Sicherheitskonzepte für Mobilität, soziale Netzwerke und die Cloud Unternehmen am Scheideweg: Cloud oder Sicherheit?

Autor / Redakteur: Charles Milton* / Elke Witmer-Goßner

Die Welt der Unternehmenssicherheit hat in verhältnismäßig kurzer Zeit einen kompletten Transformationsprozess durchlaufen. Ursache dafür sind tiefgreifende Veränderungen im Ablauf von Geschäftsprozessen. Neue Technologien und Trends haben die Definition dessen, wie und wo wir arbeiten und welche Hilfsmittel wir dabei benutzen, grundsätzlich verändert.

Firmen zum Thema

Das Everywhere Enterprise hat längst keine festen Grenzen mehr. Geschäftsprozesse werden praktisch überall abgewickelt, auf allen möglichen mobilen Endgeräten, über Social Networks und die Cloud.
Das Everywhere Enterprise hat längst keine festen Grenzen mehr. Geschäftsprozesse werden praktisch überall abgewickelt, auf allen möglichen mobilen Endgeräten, über Social Networks und die Cloud.
(Bild: Zscaler)

Von Unternehmen als „Everywhere Enterprise“ zu sprechen ist keine Zukunftsvision mehr, es ist Realität für tausende von Firmen weltweit. Dieser Entwicklung liegen drei Technologietrends zugrunde: Mobilität, Anwendungen aus der Cloud und soziale Medien. Es ist nicht überraschend, dass Cyberkriminelle diesen Technologietrends zuverlässig folgen und sie in ihrem Sinne (aus-)nutzen. Wir erfahren täglich aufs Neue von Attacken, Angriffen und Sicherheitslücken, die ganz gezielt Unternehmensbereiche ins Visier nehmen. Die Evolution der Sicherheitsbedrohungen hat sich von den Desktop-Viren, über browser-basierte Angriffe hin zu Phishing-Attacken und Bot-Netzen entwickelt. Die ubiquitäre Mobilität macht es noch einfacher Sicherheitsmaßnahmen zu umgehen, wenn Mitarbeiter beispielsweise über ungeschützte WLAN- und Mobilfunknetze auf das Unternehmensnetzwerk zugreifen. Die Unternehmenssicherheit der Post-PC-Ära muss also zwangsläufig anders aussehen als der traditionelle Schutzwall appliance-basierter Lösungen.

Blocken versus Erlauben

Sollen Maßnahmen tatsächlich greifen, funktioniert das nur, wenn ihnen ein ganzheitlicher und transparenter Ansatz zugrunde liegt, unabhängig davon wo sich ein Benutzer gerade befindet und unabhängig davon welches Endgerät er gerade benutzt. Das Everywhere Enterprise hat längst keine festen Grenzen mehr. Geschäftsprozesse werden praktisch überall abgewickelt, auf allen möglichen mobilen Endgeräten, über 3G/4G-Netzwerke und WiFi in Cafés, auf Flughäfen und zunehmend auch in Flugzeugen, Bahnen und Bussen. Der Benutzer bewegt sich also auf direktem Weg in die Cloud. Er greift auf Cloud- und Mobile-Apps zu, er lädt Daten herunter und wieder hoch, er versendet SMS und E-Mails. Vorbei an den Gateway-Proxies und Firewalls seines Unternehmens. Zahlenmäßig haben mobile Endgeräte die in einem Unternehmen genutzten PCs längst überholt, aber VPNs sichern nun mal keinen 3G/4G-Mobilfunkverkehr.

Angesichts der wachsenden Fülle mobiler Endgeräte, die ununterbrochen mit dem Unternehmensnetzwerk in Verbindung stehen, bedarf es eines Wechsels der Perspektive. Es geht weniger um „blocken versus erlauben“ als darum, den Netzwerkverkehr zu überwachen und die Risiken zu managen. Einfache Verbote auszusprechen und Internet-Ressourcen zu sperren hat eher den gegenteiligen als den gewünschten Effekt. Und: User finden Mittel und Wege solche Verbote zu umgehen. Gerade wenn es darum geht sich den praktischen Arbeitsalltag zu erleichtern. Anbieter von Sicherheits-Software verfehlen den entscheidenden Punkt, wenn sie mittels Patches der neuesten Malware zu Leibe rücken oder sie versuchen mit aktuellen Botnet-Angriffen Schritt zu halten. Das Sicherheitskonzept bleibt löchrig und gefährdet sensible Daten und unter Umständen das gesamte Unternehmen in seiner wirtschaftlichen Existenz.

