»Eine IT-Security-Strategie für komplexe Landschaften zu entwickeln, sollte zu Jahresbeginn ganz oben auf der Agenda stehen.«

Illustration Absmeier foto freepik ki

Die meisten Cyberangriffen in der EU finden in Deutschland statt, und die Schwachstellen in den IT-Infrastrukturen nehmen täglich zu. Viele Unternehmen stehen daher vor der Frage, wie sie ihre IT-Sicherheit strategisch neu ausrichten können. Im Interview stellen Stefan Rothmeier und Sebastian Fuchs von T.CON das Konzept »Zero Trust« vor und beantworten, wie die Umsetzung gelingt.

Wie schätzen Sie die Lage der IT-Sicherheit aktuell ein?

Stefan Rothmeier: Der Lagebericht des Bundesamts für Sicherheit in der Informationstechnik liefert regelmäßig alarmierende Zahlen. Die Bedrohung ist zwar nicht neu, aber die Gefahr nimmt zu. Denn nach wie vor sind viele IT-Systeme nur unzureichend geschützt. Gleichzeitig gehen Kriminelle immer professioneller vor. Wir beobachten das auch in der Praxis, vor allem bei kleineren und mittleren Unternehmen. Daraus entstehen leichte Einfallstore für Phishing, Social Engineering, Schadcodes, Malware, Ransomware und DDoS-Attacken.

Sebastian Fuchs: Schwachstellen in Unternehmen sind oft Cloud-Lösungen. Sie galten lange als vertrauenswürdig, bieten bei falscher Sicherheitsarchitektur wie unsichere Netze, schwache Passwörter, unverschlüsselte Daten und lockere Freigaberechte jedoch zahlreiche Missbrauchsmöglichkeiten. Der Trend hin zu Remote Work führt außerdem dazu, dass der traditionelle Perimeterschutz durch Firewalls und VPN nicht mehr ausreicht.

Welche Rolle kommt den Mitarbeitenden zu?

Stefan Rothmeier ist Team Lead Business Applications bei T.CON Bild (c) T.CON

Stefan Rothmeier: Mitarbeitende sind eine der wichtigsten Verteidigungslinien unserer Sicherheitsarchitektur. Damit sie Sicherheitsvorfälle frühzeitig erkennen und richtig reagieren, brauchen sie klare Leitplanken und eine kontinuierliche Sensibilisierung. Die Informationssicherheit und Compliance stellen hierfür verbindliche Rahmenbedingungen für den sicheren Umgang mit Geräten, Identitäten, Anwendungen und Cloud-Diensten bereit – und unterstützen durch regelmäßige, praxisnahe Awareness-Maßnahmen. Dazu gehören die kritische Prüfung externer E-Mails, ein verantwortungsvoller Umgang mit Passwörtern und Identitäten, eine sichere Internet- und Cloud-Nutzung sowie der bewusste Umgang mit personenbezogenen und vertraulichen Daten.

Sebastian Fuchs: Ein weiterer Erfolgsfaktor ist die gelebte Sicherheitskultur. Diese entsteht durch Vorbildwirkung innerhalb der Teams sowie durch Security Champions, die als Multiplikatoren wirken und bei Fragen oder Unsicherheiten unterstützen. Mitarbeitende wiederum melden verdächtige Beobachtungen schnell und unkompliziert über etablierte Prozesse – beispielsweise über das Ticketsystem und, wenn es eilig ist, telefonisch. So ist sichergestellt, dass potenzielle Vorfälle früh adressiert werden und das Unternehmen resilient bleibt.

Inwiefern stoßen klassische Ansätze der IT-Sicherheit hier an Grenzen?

Sebastian Fuchs: Klassische Ansätze werden der aktuellen Bedrohungslage nicht mehr gerecht. Eine IT-Security-Strategie für komplexe Landschaften zu entwickeln, sollte zu Jahresbeginn daher ganz oben auf der Agenda stehen. Dabei sollten Unternehmen das Thema ganzheitlich betrachten, sprich die Faktoren Mensch, Prozesse, Applikationen und Daten einbeziehen. Das Fundament bilden Sicherheitskonzepte wie »Zero Trust«, ein Schutz auf allen Ebenen – von den Daten bis zur Identität.

Was zeichnet das Zero-Trust-Konzept aus?

Stefan Rothmeier: Mit Konzepten wie »Zero Trust« lassen sich IT-Systeme und hybride Landschaften gut absichern. Das Modell basiert auf dem Prinzip der minimalen Rechte aller Entitäten in der Gesamtinfrastruktur. Das bedeutet: Niemandem wird »blind« vertraut, sondern jeder Zugriff – ob aus dem internen Netzwerk oder von außen – in Echtzeit überprüft.

Sebastian Fuchs ist Business Lead Custom Development bei T.CON Bild (c) T.CON

Sebastian Fuchs: Wichtige Elemente in einer solchen Umgebung sind eine stabile Infrastruktur, vertrauenswürdige Geräte und verschlüsselte sensible Daten, Datenbanken und Datenübertragungen. Die Systeme sollten regelmäßig bewertet, aktualisiert, gesichert und die Wiederherstellung getestet werden, um Fehler zu beheben, Sicherheitslücken zu schließen und Leistung und Funktion zu verbessern. Beim Netzwerk empfiehlt es sich, dieses möglichst klein zu halten, kritische Systeme zu trennen und moderne Firewalls zu nutzen, um den Traffic zu überwachen und kontrollieren. Die Applikationen sollten an einem zentralen Identity Provider hängen, der die Benutzerbasis für die Anwendungen bereitstellt.

Ein wichtiges Stichwort in dem Zusammenhang ist »One Identity«.

