PenTesting trifft EAM – Alptraum für Hacker, Rettung der IT
Wie Unternehmen mit der Kombination aus Architekturmanagement und PenTesting ihre IT-Strategie endlich sicher und nachhaltig machen
Jede Woche werden Unternehmen gehackt und ihrer mangelhaften IT-Security überführt. Wie kann die strategische Kombination aus EAM und PenTesting helfen?
PenTesting gilt im niemals endenden Rennen um Schutz, Sicherheitsvorkehrungen und Abschirmung als Paradedisziplin der IT-Prüfungen. Immer öfter haben Hacker als unsichtbarer Widersacher trotzdem leichtes Spiel. In unserer digitalisierten Welt, die spätestens seit der Covid-19-Pandemie fast vollkommen abhängig vom Internet geworden ist, werden immer wieder dieselben Fragen gestellt: Wie konnte das passieren? Wer ist dafür verantwortlich? Wieso hat es uns getroffen – und warum nicht die Konkurrenz? Die digitale Obskurität hinterlässt keine für das Auge sichtbaren Spuren. Immer mehr Unternehmen fühlen sich in die Ecke gedrängt, wissend, dass die Frage nicht lautet ob man gehackt wird, sondern wann. Gibt es tatsächlich keinen Ausweg? Oder müsste die Frage vielmehr lauten: Wie kommt es, dass Unternehmen immer wieder unsichere Systeme, fehlerbehaftete Komponenten und ungepatchte Software implementieren, die am Ende für negative Schlagzeilen, gebrochenes Kundenvertrauen und Verlust von Marktanteilen verantwortlich zeichnen? (Zum Zeitpunkt der Artikelerstellung waren viele Firmen durch die Log4j Zero Day Lücke betroffen)
Index
Digital Native vs. Digital Naive
Hierzu müssen wir verstehen, wie lang, kompliziert und analog die Historie vieler Unternehmen ist. Alteingesessene Firmen bestehen heute aus Strukturen, welche durch Zukäufe, veränderte Produktportfolios und historische Prozesse eine gewisse Fragmentierung aufweisen. Interne Hygienemaßnahmen, man könnte auch „Aufräumen“ sagen, haben für das Management meist keinen direkten Mehrwert. Abteilungsleiter und Bereichsverantwortliche kommen und gehen – der Mitarbeiter, welcher 30 Jahre für einen Bereich arbeitet und dort als unverzichtbar gilt, ist nur noch selten anzutreffen. Dadurch sinkt die Qualität bei der Übergabe von Bereichen und Verantwortung, denn jeder ist nur noch kurze Zeit für sein Umfeld im Boot und fokussiert sich größtenteils auf Zahlen, Daten, Fakten – also Kosten und Effizienz, denn für besonders vorausschauende Denkweisen werden Mitarbeiter in Führungspositionen oft einfach nicht belohnt. Doch auch das mehrere Milliarden bewertete Top-Startup ist nicht automatisch besser aufgestellt. Egal ob eine gewisse Naivität gegenüber digitalen Strukturen im alteingesessenen Unternehmen oder das Digital-Native-Startup, bei dem es kein Stück Papier mehr gibt: Solange hohe Geschwindigkeit mehr als eine gewisse Gründlichkeit belohnt wird, sind auch moderne, vielleicht nur wenige Jahre alte Unternehmen schnell ein Sanierungsfall. Und wären da nicht externe Überprüfungen durch TÜV, BaFin und Co. – es würde wohl kaum jemandem auffallen.
Von Audit zu Audit – warum Dokumentation nie aktuell ist
Fast jedes Unternehmen unterliegt einer Art wiederkehrender Prüfung. Ganz gleich ob Qualität nach ISO 9001, IT-Sicherheit nach ISO 27001 oder hunderte branchenspezifischer Normen. Ziel von Normierung war es seit jeher, die Kompatibilität zu und zwischen Standards, als Vertrauen und Nachhaltigkeit sicherzustellen. Das DIN A4-Papier, ein USB-Kabel oder gängige Datenformate: Alles hat seinen festen Rahmen und muss zueinander passen. So kommt in jedem Unternehmen eines Tages der Moment, wo ein Auditor die Konformität mit Normen prüft. Seit ungefähr einem Jahrzehnt wird in diesem Rahmen auch verstärkt auf die IT geachtet – vom Endbenutzer und seinem Schreibtisch über die Produktion bis hin zum externen Mitarbeiter. Aber auch ganz grundlegende Dokumentation zu Prozessen und Datenströmen muss vorgehalten werden. Je nach Kritikalität für die Sicherheit des öffentlichen Lebens haben Unternehmen, die dem Schutz kritischer Infrastrukturen (KRITIS) zugeordnet sind, sogar noch deutlich höhere Anforderungen zu bewältigen.