Die Vorteile von cloud-basierten Lösungen in vielen Bereichen sind inzwischen gut dokumentiert wie auch der zu erwartende Return-on-Invest. Trotzdem sind Unternehmen und IT-Abteilungen nicht unbedingt begeistert von einem Umzug in die Cloud. Und damit sind sie nicht alleine. Eine ganze Reihe von Studien, darunter eine des Business-Netzwerks LinkedIn, haben als einen der Hauptgründe für die Zurückhaltung Sicherheitsbedenken identifiziert. 54 Prozent der von LinkedIn Befragten gaben an, dass sie Sicherheitsprobleme als die größte Hürde beim Wechsel in die Cloud sehen. Das sind ganz reale Bedenken, denen mit einem traditionellen Verständnis von Sicherheit in Unternehmensnetzwerken nicht mehr beizukommen ist. Teil dieses traditionellen Verständnisses ist es beispielsweise, Appliances als Kernfunktion der Sicherheitsinfrastruktur zu betrachten.

Wirtschaftlich auf Kosten der Sicherheit?

Hacker von heute haben die Welt der Unternehmens-IT längst verstanden, manchmal besser als die Unternehmen selbst. Angreifer machen sich Lücken mit professionell strukturierten Angriffen zunutze, und so ist es nicht verwunderlich, dass wir täglich von neuen Attacken-Mustern lesen und hören. In dem Maße, indem mobile Endgeräte an Bedeutung gewonnen haben, sind sie für Cyberkriminelle zum idealen Einfallstor ins Unternehmenswerk geworden. Hacker machen sich zunutze, dass Mitarbeiter direkt auf die Cloud zugreifen, dass sie spezielle mobile Anwendungen einsetzen und über öffentliche WiFis surfen.

Grundsätzlich lassen sich drei universelle Aussagen treffen, wenn es um die Beschaffenheit des derzeitigen Unternehmens geht:

  • Traditionelle Verteidigungsstrategien können mit den hoch professionellen und sich kontinuierlich weiter entwickelnden Attacken nicht Schritt halten.
  • Die zugrundeliegende Architektur ist für einen grundsätzlichen Wechsel und neue Technologien nicht flexibel genug.
  • Sie verhindern Neuerungen und erzeugen Reibungsverluste innerhalb der Geschäftsprozesse.

Appliance-basierte Sicherheitskonzepte stoßen hier im wahrsten Sinne des Wortes an ihre natürlichen Grenzen. Denn: diese Konzepte sind an die Richtlinien gebunden, die für die Unternehmensstandorte gelten. Auf bestimmte Geschäftsprozesse wirken diese Richtlinien aber eher einschränkend als fördernd: die Aktivitäten sind dann entweder an den Standort gebunden oder der Netzwerkverkehr muss über die Zentrale umgeleitet werden, weil sonst die Sicherheitsrichtlinien nicht greifen. Dadurch entsteht eine ganze Reihe an offensichtlichen Nachteilen. Bei der zur Verfügung stehenden Bandbreite und Leistung sowie bei der Anfälligkeit für Attacken und dem Ausnutzen potenzieller Schwachstellen. Wer zum Beispiel mit einem zentralen URL-Filter arbeitet belastet zugleich die Infrastruktur seiner Niederlassungen und der mobilen Mitarbeiter. Remote über eine langsame VPN-Verbindung zuzugreifen oder schlicht auf die bestehenden Sicherheitsmaßnahmen zu verzichten dürften jedenfalls nicht die Alternativen sein.

Flexibilität spart Geld

Appliances, die primär auf eine Funktion hin entwickelt worden sind, neigen denn auch dazu sich im Netzwerk rasant zu vermehren und die Rechenzentren zu verstopfen. Jedes neue Gerät muss aber nicht nur gekauft und bezahlt, sondern auch installiert, gewartet und aktualisiert werden. Regelmäßiges Patchen, Log-Dateien managen, Zugriffskontrollen – das alles kann komplex und teuer sein. Und wenn die IT-Abteilung es nicht schafft, alle Signatur-Dateien regelmäßig zu aktualisieren, führt das unvermeidlich zu neuen Sicherheitslücken. Standardisierte Appliances sind beispielsweise für 100, 500 oder 2000 Benutzer ausgelegt. Kratzt ein Unternehmen an der 2000-Mitarbeiter-Grenze muss es entweder mehr Geld ausgeben und aktuell Überkapazitäten in Kauf nehmen oder sich selbst im Wachstum reglementieren. Beides ist auf die Dauer eine wenig bedarfsgerechte Lösung für Firmen, die in einer Multimandaten-Struktur und in Kooperationen mit Kunden, Partnern, Lieferanten und Zulieferern zusammenarbeiten.