Stefan Rothmeier: Ziel von »One Identity« ist, sich an jeder Applikation mit einer zentralen Identität anmelden zu können. Damit lassen sich technische Verfahren umsetzen, die die Anmeldung zum einen durch Single-Sign-On vereinfachen, zum anderen durch Multi-Faktor-Authentifizierung absichern. Administratoren erhalten Zugriff »just in time« für eine beschränkte Zeit und einen begrenzten Bereich. So wird sichergestellt, dass das richtige Gerät mit der richtigen Identität im richtigen Kontext auf eine Applikation zugreift. Im Ergebnis wird die IT nicht nur sicherer, sondern auch der Aufwand im Support und Betrieb massiv reduziert sowie die Verwaltung erleichtert.

Welche Empfehlungen haben Sie noch an Unternehmen?

Sebastian Fuchs: In vielen Unternehmen sind historisch und heterogen gewachsene Landschaften aus SAP-Systemen und Non-SAP-Systemen oder Applikationen wie Microsoft Office 365, Microsoft SharePoint und Microsoft Teams der Standard. Oft greifen diese Anwendungen auf unterschiedliche Benutzerdatenbanken und Anmeldemechanismen zu. Dies führt zu verschiedenen Anmeldemasken, unterschiedlichen Passwortrichtlinien, verteilten Rollenkonzepte und Silos im Benutzermanagement. Um eine sicherere Umgebung zu schaffen, sollte an diesen Stellen unbedingt aufgeräumt werden. Dies wirkt sich auch auf eine höhere Usability der Business-Anwendungen für jeden Benutzer, eine größere Compliance durch eine zentrale Authentifizierung und durchgängige Prozesse aus.

Wie lautet ihr Rat für die Umsetzung von Zero Trust konkret für SAP-Kunden?

Stefan Rothmeier: Ein wesentlicher Umsetzungsschritt von Zero Trust ist die Wahl der passenden Sicherheitsarchitektur mit einem integrierten Launchpad. Es fungiert als zentraler, übergreifender Einstiegspunkt für die Business-Anwendungen, unabhängig von einzelnen Systemen und Lösungen. Mit dem SAP Build Work Zone Service können Unternehmen per Low Code digitale Arbeitsumgebungen nach diesen Anforderungen erstellen. Das Tool bietet einen sicheren, zentralen sowie personalisierten und rollenbasierten Zugriff auf SAP- und externe Anwendungen, Prozesse und Daten. Inhalte und Funktionen sind auf die Anwenderrollen zugeschnitten, sprich Benutzer sehen nur das, was sie sehen dürfen.

Sebastian Fuchs: Über den SAP Work Zone Service können Inhalte aus unterschiedlichen, angebundenen Systemen nahtlos integriert werden. Das funktioniert sowohl für Cloud-Lösungen wie SAP SuccessFactors oder SAP Analytics Cloud, als auch per Cloud Connector für On Premises-Lösungen wie SAP S/4HANA, SAP BW, SAP HCM und SAP NetWeaver Portal. Oberflächen und Berechtigungskonzepte bereits etablierter Rollen können dabei per Content Federation einfach wiederverwendet werden. Die einmalige und einheitliche Authentifizierung inklusive Single-Sign-On, dem Austausch von Anmeldezertifikaten und ähnliches wird anschließend über den SAP Identity Authentication Service gesteuert.

Stefan Rothmeier: Wer die Identitäts- und Zugriffsverwaltung nicht auf der SAP BTP, sondern zentral beispielsweise mit Microsoft Azure steuern möchte, kann Microsoft Entra ID als Corporate Identity Provider im SAP Identity Authentication Services anbinden. Vorteil des Ganzen ist, dass Benutzer nur noch über eine übergreifende Identität zur Benutzeranmeldung verfügen, mit der sie sich in allen angebundenen Systemen anmelden können.

Wie oft sollte das IT-Sicherheitskonzept erneuert werden?

Sebastian Fuchs: In Hinblick auf die schnelllebige Cloud- und KI-Welt muss das Konzept fortlaufend aktualisiert werden. Dabei sind drei Schritte wesentlich: Eine Bestandsaufnahme mit Analyse und Konzeptionierung hinsichtlich Daten, Prozessen und Lösungen, die Wahl einer anpassungsfähigen und erweiterbaren Architektur und die Wahl der Services und Lizenzierungen, individuell abgestimmt auf das jeweilige Unternehmen.

Stefan Rothmeier: Unterstützung bieten Managed Services, die für die Cloud oder hybride Landschaften umfassende Sicherheitslösungen, Netzwerkschutz, Datenschutz und Berechtigungswesen beinhalten. Wer sich dafür entscheidet, sollte darauf achten, Support, Beratung und Service aus einer Hand von einem zertifizierten Partner aus der EU zu erhalten – so ist die IT optimal betreut und das interne IT-Team nachhaltig entlastet.

Das Fundament einer Sicherheitsstrategie bilden Sicherheitskonzepte wie »Zero Trust«, ein Schutz auf allen Ebenen – von den Daten bis zur Identität. Bild (c) T.CON

5789 Artikel zu „IT-Security Strategie“

News | Business | Trends Wirtschaft | Digitalisierung | Trends Security | IT-Security | Trends 2016 | Strategien

IT-Security-Strategie erzeugt intensivere Kundenbindung, Wettbewerbsvorteile, höhere Produktivität

4. November 2016

Neue Studie: Identity-Centric Security wird zum Schlüsselfaktor für digitale Transformation. Investitionen in IT-Security zahlen sich aus. Die Strategie ist da, aber sie scheint noch nicht über alle Kanäle zu reichen. 71 Prozent der 75 im Rahmen der Studie »The Security Imperative: Driving Business Growth in the App Economy« [1] befragten deutschen Unternehmen haben eine IT-Security-Strategie,…