Die richtige Balance zwischen Schnelligkeit und Sicherheit

Unternehmen müssen heute ständig innovativ sein, um erfolgreich zu bleiben. Doch eine schnelle Modernisierung der IT-Architektur und die Bereitstellung neuer Anwendungen führt zu Sicherheitslücken. Mit den richtigen Lösungen und Ansätzen können Security-Verantwortliche diese Risiken bewältigen.
Von   Roman Borovits   |  Senior Systems Engineer   |  F5
3. Dezember 2022

Die Suche nach der richtigen Balance zwischen Schnelligkeit und Sicherheit ist derzeit eine große Herausforderung: In einer aktuellen Studie sagen 76 Prozent der Befragten, dass sie Sicherheitsmaßnahmen für Leistungssteigerungen abschalten würden. Viele wären sogar für relativ kleine Verbesserungen dazu bereit.

Solche Kompromisse erhöhen jedoch die Gefahr für Unternehmen. Denn bei Sicherheitslösungen ist „gut genug“ nicht immer gleich „ausreichend“. Geht doch etwas schief, können scheinbar kleine Schwachstellen große Auswirkungen auf das Vertrauen der Kunden und den Ruf des Unternehmens haben.

Einfache und effektive IT-Security überall

Aufgrund der digitalen Transformation besteht in allen Branchen die Herausforderung, hocheffektive und gleichzeitig einfach zu bedienende Sicherheitslösungen zu implementieren. Durch moderne Anwendungsarchitekturen mit einem stärker verteilten Modell in Verbindung mit der zunehmenden Verbreitung von SaaS-Lösungen und Edge-Implementierungen muss Sicherheit allgegenwärtig sein.

Hinzu kommt der steigende Wettbewerbsdruck, immer schneller auf neue Entwicklungen zu reagieren, sowie der Anstieg von Hybrid Work und die größere Nachfrage nach Online-Diensten. Somit ist klar, dass sich die Rolle der IT-Security im Unternehmen grundlegend verändert hat.

Heutzutage muss sie mehrere Rollen erfüllen: die digitale Transformation unterstützen, das Vertrauen der Kunden sichern und den Ruf des Unternehmens schützen. Und es liegt in ihrer Verantwortung, dass jeder Mitarbeitende die zentrale Rolle der Sicherheit für den Geschäftserfolg versteht. Die Wahrnehmung der Sicherheit von einer Funktion zu einer Denkweise zu ändern, ist ein kultureller Wandel, der Zeit und Mühe erfordert.

Einheitliche, umfassende Lösungen

Diese Transformation lässt sich beschleunigen, indem die Bereitstellung von Sicherheitslösungen unabhängig von Umgebung, Anwendungsarchitektur oder Personalressourcen erleichtert wird. Zum Beispiel sollten Sicherheitsrichtlinien für herkömmliche und moderne Anwendungen in lokalen, Public-Cloud- und Edge-Umgebungen einheitlich sein. Diese Konsistenz verkürzt auch die Zeit zur Behebung von Problemen. Der stärkere und einheitliche Schutz vom Rechenzentrum bis zum User gewährleistet jederzeit eine reibungslose und sichere digitale Customer Experience.

Für diesen Wandel ist weder ein großes Sicherheitsteam nötig noch eine ausgesprochene Start-up-Mentalität. Zum Beispiel nutzt eine schottische Behörde einen Managed Service, der eine mehrschichtige Sicherheit in verschiedenen Umgebungen ermöglicht. Das IT-Team verwaltet webbasierte Anwendungen, mit denen Landwirte finanzielle Unterstützung beantragen. Dabei sind zuverlässiges Identitätsmanagement, sicherer Zugang und Schutz vor Angriffen von größter Bedeutung.

„Es ist gut, eine Web Application Firewall zu haben, aber wird sie kontinuierlich überwacht, wie viele Ressourcen sind nötig und wie viel kostet das?“, fragte sich Neill Smith, Head of IT Infrastructure bei der Behörde. „Die neue Lösung gab uns die Möglichkeit, den Anwendungsschutz mit Cybersecurity-Experten auf Abruf zu verwalten und zu überwachen. Nun können wir unsere WAF-Regeln so anwenden, dass wir 24x7x365 geschützt sind.“

Die Entwickler abholen, wo sie sind

Sicherheit darf auch nicht mehr länger ein lästiges Anhängsel im Entwicklungsprozess sein. So wie DevOps-Teams zusammenarbeiten, um die Entwicklung und Bereitstellung von Anwendungen zu beschleunigen, können SecOps-Prozesse dabei helfen, die Sicherheit von Anfang an zu berücksichtigen. Gemeinsam mit den Entwicklern definiert und erstellt das Security-Team dazu deklarative Richtlinien. Geeignete Sicherheitsabläufe werden in die CI/CD-Toolchains integriert. Zudem können alle Beteiligten Telemetrie nutzen, um die Anwendung zu optimieren und zu schützen.

Wie Security-Teams reibungslos mit Entwicklungsteams zusammenarbeiten können, zeigt etwa ein Hersteller von Computerspielen. Hier waren RFCs (Request for Change) ein wichtiger Faktor bei der Veränderung und Steuerung der Sicherheitsziele. Dadurch konnte sich SecOps mit anderen Teams bottom-up abstimmen, Feedback einholen und sicherstellen, dass die Lösungen bei der Entwicklungsabteilung Anklang finden. Somit wurde Sicherheit ein integraler Bestandteil der Kultur und der Teams.