Trotz aller Bedenken steigt der Stellenwert von Cloud-Lösungen und die Dienstleistung aus dem Rechenzentrum genießt inzwischen mehr Vertrauen. On-Premise-Hardware und Software werden gerade ob ihrer wirtschaftlichen Tragfähigkeit zunehmend kritischer beäugt, die Nachteile deutlicher wahrgenommen. Einer davon: Unternehmen zahlen für einen prognostizierten und nicht den tatsächlichen Bedarf. Das ist das deutliche „Plus“ der cloud-basierten Lösungen. Sie sind bedarfs- und verbrauchsgerecht skalierbar sowohl nach oben wie nach unten. Kosten sparen ist ein wichtiger Grund, der Unternehmen motiviert, cloud-basierte Dienste zu beziehen, aber es ist nicht der einzige. Immer mehr CIOs halten sie für flexibler, agiler und im globalen Wettbewerb für die bessere Alternative. Cloud-basierte Sicherheitslösungen sind entsprechend der Bedürfnisse eines Unternehmens skalierbar, aber sie können auch mehr als traditionelle Lösungen.

Laut Analyst Gigaom ist „der Grund sich für die Cloud zu entscheiden und damit für Dienstleistungen aus dem Rechenzentrum, (...) längst nicht mehr allein der Preis. Unternehmen ist es wichtig, schnell und bedarfsgerecht handeln zu können, implementieren, skalieren, deinstallieren – je nach Arbeitsanforderung. Unternehmen wollen nicht mehr in Server oder Software investieren, die sie vielleicht im nächsten Monat nicht mehr brauchen.“ Und damit sind wir tatsächlich bei so etwas wie einem Paradigmenwechsel. Businessmodelle, die überwiegend auf der Cloud basieren, brauchen einen grundlegend anderen Sicherheitsansatz. Er muss die Bedingungen des Everywhere Enterprise, Mobilität und die Nutzung sozialer Medien zwangsläufig mit berücksichtigen.

Sicherheit und geschäftlicher Nutzen

Eine Grundvoraussetzung ist, dass CIOs und Sicherheitschefs die digitalen Werte eines Unternehmens und sämtliche Aktivitäten der Nutzer überblicken und entsprechend kontrollieren, unabhängig davon, ob sich die Daten innerhalb des Unternehmens oder extern im Internet befinden. Sichtbarkeit ist dabei einer der Schlüsselbegriffe geworden, ebenso wichtig wie, wenn nicht sogar wichtiger als die traditionelle IT-Sicherheit. Es ist kein „nice to have“ mehr, den Überblick über jeden Nutzer, jedes Gerät und jede Anwendung zu haben, die auf das Unternehmensnetzwerk zugreifen. Es geht bei dieser neuen Generation von Sicherheitslösungen nicht mehr ausschließlich darum, Bedrohungen abzuwehren. Diese zu erkennen wird zwar ein unentbehrlicher Baustein bleiben. Aber in Zukunft wird es viel mehr darum gehen, inwieweit Sicherheitslösungen dazu beitragen, Geschäftsprozesse als Ganzes flexibler, wendiger und wettbewerbsfähiger zu gestalten, statt die Betriebskosten auf Jahre hinaus zu belasten.

Es reicht heute für einen CIO nicht aus, sich auf reine Infrastrukturprojekte zu konzentrieren. Vielmehr gehört es zu seinen Aufgaben, eine strategische Sicht auf die IT-Sicherheit mit dem geschäftlichen Nutzen zu verbinden. Das ist weit mehr als ein Gedankenspiel, es ist ein praktischer Transformationsprozess. Neben einem höheren Sicherheitslevel und den grundsätzlich niedrigeren Kosten kann der Lösungsansatz eines Direct-to-Cloud-Netzwerks Ressourcen freisetzen, die zuvor in die traditionelle Sicherheitsinfrastruktur geflossen sind.

