essential
essential

Validierung der Architektur

Architektur ist der effizenteste Weg zur Sicherheit

Warum ist Architektur notwendig?

Wir haben immer wieder erlebt, dass Unternehmen - trotz hoher Investitionen - eine unvollständige Sicherheitsarchitektur besitzen:

  • Sie lassen regelmäßige Pentests durchführen.
  • Sie überwachen ihre IT mit aufwändigen SIEM-Lösungen.

Doch oft fehlen wesentliche Schutzmaßnahmen:

  • Stabiler Prozess, um gefundene Risiken tatsächlich zu beheben
  • Robustes User-Management
  • Härtung von Software und Infrastruktur
  • Schulung der Mitarbeitenden zum Umgang mit Sicherheitsvorfällen
  • Build-Pipelines, die automatisierte Software-Audits durchführen

All diese Schutzmaßnahmen sind nur dann wirksam, wenn sie überlappend wirken und keine Lücken aufweisen. Allzu viele Unternehmen ähneln eher einer Burg, bei der eine Seite lediglich mit einem Jägerzaun geschützt ist.

Um einen durchgehenden Schutz zu gewährleisten, bedarf es einer Gesamtarchitektur, die sicherstellt, dass auch das schwächste Glied in der Kette der Schutzmaßnahmen noch robust genug ist, um das Gesamtsystem angemessen zu sichern. Warum ist Architektur effizient?

Zuallererst kann ein erfahrener Architekt die Gesamtarchitektur ausbalancieren. Das bedeutet, sämtliche Risiken zu erfassen und das Budget so zu verteilen, dass die jeweiligen Gegenmaßnahmen immer zu den tatsächlichen Risiken passen.

Was ist das Vorgehen eines Architekten?

  • Ausgangspunkt ist eine Sicherheitsanalyse: Individuelle und branchentypische Risiken werden aufgelistet und bewertet.
  • Gegenmaßnahmen erarbeiten: Ist Ihre Website kein „Einhorn”, kann ein erfahrener Architekt bereits aus einem Katalog bewährter Schutzmaßnahmen schöpfen.
  • Risiken und Ressourcen ausbalancieren: Man kann unendlich viel Geld in Security investieren, doch ein guter Architekt weiß, wie mit begrenzten Ressourcen ein optimales Sicherheitsniveau erreicht wird.
  • Messbarkeit herstellen: Ohne Messbarkeit und Bewertung kann man nie sicher sein, ob die Investitionen in Sicherheitsmaßnahmen tatsächlich wirken.
  • Aus Fehlern lernen: Ein erfahrener Architekt beschleunigt die Lernkurve enorm, indem er oder sie hilft, Schwachstellen in bestehenden Umsetzungen zu erkennen und zu verbessern - und genau das ist der Kern der ISO 27000.

Was sind typische Maßnahmen eines Architekten?

Architektur ist stets eine sehr individuelle Dienstleistung. Die folgende Aufzählung dient als Beispiel dafür, welche Ansätze in verschiedenen Branchen sinnvoll sein können.

e-Commerce-Unternehmen

  • Teure „Cyberversicherung” gekündigt, da sie weder die reale Schadenssumme abdecken konnte noch auf Nachfrage angepasst wurde.
  • Externe Firewall von einem preiswerten, aber leider auch ungeeigneten Anbieter zum Marktführer gewechselt.
  • Überdimensionierte SIEM-Lösung abgeschafft und das frei gewordene Budget in Mitarbeiterschulungen investiert, um die Applikation selbst besser zu schützen.
  • Microsoft Active Directory um Keycloak ergänzt, um die tatsächlichen Anforderungen des Kunden effizient und sicher umzusetzen.

Bank

  • 700 Seiten Sicherheitsvorgaben durch 20 konkrete Regeln ersetzt, die in der Entwicklungsabteilung tatsächlich umgesetzt werden konnten.
  • 1300 Seiten Compliance in mehrere fokussierte Regelsätze zusammengefasst, jeweils zugeschnitten auf unterschiedliche Abteilungen.
  • Regelmäßige Schulungen aller beteiligten Abteilungen durch ein internes Ausbildungsteam initiiert.
  • Einen jährlichen „Hackathon” eingeführt, in dem Mitarbeitende versuchen, die eigenen Sicherheitsmaßnahmen zu überlisten.

Versicherung

  • Unklare Kompetenzen geklärt und doppelte Maßnahmen abgeschafft.
  • Mehrere Firewalls durch eine einzige Ebene ersetzt, die mit den vorhandenen Ressourcen sinnvoll gewartet werden konnte.
  • Risk- und Incident-Prozessmanagement aufgesetzt, um die einzelnen Sicherheitsmaßnahmen bewerten zu können.
  • Grundlagen der ISO 27000 eingeführt und ein zentrales Gremium zur Bewertung der Sicherheitsmaßnahmen etabliert.
  • Build-Pipeline um Security-Audits ergänzt und entsprechende Schulungen durchgeführt; externe Code-Reviews durch interne Reviews ersetzt.
  • Sicherheitskonzept erweitert, um auch den Mainframe (z/OS) abzudecken.

Was ist der erste Schritt in Richtung sicherer Architektur?

Fragen Sie uns! Wir klären in einem ersten - kostenfreien - Gespräch mit Ihnen die wichtigsten Themen, die sinnvoll adressiert werden sollten, und erstellen Ihnen bei Bedarf ein individuelles Angebot.

Mit diesem niederschwelligen Angebot wollen wir Ihnen den Einstieg erleichtern. Häufig gilt Architektur zu Unrecht als besonders kostspielige Maßnahme. Nach unserer Erfahrung ist sie jedoch die effizienteste!

© 2024 JUBECO GmbH
essential