Cyberresilienz: Der neue Maßstab für IT-Sicherheit in Unternehmen – »Ich bin schon gehackt«

Der Albtraum von gestern ist die Realität von heute. Ziel der Sicherheit ist nicht mehr Schadensvermeidung, sondern Schadensbegrenzung. Paul Bauer, Regional Sales Director, erklärt, warum die US-amerikanische Softwarefirma Illumio auf Lösungen zur Zero-Trust-Segmentierung setzt.


Müssen wir uns im Cloud-Zeitalter auf neue Sicherheitskonzepte einstellen?

Aus dem Firewall-Management-Umfeld kommend, bin ich selbst überrascht und begeistert, was wir als Anbieter von Zero-Trust- Segmentierung leisten können. Illumio ist eine extrem innovative Firma mit einem fantastischen Ansatz. Doch das Problem ist tatsächlich das Umdenken: weg von der netzwerkbasierten Sicht der Firewall hin zur visuellen Karte und zum Segmentieren außerhalb des Netzwerks.

 

Paul Bauer,
Regional Sales Director
bei Illumio


Warum müssen wir umdenken?

Wir haben eine unglaublich vernetzte Welt, alles kommuniziert mit allem. Dadurch sind auch die Angriffsflächen wahnsinnig groß geworden. Wie kann ich sicher sein, dass da nichts Unerwünschtes auf meinen Datenbank-Rechner durchschießt? Dort sitzen ja die Kronjuwelen meines Unternehmens. Deswegen muss ich umdenken. Die Firewalls sind ein Konstrukt der letzten 30 Jahre. Es hat auch funktioniert. Aber die Firewall wurde für den Ansatz geschaffen: Ich halte alles aus meinem Rechenzentrum raus, was da nicht reingehört.


Und dieser Ansatz ist passé?

Wir wissen inzwischen alle, wie schnell man etwas klickt, das man nicht hätte klicken sollen. Das ist die große Herausforderung. Ich weiß gar nicht, was ich gerade an mein Rechenzentrum anbinde. Ich verlasse mich auf meine Policies. Man kann zwar mit Identity Management viel Sicherheit hineinbringen. Das ist absolut Pflicht, aber reicht nicht aus. Der Erfolg von Ransomware ist ja der, dass es jemand geschafft hat, irgendwo eine Identität anzunehmen, mit der er auf andere Geräte gekommen ist, sich weitere Berechtigungen genommen hat und so das gesamte Rechenzentrum erstürmen und fröhlich verschlüsseln kann.

Wenn ich Segmente schaffe, kann es zwar passieren, dass etwas gekapert wird, aber man kommt nicht mehr durch das gesamte Rechenzentrum. Nur dieses eine Segment mit ein oder zwei Workloads kann dann infiltriert und infiziert werden. Je kleiner ich diese Segmente schalte, desto geringer ist die Chance, auf andere Server zu kommen und sich die Information zu holen, wie man aus dem Segment herauskommt. Damit bin ich eigentlich good to go. Segmentieren ist die einzige Strategie, mit der ich diesen lateralen Bewegungen Einhalt gebieten kann.


Sie sprachen von visuellen Karten. Was macht Illumio sichtbar?

Die Software macht das Sicherheitsrisiko sichtbar, indem sie die einzelnen Flows, die in den Rechenzentren stattfinden, auf einer Live-Landkarte abbildet. Im Prinzip zeigt Illumio die gesamte Kommunikation: durch die Cloud, zwischen Containern, zwischen den unterschiedlichen Infrastrukturen, das heißt auch mit den Partnerwelten. Ich sehe, welche Rechner in welchem Rechenzentrum stehen, in welchen Lokationen, mit welchen Applikationen sie betraut sind und wie sie kommunizieren. Das ist schon mehr als ich aus dem Netzwerkbereich ad hoc bekomme. Diese visuellen Karten ermöglichen eine Segmentierung, die erheblich leichter ist als all das, was wir bislang in diesem Bereich kennen.

 

Diese visuelle Karte zeigt, dass der Datenverkehr über alle Workloads hinweg sichtbar ist, und zwar in einer einzigen Konsole.

 


Wie sieht es mit der Segmentierung beim deutschen Mittelstand und bei unseren großen Unternehmen aus?

Fantastisch, für uns. Wir haben ein Grundschutzbuch, das relativ vage gehalten ist. Es ist nicht ausreichend formuliert. Dementsprechend hat es gereicht, wenn man ein wenig segmentiert hat. Aber dann enthält ein Segment 10, 20 oder 100 Workloads. Darin finde ich viele Informationen. Dieses Thema betrifft nicht nur den Mittelstand, sondern auch große Konzerne. Je größer das Unternehmen, desto problematischer wird es, die Segmente klein zu bekommen. Wenn ich 10.000 Server habe, dann bin ich schon gut segmentiert, wenn ich 100 Segmente habe. Das ist eine Menge. Aber dann sind immer noch 100 Server in einem Segment.