Auch wenn neue Technologien und Prozesse sich positiv auf die Umsatzzahlen und die Zufriedenheit der Kunden auswirken, haben Cloud- und Mobiletechnologien den Schwerpunkt ganz eindeutig in Richtung des Nutzers verschoben. Nicht unbedingt zur Freude der Sicherheitsverantwortlichen. Um dieses Gefälle auszugleichen, sollte auch die Unternehmenssicherheit samt der kompletten im Unternehmen gültigen Sicherheitsrichtlinien in die Cloud umziehen. Das scheint auf den ersten Blick noch ein reines Sicherheitsthema zu sein. Tatsächlich fungieren Sicherheitslösungen an dieser Stelle zunehmend als eine Art Markttreiber. Eine adäquate Sicherheitsinfrastruktur kann – richtig eingesetzt – zu einem direkten Wettbewerbsvorteil werden.

Das Etikett „Cloud-Sicherheitslösung“ heften sich derzeit etliche Anbieter an die Brust. Mit den vollmundigen Versprechen, alle Probleme auf einen Schlag zu lösen ist der Markt inzwischen sehr unübersichtlich geworden und Realität vom Hype kaum mehr zu unterscheiden. Der Anbieter verwaltet dann beispielsweise lediglich eine Single-Mandanten-Lösung. Ein Direct-to-Cloud-Netzwerk unterscheidet sich aber im Wesentlichen durch Elastizität und Mulitmandanten-Fähigkeit von anderen Sicherheitsarchitekturen wie MSPs und gehosteten Appliances: So werden erstens einem nur die Dienste in Rechnung gestellt, die es auch tatsächlich in Anspruch genommen hat, anstelle Berechnungen aufgrund von bloßen Annahmen vorzunehmen. Und zweitens wird jeder CPU-Zyklus so eingesetzt, dass jeweils der Service mit der höchsten Performanz bereitgestellt wird.

Grundlegende Konzeptänderung

Ein Direct-to-Cloud-Netzwerk bewegt sich als eine Art dynamischer Perimeter mit den Nutzern, Geräten und Organisationen anstatt sie „einzuzäunen“. Wenn ein Nutzer unabhängig vom Standort oder dem verwendeten Gerät auf das Internet zugreifen will, kann er das tun. Allerdings nur dann, wenn er einen proxy-basierten Gateway passiert, der den erlaubten Datenverkehr von unerwünschtem und potenziell böswilligem trennt. Für einen solchen dynamischen Gateway reichen allerdings weder fünf, noch zehn noch zwanzig Zugangspunkte aus. Hier sprechen wir von hundert und mehr lokalen Gateways weltweit. Dazu muss man eine Cloud-Infrastruktur von Grund auf entwickeln. Bestehende Appliance-Lösungen als Cloud-Lösungen zu adaptieren ist aufgrund der völlig unterschiedlichen Anforderungen an die Architektur keineswegs zielführend.

Mobilität, Cloud-Apps und soziale Medien sind für traditionelle Denkweisen eine Herausforderung, vor allem was die Sicherheit anbelangt. Die schöne neue Welt ist bestimmt von dynamischen Geschäftsmodellen und Geschäftsprozessen, die Nutzer sind mobil. Der Schutz der Netzwerkgrenzen war nur ein Anfang. Direct-to-Cloud-Netzwerke sind Teil einer neuen Betrachtungsweise von IT-Sicherheit, die sich mehr an den aktuellen Erfordernissen orientiert, als das die meisten traditionellen Lösungen können. Eine echte Direct-to-Cloud-Architektur bietet ein skalierbares Sicherheitsmodell, das sich den tatsächlichen (und sich verändernden) Bedürfnissen der Benutzer anpasst und das nicht schon per se mit einem natürlichen Verfallsdatum belastet ist. Ein angenehmer Nebeneffekt: On-demand-Tools tragen dazu bei, taktische Probleme zu lösen, und sie können ganz nebenbei Daten erfassen, die eine grundsätzliche Akzeptanz von Cloud-Lösungen befördern.

Charles Milton, Service Provider Director EMEA bei Zscaler
Charles Milton, Service Provider Director EMEA bei Zscaler
(Bild: Zscaler)
* Der Autor Charles Milton ist Service Provider Director EMEA bei Zscaler.

(ID:42748139)