Auch andere Unternehmen geben App-Entwicklern benutzerfreundliche Dashboards, Leitlinien und Tools an die Hand. Dies vermeidet den Wunsch nach Umgehung von Sicherheitsprozessen und hilft gleichzeitig Entwicklern, ihre Probleme zu lösen und das Unternehmen voranzubringen.

Dieses Prinzip nutzt etwa ein Automobilhersteller in modernen, auf Microservices basierenden Umgebungen, um Innovationen voranzutreiben und gleichzeitig Sicherheit in die Plattform zu integrieren. Das Unternehmen kann Sicherheitsrichtlinien einmal erstellen und überall durchsetzen. So arbeiten DevOps und SecOps effektiv und harmonisch zusammen. In Kombination mit einem Ingress Controller schützt die Lösung nahtlos Container-basierte Apps, ohne die Geschwindigkeit oder Agilität zu beeinträchtigen.

Darauf ist zu achten

Bei der Auswahl von geeigneten Sicherheitslösungen und Anbietern sollten Unternehmen auf folgende Punkte achten:

  • Ist der Anbieter ein Vordenker auf dem Gebiet der Sicherheit? Er sollte seinen Kunden nicht nur reaktiv bei der Lösung ihrer Probleme helfen, sondern auch aktiv vorausschauen, was als Nächstes kommt.
  • Ist das Produkt oder die Plattform API-first? Das erleichtert die Orchestrierung des Managements sowie die Durchsetzung und Verbesserung der Sicherheit für die explodierende Anzahl von APIs zur Bereitstellung von Kunden-Services. So wird es nach Schätzungen im Jahr 2030 weltweit zwei Milliarden aktive APIs
  • 87 Prozent der Unternehmen betreiben sowohl herkömmliche als auch moderne Anwendungen und 77 Prozent nutzen Anwendungen in mehreren Clouds. Daher müssen Lösungen über verschiedene Architekturen hinweg funktionieren – unabhängig davon, wo die Anwendungen eingesetzt werden.
  • Die Integration mit wichtigen Toolchains und Datenanalyse-Plattformen ist heute von grundlegender Bedeutung. Denn 98 Prozent der Unternehmen verfügen nicht über die nötigen Einblicke, um ihre Geschäftsziele zu erreichen und das Kundenerlebnis zu verbessern.
  • Automatisierung, maschinelles Lernen und KI ermöglichen eine schnellere, effektivere und proaktive Sicherheit. Dann sind auch wenig Ressourcen notwendig.
  • Die Lösung sollte die Sicherheit von Anwendungen und APIs an jedem Punkt der Prozesskette zur Bewertung und Abwehr von Bedrohungen erhöhen.

Die wichtigsten Maßnahmen

Das Thema Sicherheit wird auch in Zukunft eine immer wichtigere Rolle in Unternehmen spielen. Daher sollten sie Best Practices in Bereichen wie IT-Modernisierung, Cloud-Migration, Anwendungs- und Netzwerksicherheit sowie Zero-Trust-Zugang umsetzen. Dadurch wird das mit schnellen Innovationen verbundene Risiko vermindert. So kann das Unternehmen seine digitale Transformation vorantreiben, ohne das Vertrauen der Kunden zu verlieren.

Security-Verantwortliche sollten jetzt damit beginnen, den Teams im Unternehmen dabei zu helfen, eine sicherheitsorientierte Denkweise zu entwickeln. Dies erfordert die Zusammenarbeit mit anderen Abteilungen, einschließlich der Produktentwicklung und Kundenbetreuung, um ihre Bedürfnisse zu berücksichtigen. Die Durchsetzung der Sicherheitsrichtlinien erleichtern einfach zu implementierende und zu betreibende Plattformlösungen, die wenig manuelle Eingriffe erfordern, sich in Partnersysteme integrieren und an neue Bedrohungen anpassen lassen.

Um ein digitales Unternehmen erfolgreich abzusichern, ist ein breites Spektrum an Risiken zu bewältigen, ohne dabei andere Ziele zu vernachlässigen. Das erfordert die richtige Balance aus akzeptabler Performance, Customer Experience und Kosten auf der einen Seite sowie akzeptablem Schutz und Compliance auf der anderen. Unternehmen sollten einfach zugängliche Sicherheitslösungen bereitstellen, Entwicklern benutzerfreundliche Tools an die Hand geben und von ihren Anbietern Zusatzservices verlangen. So können sie sicher bleiben und gleichzeitig neuartige Kundenerlebnisse schaffen, die das Wachstum fördern.

Roman Borovits ist Senior Systems Engineer für F5 in der DACH Region und blickt auf fast 20 Jahre Berufserfahrung im Bereich Netzwerk & Security zurück. Seine Themenschwerpunkte bei F5 liegen im Bereich Cloud & Automatisierung. Die Integration von Security Services für Webanwendungen und APIs, vor allem wenn diese über automatisierte Prozesse entstehen, sieht er als eine der großen Herausforderungen der gegenwärtigen IT, die sich mit immer kürzeren Release Zyklen konfrontiert sieht.

Um einen Kommentar zu hinterlassen müssen sie Autor sein, oder mit Ihrem LinkedIn Account eingeloggt sein.

32720

share

Artikel teilen

Top Artikel

Ähnliche Artikel