Warum Konsolidierung die IT-Sicherheit erhöht

Die Konzentration auf integrierte Security Plattformen bietet neben Vorteilen finanzieller Art auch das Versprechen einer Reduzierung des Risiko-Niveaus. Wo liegen die Chancen und Grenzen der Konsolidierung?

Autor: Martin Buck, Head of Competence Centere Security bei BNC

Mehr hilft oft weniger

Die Vielzahl an Security-Lösungen, die heute in Unternehmen im Einsatz ist, führt tendenziell zu einer abnehmenden, statt einer steigenden Sicherheit.

Viele Jahre galt der Ansatz „best-of-breed“ in der IT-Sicherheits-Branche als Credo. Für jede noch so kleine Teildisziplin wird dabei der beste Anbieter evaluiert und eingeführt. Dies hat dazu geführt, dass eine Vielzahl von verschiedenen IT-Security-Produkten in einem Enterprise-Unternehmen eingesetzt werden. Aber Cyber-Security sollte als Gesamtsystem aus Technologien, Prozessen und Personen verstanden werden.
Mit der grossen Anzahl an Themen und Policy-Verwaltungsplattformen steigt der Aufwand für den Betrieb in Form von Administrator-Schulungen und Integrationsarbeiten. Oft stehen die nötigen Mittel in Form von Geld, Zeit und Mitarbeiteitenden aber gar nicht zur Verfügung. Die Folge ist, dass die besten Produkte Insellösungen bleiben und das Know-how teils auf niedrigem Niveau verharrt. Daher hat sich in den letzten Jahren die Erkenntnis durchgesetzt, dass sich mit einer gezielten Reduktion der Sicherheitslösungen das effektive Sicherheits-Risiko reduzieren lässt. Anstelle von vielen verschiedenen Lösungen, werden heute oft sogenannte Cyber-Security Plattformen von nur einem Anbieter eingesetzt[1]. Aber ist es wirklich erstrebenswert gegenteilig zu agieren und das andere Extrem anzustreben, indem sich ein Unternehmen auf nur einen Anbieter von IT-Sicherheitslösungen fokussiert?

Möglichkeiten und Grenzen der Konsolidierung

Gibt es ein optimales Mass, um ein Minimum an Risiko mit der Konsolidierung zu erreichen?

In den letzten Jahren hat eine starke Konzentration im IT-Sicherheitsbereich stattgefunden. Viele Herstellerfirmen wurden aufgekauft und in grosse Portfolios integriert. Das Ziel dabei sollte immer sein, die Verwaltung der zahlreichen Security-Funktionen zu vereinfachen, den Informationsaustausch zwischen den Komponenten zu verbessern, durch eine breit abgestützte Basis sehr schnell neue Bedrohungen an Hand von Indicators of Compromise (IOCs) zu erkennen und Abwehrmethoden in Stellung zu bringen. Erfolgreich hat diese Integration aber weniger als eine Hand voll Firmen geschafft.
Als entscheidende Faktoren für den Erfolg der konsolidierten IT-Security erweisen sich dabei:

  • Die richtige Kombination von Funktionsblöcken
  • Die Fähigkeit zur raschen Integration
  • Die Interkommunikation der Funktionsblöcke

Die erfolgreichen Hersteller am Markt haben dabei übereinstimmend diese Funktionsblöcke kombiniert:

  • Network Security mit Next Generation Firewalls, SD-WAN und Remote Access
  • Endpoint Security für Windows/Linux/Mac OS/iOS und Android
  • Cloud Security für IaaS, PaaS, Serverless und SaaS Angebote
  • IoT Security für den Medizinal Bereich, Industrieanlagen und Gebäudeautomation
  • Zentrale Threat-Intelligence mit SOC zentrischer Auswertungen und zentralem Policy-Management

Viele dieser Funktionsblöcke wurden durch Akquisitionen ins Portfolio aufgenommen. Erfolgsrelevant ist dabei aber nicht nur, die Funktion anbieten zu können, sondern diese mit den bestehenden Produkten zu integrieren und über die zentrale Threat-Intelligence Platform untereinander zu verbinden. Damit können Informationen zu neuen Bedrohungen innert Sekunden zwischen den verschiedenen Funktionsblöcken ausgetauscht werden und das typischerweise über die gesamte Kundenbasis dieser Hersteller hinweg.

