zero Trust Network Access, sichere Remote-Zugriffe, der Connectivity-Aspekt und mehr. All diese Teile sind bis dato als einzelne Produkte verfügbar – bei Barracuda und auch bei anderen Anbietern. All das wächst nun zusammen, worin der Mehrwert liegt. Was früher ein Produkt war, ist jetzt ein Feature von einem Produkt, das mehr kann. Dadurch gewinnt man große Synergieeffekte etwa bei Security Policies, die über mehrere Komponenten hinweg Verwendung finden oder auch in punkto Informationen, die ich wiederum verwenden kann, um mehr Logik in das System zu bringen.
Welche Rolle spielt bei SASE der „Human Factor“?
Bei SASE geht es vorrangig darum, den User, die Applikation oder das Service in den Mittelpunkt zu stellen. Ziel ist es, ein einheitliches Sicherheitsniveau über alle Komponenten hinweg zu erreichen.
In der Vergangenheit war der Benutzer oder die Benutzerin im Büro besser geschützt als zu Hause. Das ist unbedingt zu vermeiden. Denn der Benutzer ist immer das leichteste Opfer. Er wird sehr gerne direkt attackiert etwa mit Social Engineering-Attacken oder mit Phishing. Sehr oft dient der Mitarbeitende als Einfallstor ins Unternehmen. Bei breitgestreuten Angriffen ist rein statistisch gesehen immer jemand dabei, der doch dort klickt, wo er nicht sollte und ein gefährliches Attachment öffnet. Es ist also immer der Enduser, der vor allem Schutz braucht, egal, wo er sich befindet und egal mit welchem Gerät er arbeitet.
Letztendlich ist es auch der Enduser, der entscheidet, ob Security angewendet wird oder nicht. Damit ist man beim Thema Schatten-Infrastruktur. Der Mitarbeitende hat einen Anwendungsfall, er möchte eine bestimmte Aufgabe erfüllen. Das Unternehmen muss ihm das auf sichere Art und Weise ermöglichen. Sonst wird er sich selbst eine Lösung suchen, was vermieden werden sollte.
Vor diesem Hintergrund ist Usability ein essentieller Teil des SASE-Konzepts. Für die User muss der Umgang mit Sicherheit einfach sein und es muss funktionieren. Anderenfalls wird er oder sie immer eine andere Lösung suchen.
Gibt es den typischen SASE-Kunden? In welcher Form können Unternehmen SASE erwerben?
SASE adressiert alles zwischen einer Bäckerei und einer Schweizer Bank. Ein Ende nach oben ist dort gesetzt, wo es große getrennte Netzwerk- und Security-Abteilungen gibt. Was Unternehmensgrößen betrifft, so sind nach unten kaum Grenzen gesetzt.
Ich verstehen SASE als Lösung, die man von einem Hersteller erwerben kann. Sie gibt es von verschiedenen Anbietern mit unterschiedlichen Ausprägungen und Stärken und Schwächen sowie unterschiedlicher Historie. Wenn man mehr als zwei Anbieter braucht, um das SASE-Konzept umzusetzen, sollte man die Strategie überdenken. SASE ist ein Baukasten mit verschiedenen Komponenten, die unterschiedliche Anwendungsfälle abdecken. Es kann sein, dass ein Kunde nicht alle Anwendungsfälle und daher nicht alle Komponenten braucht. Je mehr Komponenten jemand einsetzt, desto größer ist der Mehrwert.
SASE wird oft als Reise beschrieben. Wo steigt man ein, wo kommt man heraus?
Man sollte nicht nur wissen, wo man einsteigt, sondern, noch wichtiger, wo man hinwill. Die Reise beginnt natürlich mit der Auswahl eines geeigneten Partners für die Implementierung. Dann kommt die Wahl des geeigneten Produktes. Spätestens da sollte man wissen, was man erreichen möchte. Man muss die Anwendungsfälle spezifiziert haben, wobei es große Unterschiede geben kann, wenn es sich etwa um das Produktionsumfeld oder um ein Unternehmen handelt, das von NIS2 betroffen ist. Weitere Anwendungsbeispiele sind verteilte Umgebungen wie im Einzelhandel oder Firmen, wo die Mitarbeitenden viel unterwegs sind und im Homeoffice arbeiten. Man muss sich die Anforderungen sehr genau ansehen und was SASE abbilden soll. Daraus resultiert die Auswahl des richtigen Produktes. Man sollte aber auch einen genauen Implementierungsplan festlegen, weil es nicht gelingen wird, alles über Nacht umzusetzen. Man wird mit einem parallelen Betrieb beginnen und die größten Lücken als erstes schließen, um danach schrittweise vorzugehen. Meines Erachtens ist es sehr wichtig, dass der Kunde sehr schnell den ersten Nutzen aus der Lösung zieht und dann kontinuierlich den Ausbau vorantreibt, um weitere Anwendungsfälle abzudecken. Damit werden in der Regel traditionelle Lösungen mit der Zeit ersetzt.
Security-Applikationen gehören nicht unbedingt zu den Lieblingsanwendungen im Büro. Wie wird SASE angenommen?
Die Akzeptanz durch den Enduser ist kein Problem. Das war früher anders: Ständige Verbindungsabrisse, unterschiedliche Applikationen an unterschiedlichen Orten machten oft die Trennung und erneutes Einwählen notwendig. All das wird unter Zero Trust Network Access zusammengefasst und führt damit zu einer signifikanten Verbesserung der Benutzerfreundlichkeit. Geworben wird auch mit gesteigerter Sicherheit, wobei ich dazusagen muss, dass es bei Barracuda schon immer sicher war. Die Usability im Gesamtverbund der SASE-Lösung ist sicher ein wichtiger Aspekt.
Wie geht es mit SASE weiter? Welche Rolle spielt KI?
Was KI betrifft, so glaube ich, dass wir gerade an einem Wendepunkt stehen. Sie ist quasi aus dem Nichts aufgetaucht und hat erstaunlich gut funktioniert, nachdem man sehr lange nur darüber gesprochen hat. Jetzt geht es darum, dass die Cyberkriminellen sich der KI bedienen, um Angriffe vorzubereiten und umzusetzen. Es ist davon auszugehen, dass wir in Zukunft mit einer sehr viel höheren Schlagzahl zu rechnen haben. Das heißt: viel mehr Angriffe in gleicher Zeit, weil ein sehr hoher Automatisierungsgrad dahintersteckt. Wir wissen aus einer Studie, die wir gerade gemacht haben, dass die Angriffe viel versierter, gezielter, besser vorbereitet und auch schwerer zu finden sind. Das heißt, es kommt zu einem Wettrennen, welche Seite KI besser für sich nutzen kann. Für die Weiterentwicklung von SASE-Lösungen besteht damit ein sehr großes Potenzial. Die Reise wird definitiv dahin gehen, dass die Konsolidierung noch weiter ausgebaut und das Gesamtwissen, das komponentenübergreifend gesammelt wird, gezielter verwertet wird, um daraus Einzelmaßnahmen abzuleiten. Das ist einer der großen Vorteile einer einheitlichen Lösung wie SASE im Unterschied zu mehreren Silos, die nicht miteinander interagieren.
Hier geht’s zum ITWelt.at-Roundtable SASE:
Be the first to comment