Nun könnte man meinen, dass solch wiederkehrende Audits automatisch zu einer ordentlichen Dokumentation von Prozessen, IT-Systemen und Datenströmen führen. Die Realität zeigt: In den meisten Unternehmen wird erst kurz vor der Prüfung durch TÜV, BaFin oder Behörde daran gedacht, hier aktiv zu werden – immer wieder. Bei einem typischen 2-4 Jahres-Zyklus entsteht so schnell eine Momentaufnahme, gerade gut genug für das Audit, und nach wenigen Wochen schon wieder veraltet. Setzen Projekte und Maßnahmen also auf dieser nicht mehr aktuellen Dokumentation auf, schlagen sie fehl oder produzieren nicht funktionale Ergebnisse. Muss das so sein und etwa für immer so bleiben?
Teufelskreis durchbrechen – aktive Dokumentation etablieren
Zum Glück haben zahlreiche Unternehmen erkannt, dass es so nicht weitergehen kann. In einer Zeit, wo die Notwendigkeit von Cyber-Versicherungen und das Vermeiden von Vorsatz und Fahrlässigkeit zum Top-Thema der Chefetagen geworden ist, haben sich Methoden und Werkzeuge entwickelt, welche nun für eine nachhaltige Veränderung sorgen. Niemand will sich am Ende vorwerfen lassen, nicht genau hingesehen zu haben und eine Millionenklage am Hals zu haben.
Es beginnt damit, bereits bei der Planung einer betrieblichen Infrastruktur aus IT, Prozessen und Daten die richtigen Dinge zu tun. Was früher der Einsatz von standardisierten, effizienten Technologien war, ist heute vor allem das Berücksichtigen von Risiken. IT-Systeme und Infrastrukturen werden bei den führenden Unternehmen nicht mehr nur aus technologischer Sicht geplant, sondern unter Einbezug von Sicherheitsfaktoren wie CVEs (Namenskonvention für Sicherheitslücken) und herstellerseitigen Erfahrungen in der Behebung von Schwachstellen evaluiert. Erst dann, wenn ein System nicht nur technisch funktioniert, sondern unter Betrachtung aller Risiken wie Verfügbarkeit, Sicherheit und Verwundbarkeit betrachtet wurde, wird die Freigabe zum Betrieb erteilt. Gleichzeitig stellen die Verantwortlichen sicher, dass die Dokumentation in Systemen erfolgt, welche ganzheitliche Analysen verschiedener Datenquellen ermöglichen. So wurde die Disziplin des Enterprise Architecture Managements (EAM) von der reinen IT-Planung und Strategiearbeit immer mehr zur zentralen Stelle für den Gesamtüberblick aus IT, Risiken, Fähigkeiten, Verantwortlichkeiten und Produkten. Moderne Lösungen bieten hier offene Schnittstellen für verschiedene Integrationen, um Daten nicht mehr manuell, sondern automatisch oder sogar in Echtzeit zu aggregieren. Auf diese Weise lassen sich ganze Simulationen zukünftiger Unternehmensstrukturen abbilden und messen.
Maximale Sicherheit: EAM trifft IT-Security und Pentesting
Wie sieht nun das unknackbare Unternehmen aus? Welche Bereiche müssen optimal zusammenspielen? Der Einbezug von IT-Security in EAM ist bei vielen Unternehmen bereits Standard. Wurde vor 10 Jahren noch auf Kosten, Effizienz und das Vermeiden von Komplexität geachtet, zählt heute der Faktor Sicherheit weit mehr. Hier kommt nun der Penetration Tester ins Spiel: Bis vor einiger Zeit noch als „der nette Hacker, der auf der richtigen Seite steht“ und als wiederkehrender Prüfer von Sicherheitssystemen engagiert, sind seine Aufgaben nun idealerweise Bestandteil vorausschauender Planung. Erfolgreiche Unternehmen nutzen das Wissen, die Methoden und Insights, um ihre geplanten Systeme bereits während der Entstehung zu härten und das Risiko jeder Veränderung aktiv zu managen. Zusammen mit der IT-Security ergibt sich so ein Vorteil, welcher Angreifern tatsächlich den Tag verderben kann: Von innen und aussen geprüfte Sicherheit, Hacker-Methoden gepaart mit Spezialwissen des Unternehmens und daraus resultierende, kontinuierliche Verbesserung.
Man könnte also fast den Eindruck erhalten, dass in der ständig wachsenden Komplexität von IT, digitaler Welt und Unternehmensstrukturen grundlegende Tugenden wieder aufleben. Vorausschauendes Denken, stärkerer Fokus auf Prüfung funktionaler Sicherheit, mehr Zeit für die Planung und nachhaltige Kollaboration. Kaum eine Disziplin hat jetzt so eine einmalige Chance, zum Bindeglied zwischen den Unternehmensteilen zu werden, wie das EAM. Denn Unternehmen, die diese Chance verpassen und in den kommenden Wochen als gehackt durch die Presse gehen, sind nach wochenlangen Produktionsstops oft für immer beschädigt. In der Kombination aus Penetration Testing, Prozessdokumentation und EAM liegt somit der Schlüssel für belastbare Planung, effiziente Operationalisierung und nachhaltige Strategie.
Die Kommentarfunktion ist geschlossen.