Durch strategische Partnerschaften mit ergänzenden Security-Herstellern sowie Anbietern von Cloud, Netzwerk und Data Center Lösungen, wird dieses Portfolio abgerundet. Beispiele dafür sind:

  • Asset und Identity Sharing über API-Integrationen mit Cloud und Netzwerk Anbietern
  • Ergänzende Security-Funktionsblöcke, wie Multi-Factor-Authentication, Content Security Gateways, Vulnerability Management oder Security Awareness Trainings
  • Security Change Workflow und Compliance Lösungen

Eine offene API-Architektur erlaubt es auch, eigene oder 3rd Party Applikationen in das Security-Gesamtsystem zu integrieren.

Die Grenzen der Konsolidierung werden an der Liste der obigen Funktionsblöcke sichtbar. Diese Kernfunktionen werden sehr gut abgebildet, aber was darüber hinaus an IT-Security Funktionen angeboten wird, ist wieder sehr von individuellen Bedürfnissen und den spezifischen Angeboten der Hersteller abhängig. In der Praxis hat sich gezeigt, dass meist vier bis acht Security-Hersteller ausreichen, um eine umfassende, beherrschbare und kosteneffiziente Security Architektur zu errichten. Dabei sollte auf ein gutes Technologiepartner-Portfolio Wert gelegt werden. Dieses sollte über vorhandene und getestete Schnittstellen eine Brücke zwischen den verschiedenen IT-Sicherheits-, Cloud- und Netzwerk-Anbietern schlagen können und die Automatisierung von Abläufen unterstützen.

Der doppelte Konsolidierungsgewinn

Die Konsolidierung der Security-Lösungen bringt einen zweifachen Gewinn bei reduzierten Ausgaben und erhöhter Sicherheit.

Mit einer Konsolidierungsstrategie, bei der ein Haupt-Security-Partner gewählt wird und ergänzende Produkte nach Möglichkeit bereits eine Integration in das zentrale Thread-Management und Auswertung der Aktivitäten mitbringt, lässt sich also die Sicherheit steigern durch:

  • Bessere Qualifikation der eigenen Mitarbeitenden
  • Reduktion der Komplexität und Fehlerquellen
  • Security Gewinn durch gemeinsame Threat-Intelligence
  • Bessere Integration der Produkte zu einer Gesamtlösung
  • Schnellere Erkennung von Sicherheitsvorfällen durch einfache Korrelation

Aber auch bei den Kosten für die IT-Security kann gespart werden. Bekanntermassen ist jeder Hersteller bei grösseren Volumina auch immer verhandlungsbereiter. Hinzu kommt neben Einsparungen bei Mitarbeiter-Ausbildungen und dem Potenzial zur Automatisierung auch noch die Möglichkeit, die gesamte Sicherheits-Plattform für einen vorhersagbaren Service-Preis pro User zu beziehen. Dieses innovative Abo-Modell ohne Investitionskosten bietet aktuell nur einer der Hersteller unter dem Label «Infinity Total Protection» an[2].


Martin Buck

Martin Buck ist seit über 20 Jahren als ausgesprochener IT-Security Experte im Schweizer Markt unterwegs und arbeitet bei der BNC Business Network Communications AG[3] als Head of Competence Center Security. Er berät regelmässig mittlere und grössere Unternehmen zu IT-Sicherheits-Architektur-Themen.

 

Referenzen:

1  https://www.gartner.com/en/documents/3899782 und https://www.esg-global.com/blog/the-cybersecurity-technology-consolidation-conundrum

https://secure.checkpoint.com/consolidation/check-point-infinity-total-protection

https://www.bnc.ch/de/security/