Interview: Automatisierung des Security-Managements

Mit Automatisierung lässt sich der Aufwand in der IT-Security um bis zu 60 Prozent verringern, sagt Andre Schindler von NinjaOne.

Es ist unumstritten, dass Automatisierung angesichts der Vielzahl der Cyberangriffe und dem zunehmenden Fachkräftemangel in der Security Unternehmen helfen kann. Aber was genau lässt sich beim Security Management automatisieren?

Andre Schindler: Im Grunde geht es immer um die Prozessoptimierung, also darum, schneller und effizienter zu sein. Das fängt im Security-Umfeld mit Patchmanagement an. Das können Windows-Patches sein, oder andere Softwarelösungen, die auf Systemen installiert sind. Das betrifft aber auch Dinge wie die Automatisierung von Skripten, die 90 Prozent ausmachen kann. Ich habe immer den Ausgangspunkt, den Trigger, den ich setze. Der kann auch automatisiert passieren, beispielsweise durch Informationen, die ich aus dem System bekomme. Oder ich kann das gezielt in der IT steuern, dass ich einen Prozess anstoße, dann aber nicht zu jedem einzelnen Gerät hingehen muss, sondern ich ein Programm automatisch auf allen Geräten installiere, update oder Ähnliches. Dieses Thema betrifft einerseits das Betriebssystem selbst, kann aber auch KI-gestützte Analysen und Automatisierungen betreffen.

Studien zeigen, dass IT-Automatisierung insgesamt in Deutschland noch sehr wenig genutzt wird. Erst 18 Prozent der deutschen Unternehmen haben IT-Automatisierungslösungen realisiert. Auf Security-Automatisierung runtergebrochen wird der Anteil wahrscheinlich noch niedriger sein. Warum tun sich die Unternehmen so schwer, das Automatisierungsthema anzugehen?

Automatisierung funktioniert nur, wenn ich das Know-how für die Umsetzung habe. Denn Automatisierung ist ein zweischneidiges Schwert. Ich kann viel damit vereinfachen, aber auch viel kaputt machen. Bill Gates hat dazu mal gesagt: “Automatisierung in einem effizienten Unternehmen wird das Unternehmen effizienter machen. Ist das Unternehmen ineffizient, macht Automatisierung es noch ineffizienter.” Das bedeutet, dass man erst einmal das Know-how haben muss, um festzustellen, was man mit der Automatisierung überhaupt erreichen will und kann. Da das Thema sehr speziell ist, werden die meisten Unternehmen daher kaum an einem Managed Service Provider vorbeikommen, mit dem sie gemeinsam das passende Automatisierungstool auswählen können.

Unterscheiden sich die Automatisierungstools deutlich voneinander?

Ich glaube, alle Automatisierungstools auf dem Markt haben eine breite Palette an Fähigkeiten, unterscheiden sich aber in Details. Man muss sich daher detailliert mit der Materie auskennen, um das passende Tool auszuwählen. Zumal es in der Security ein Wettrüsten gibt, und sich die Angriffsseite permanent und sehr schnell weiterentwickelt. Daher braucht es ein Automatisierungstool, das sich schnell mitentwickelt.

Wie lässt sich denn die Automatisierung permanent nachziehen?

Wenn wir über KI-gesteuerte Angriffe sprechen, lässt sich das Virus-Thema relativ gut durch mitlernende Systeme abdecken. Da gibt es aber auch viele Anbieter mit sehr guten Lösungen, die das gut abfangen können. Wobei es ein 100-prozentig sicheres System nie geben wird. Die meisten Angriffe finden aber immer noch auf einem ganz anderen Level statt. Und dabei spielt Phishing nach wie vor eine große Rolle. Ein erfolgreicher Angriffsvektor ist immer noch der USB-Stick, den der Mitarbeiter ohne Restriktion nutzen und einstecken kann.

Welche Risiken birgt KI für E-Mails?

