Gefahr durch Legacy

Über Jahre hinweg haben Unternehmen IT-Hypotheken in ihren Netzwerken angehäuft, die durch den Wandel zu hybriden Arbeitsmodellen zum Sicherheitsrisiko werden können. Der Vergleich mit dem privaten Anschaffungsverhalten drängt sich auf: Jeder kennt die Tatsache, dass nach einem Kauf von Inventar das alte Stück, das man ja evtl. noch einmal brauchen könnte, in die Ecke wandert und dort verstaubt. Übertragen auf die IT zeigt sich ein ähnliches Vorgehen. Auch wenn neue Infrastruktur angeschafft wird, kann man sich noch nicht ganz vom Alten trennen. Allerdings widmet man diesen Komponenten nicht mehr unbedingt viel Aufmerksamkeit.

Durch die Pandemie kann an Altlasten festzuhalten, zum Pulverfass werden. Technische Schulden, die nicht gewartet in der Infrastruktur lauern, vergrößern die Angriffsflächen von Unternehmen. Im Zuge des „Work from Anywhere“ wurden viele Unternehmen in eine digitale Welt gezwungen, für die hektisch in neue Infrastruktur oder den Aufbau Internet-basierter Services investiert wurde. Nur so konnte die Produktivität von Unternehmen aufrechterhalten werden. Das Hauptaugenmerk der IT-Teams lag auf den neuen Investitionen in Remote Connectivity, Multicloud-Umgebungen und Webservern für ein digitalisiertes Angebot. Dass im gleichen Zuge technische Schulden angehäuft wurden, verloren Unternehmen leicht Mals aus den Augen.

Um diese gefährliche Situation zu entschärfen, ist es empfehlenswert sich einen Überblick über die Altlasten im Unternehmensnetz zurückzuerobern. Dabei sollte zwischen zwei Arten unterschieden werden:

1. Interne, langlebige Schulden: die Komponenten, die schon lange im Ökosystem des Unternehmens befinden, aber in offenen Netzwerken ohne Kontrollen oder Beschränkungen existieren. Oftmals besteht kein Überblick, welche Bestandteile des Netzwerks dem Internet ohne entsprechende Sicherheitsvorkehrungen ausgesetzt sind, und dort zur Angriffsfläche werden können. Diese Altlasten gehören zu den Hauptquellen für Angriffe durch Cyberkriminelle, die heute über die entsprechenden Tools verfügen, diese Schlupflöcher an ungepatchten Systemen oder fehlkonfigurierten Servern aufzuspüren.
2. Externe, neu hinzugefügte Schulden: Dazu sind diejenigen Komponenten zu zählen, die in den letzten 18 Monaten hastig zugunsten der erforderlichen Konnektivität angehäuft wurden. Dazu zählen VPNs, Remote-Desktops, Jumpboxen, aber auch in aller Eile konfigurierte Webangebote oder Cloud-Workloads. Sie stellen allesamt Risiken für Unternehmen dar, vor allem, wenn sie nicht mit den erforderlichen Sicherheitsmechanismen einhergehen. Hier tut ein Assessment not, welche neuen Bestandteile hinzugefügt wurden, um die Risiken zu adressieren die damit einhergehen können.

Technische Schulden abbauen

Seit die Mitarbeiter scharenweise die Büros verlassen mussten und nur phasenweise je nach abebbenden oder wieder aufkommenden Infektionswellen temporär zurückkehren konnten, hat viel Hardware-Infrastruktur Staub angesetzt. Viele Unternehmen haben sich heute auf die neue Realität der Arbeitswelt eingestellt und bieten die notwendige performante Anbindung an die Applikationen, die der User für seine Arbeit benötigt. Hybride Arbeitsplatzmodelle lassen sowohl das Arbeiten aus dem Büro als auch aus dem Home Office zu. Doch um dahin zu gelangen und die entsprechenden Infrastrukturen aufzubauen, ist es nicht mit der Verlagerung von Anwendungen in Multicloud-Umgebungen getan. Um die Weichen langfristig auf mobiles Arbeiten und digitale Angebote einzustellen, muss auch die Netzwerkinfrastruktur und die Sicherheitsstrategie angepasst werden. Denn um für zwei Systemwelten langfristig den sicheren Betrieb aufrechtzuerhalten, werden Unternehmen nicht die notwendigen Ressourcen bereitstellen können.

In einem ersten Schritt sollten die Hausaufgaben gemacht werden. Es gilt, mit beiden Arten von technischen Schulden aufzuräumen. Wenn nur ein Teil der Belegschaft regelmäßig ins Büro zurückkehrt, müssen sich Unternehmen die Frage stellen, welche Infrastruktur am Firmensitz noch erforderlich ist. Andererseits ist es dringend angesagt, nach bald zwei Jahren Pandemie-Geschehen den Überblick über alle Assets zurückzuerobern. Ist die Inventarisierung aller Komponenten auf dem aktuellen Stand und wurde die Risikobewertung des Unternehmens an die neuen Gegebenheiten angepasst?

In einem zweiten Schritt ist es dringend angesagt, sich wieder den Überblick über alle Datenströme zu verschaffen und Angriffsflächen des Unternehmens im Internet zu evaluieren. Was für die Funktion eines Service nicht zwingend erforderlich im Internet offen dargelegt werden muss, darf dort keinen möglichen Angriffsvektor mehr bieten. Moderne Sicherheitskonzepte auf Basis von Zero Trust regeln nicht nur die Zugriffsrechte der Mitarbeiter auf Basis des Least Privilege, sie sorgen auch dafür, dass sich laterale Bewegungen im Netzwerk unterbinden lassen. Darüber hinaus sollten diejenigen Komponenten, die in Büroumgebungen nicht mehr benötigt werden, zurückgebaut werden. So lassen sich nicht nur Betriebskosten senken, sondern auch der Administrationsaufwand reduzieren.

Wird das hybride Arbeiten weitergedacht, so sollte eine Modernisierung der IT-Infrastruktur im Mittelpunkt stehen, die vom Modell der angebundenen Zweigstellen zu einem Internet-only Ansatz von Niederlassungen führt. Der Anwender ist mit dieser Art des Arbeitens bereits vertraut: nichts anderes kennt er aus dem Coffee-Shop. Die Internet-Anbindung genügt, um von überall aus arbeiten zu können. Und 5G mit seinen Verbindungsgeschwindigkeiten wird diesen Trend noch verstärken. Die Sicherheit in einem solchen Arbeitsmodell verlagert sich vom Netzwerkperimeter ans Edge – und damit in die Cloud, die die Nähe der Anwendung oder Anwender ermöglicht. Der Vorteil: die Performanz ist gegeben und die Sicherheit ist unabhängig vom Arbeitsort gleichbleibend. Bei einem solchen Zero- Trust Ansatz dienen die Unternehmensrichtlinien bei jedem Schritt als Gatekeeper.

Fazit

Die erfolgreiche Einführung von Zero Trust beginnt mit der Offenheit für neue Möglichkeiten der Cloud und einem damit einhergehenden Wandel der Infrastruktur. In einem Cloud-basierten Ökosystem an Anwendungen und Plattformen ist die Cloud-only Konnektivität der Schlüssel zum Erfolg, der auch über die Cloud abgesichert werden kann. Ein solches Modell skaliert reibungslos nach oben und unten – und kann auch keinen Staub ansetzen.