Cybersecurity auf Applikationsebene: Die Schwachstelle fast jeder IT-Sicherheitsstrategie
Zero Trust, Microsegmentierung oder Software Defined Networks gelten zunehmend als Allheilmittel für die Absicherung von IT-Systemen. Dabei geraten elementare Grundlagen wie Asset & Application Management, ein IT-Security-Management-System oder der Aufbau echter Security-Kompetenz gänzlich aus dem Sichtfeld: eine gefährliche Schwachstelle.

– Advertorial –
Mit Blick auf die Applikationsebene und ihre Geschäftsanwendungen lehnen sich Verantwortliche bei der Frage der Anwendungssicherheit oftmals entspannt zurück. Man habe doch alles ordentlich beim Outsourcer in der Cloud, inklusive Firewall. Gleichzeitig fürchten sie die klassischen Angriffsszenarien wie Ransomware, Krypto-Trojaner oder gestohlene Identitäten.
Nicht auszudenken, wenn Angreifer wie unlängst bei Microsoft geschehen, einen Generalschlüssel stehlen, in diesem Fall für die Azure Cloud. Ein Super-GAU der IT-Sicherheit. Im übertragenen Sinn besitzen Kriminelle dann den Generalschlüssel für alle Wohnungen der Welt, die sie jederzeit unbemerkt betreten und dort massiven Schaden anrichten können. Blindes Vertrauen in die Infrastruktur und das Identity & Account Management der großen Hyperscaler kann zu schwerwiegenden Sicherheitslücken führen. Dann geht es nicht mehr nur um Daten, sondern um Denial-of-Service.
Löst die Cloud alle Probleme?
Um diesen neuen Gefahren zu begegnen, brauchen Unternehmen eine umfassende Bestandsaufnahme. Zunächst die Gretchenfrage: Cloud oder on-premises? Das Mantra lautet oft, die Cloud löse alle Probleme – und es gibt fraglos sehr gute Szenarien für Cloud-Anwendungen. Aber auch hier kommt es darauf an, sie mit einer ganzheitlichen Sichtweise auf das IT-System umzusetzen.
Dies gilt schon aufgrund der Schnittstellen zwischen Infrastruktur, Applikationen und Operations-Technology, besonders wenn wichtige Komponenten in eine Cloud ausgelagert werden. Dann lohnt ein Blick auf die moderne Zugriffssteuerung. Vieles wird einfacher, weil man etwa eine Microsoft-ID übergreifend nutzt, man kann sie dann aber auch übergreifend missbrauchen. Hier ist das Schwachstellen-Management noch dünn und die Bedrohungserkennung unzureichend.
Wie sollten Unternehmen sich also aufstellen? Mithilfe von Regularien (z. B. NIST Framework oder DSAG-Prüfleitfaden) kann die IT-Sicherheit bereits um ein Vielfaches verbessert werden. Die Methodik: Identifiziere deine Assets und Technologien, erstelle eine realistische Risikoeinschätzung. Schütze die Systeme, spiele Patches ein, wirf die Standard-User raus. Etabliere schließlich ein System, das diese Dinge überwacht, und zwar rund um die Uhr.
Ganzheitliche IT-Strategie für mehr Cloud-Sicherheit
Ganz pragmatisch gesehen ist aber vor allem die ganzheitliche Betrachtung entscheidend. Ist die Basis nicht sicher, wird es in der Cloud nicht besser. Dabei helfen Best Practices für Konfiguration, Betrieb, Überwachung und das Notfallfeedback. Es müssen alle Komponenten in die unternehmensweite Sicherheitsstrategie integriert werden. Statt blinden Vertrauens in die Cloud ist weiterhin jeder selbst für die Bedrohungs- und Angriffserkennung zuständig. Entscheidend ist, dafür selbst ausgewiesene Fachleute oder kompetente externe Partner zu haben.
Von Ralf Kempf, CTO Pathlock Deutschland GmbH

Weitere Informationen zur ganzheitlichen Absicherung von hybriden IT-Landschaften finden Sie auf www.pathlock.de. Und über den QR-Code gelangen Sie direkt zur Aufzeichnung des Webinars „Cybersecurity auf Applikationsebene“.