Und da bietet Illumio Sichtbarkeit. Ich kann genau nachvollziehen, welche Kommunikation von der Applikation betrieben wird und welchen irritierenden Querverkehr es gibt und kann dementsprechend Policies schreiben. In der Vergangenheit wollte man den Schadcode draußen halten. Später hat man gesagt, man will den Schadcode so schnell wie möglich finden und so schnell wie möglich reagieren. Mittlerweile akzeptieren wir es, dass wir ihn nicht schnell genug finden, um Schaden zu vermeiden. Man muss davon ausgehen: Ja, ich bin schon gehackt, was ist der Impact? Es gibt dazu ein neues Schlagwort: Cyberresilienz. Wie empfindlich reagiert meine Infrastruktur mit dem aktuellen Setup auf den Schadcode? Dieser Gedanke ist das Grundelement von Zero Trust: Wie gut bin ich aufgestellt, wenn sich der Schadcode, den ich vor einem halben Jahr unbemerkt geschluckt habe, jetzt endgültig entfaltet?


Wie verbreitet ist dieser Gedanke schon im Mittelstand?

Er ist noch sehr traditionell aufgestellt. Er hat sicherlich tolle Firewalls und vor einiger Zeit einige VLANs gesponnen. Wie aktuell diese sind, wissen wir nicht. Ab einem gewissen Punkt werden VLANs extrem schmerzhaft. Wenn ich viele Firewalls und VLANs in Abhängigkeit zueinander gesponnen habe und dann mein Firewall-Spezialist wechselt, hole ich mir einen neuen, der auch sehr kompetent ist, aber der weiß gar nicht, was er da geerbt hat. Es kostet wahnsinnig viel Zeit, das zu durchblicken. Hier macht der Ansatz von Zero Trust Sinn. Neben Identity Management ist Segmentierung das A und O. Auf die klassische Art endet das in einer unglaublichen Arbeitslast. Das vermeidet Illumio.


Das leuchtet ein und klingt nach schlanken Policies?

Genau. Illumio lässt das Netzwerk komplett aus. Wir schreiben Regelwerk auf dem Host und nicht auf dem Netzwerkgerät. So entlasten wir die Firewalls für das Unternehmen. Das heißt, die kümmern sich um Packet Inspection, Routing und Filtering. Das können Firewalls extrem gut, dafür wurden sie geschaffen. Aber die Policy – wer mit wem kommuniziert, worauf er Zugriff hat, und so weiter – kann ich im Netzwerk niemals so filigran schreiben. Mit Illumio kann ich sie auf Port- beziehungsweise Prozessebene so fein formulieren, dass sie dem Zero-Trust-Prinzip entsprechen. Wir managen die Policies zentral. Das heißt, wir sind auf allen Workloads des Unternehmens und erfahren darüber das Kommunikationsverhalten, die Metadaten und können eine Policy für das Unternehmen schreiben, die wir automatisiert ausbringen. Und damit ist die Kiste dicht.


Wie kann man einem Geschäftsführer aus einem mittelständischen Unternehmen erklären, was er da investieren muss?

Ich halte es mal allgemein. Wir sind weggegangen vom Blech und der Physik. Warum? Weil es erheblich günstiger ist. Dinge in Software zu machen, ist günstiger als in Hardware. Jeder weiß, wie teuer Firewalls sind, sie müssen regelmäßig upgedatet und gewartet werden. Das Gleiche gilt für die Manpower. Mit Illumio sehe ich genau, was ich manage. Das sehe ich bei der Firewall nicht. Dort habe ich im Laufe der Zeit mehrere Firewalls von unterschiedlichen Anbietern. Das heißt, dass ich gar kein einziges Tool mehr habe, um alle Firewalls zu managen. Das macht den Betrieb schon wieder teurer.


Wie viel Überzeugungsarbeit muss man heute leisten? Ist es immer noch so schwierig?

Das eigentliche Problem ist das Umdenken, nicht der Preis. Wir sind effizienter. Aber man muss sich trauen, diesen Schritt zu gehen. Das Thema Ransomware ist durch das Homeoffice hier in Deutschland richtig durchgeschlagen. Jetzt gibt es Zero-Trust-Ansätze in vielen Firmen. Sie beschäftigen sich häufig mit Identity Management, aber das Thema Segmentieren wird immer noch klassisch gedacht. Es ist schon einmal super, dass über Zero Trust und Identity Management gesprochen wird. Aber wenn ich über meine Firewalls segmentiere, verliere ich ganz schnell meine Agilität, weil das sehr komplex ist. Warum also nicht diesen neuen Ansatz nehmen? Das ist in Vertriebsgesprächen eher das Thema. Illumio ist preislich interessanter. Aber ist es interessant genug, um die Leute für einen komplett neuen Ansatz zu gewinnen?

 


Illustration: © MaryValery/shutterstock.com