Was KI angeht, ist das Thema E-Mails sehr wichtig. Die von einer KI geschriebenen Spam-E-Mails werden immer besser, weil sie jetzt automatisch geschrieben werden und ziemlich gut zielgruppengerecht formuliert sind. Das kann ich aber so weit absichern, dass ich Skripte laufen lassen, die USB-Ports deaktivieren. Ich kann sicherstellen, dass die Firewall-Settings auf meinen Geräten – insbesondere wenn alle im Homeoffice unterwegs sind – korrekt eingestellt sind. Das lässt sich automatisieren, statt an jedem Gerät händisch die Einstellungen machen zu müssen.

Gibt es eine Rate, was durch automatisierte IT-Sicherheit abgefangen werden kann?

Das ist tatsächlich schwer zu messen, insbesondere dann, wenn Automatisierung gut läuft. Denn dann ist im Idealfall nie etwas passiert und es lässt sich nicht messen. Was man aber bei der Automatisierung messen kann, ist die Effizienzsteigerung. Ich habe eine IT-Abteilung, die X Stunden auf die Arbeit verwendet. Nach der Automatisierung zeigt sich dann typischerweise, dass sich 50 bis 60 Prozent davon einsparen lassen. Das ist Zeit, die man in etwas anderes investieren kann, zum Beispiel in Mitarbeiterschulungen.

Wenn ein Unternehmen Zeit einspart, kann die Automatisierung auch helfen, dem Fachkräftemangel entgegenzuwirken.

Und ich kann die Leute, die ich habe, für Spezialaufgaben schulen. Die einfacheren Sachen sind automatisiert. Für die komplexen Aufgaben bekommen die Mitarbeiter eine Weiterbildung. Positiver Nebeneffekt: Die Mitarbeiter haben eine interessantere Aufgabe und sie lassen sich dadurch besser ans Unternehmen binden.

Viele Unternehmen sehen Cybersecurity noch immer als reinen Kostenfaktor. Jetzt setzen Unternehmen inzwischen durchschnittlich 20 verschiedene Security-Tools ein. Und jetzt soll die Automatisierung noch oben draufkommen. Kann Security-Automatisierung die Kosten zumindest stabil halten oder lassen sich die Kosten sogar verringern?

Die Automatisierung hat definitiv Einfluss auf das Thema Geld. Ich glaube, die meisten Unternehmen sind sich bewusst, dass sie Geld ausgeben müssen. Ob man das jetzt als Investment oder als Kosten ansieht, sei mal hintenangestellt. Eins ist klar: Das Schadenpotenzial ist so hoch, dass Unternehmen Geld in Security stecken müssen. In Deutschland soll das Schadenpotenzial bei rund 200 Milliarden Euro liegen.

Die Unternehmen kommen auch immer weiter weg von der IT als reines Kostencenter. Die steigenden Risiken führen in vielen Firmen sogar schon dazu, dass Security keine Aufgabe  mehr für den CTO ist, sondern die des CEO. Denn es ist nicht mehr der eine Server, der gehackt wird, sondern ganze Abteilungen liegen brach, wenn der Angreifer erfolgreich war.

Die Security-Teams in den Unternehmen wirken manchmal etwas verzweifelt. Sie setzen schon zig Lösungen ein, fahren dann zur nächsten Security-Messe und kommen mit drei neuen Lösungen zurück, die angeblich jetzt das die Besten sind. Oft scheinen die aber nicht zu wissen, was die neuen Tools eigentlich besser können. Kann Automatisierung helfen, erst einmal Ordnung zu schaffen?

Automatisierung hilft, die Tools zu organisieren und aufeinander aufbauende Tools automatisiert in einer Kette einzusetzen. Meldet ein Tool irgendwas zurück, startet dann das nächste automatisch. Auch das schafft wieder Zeit, sich mit den Tools genau auseinanderzusetzen und die richtigen Lösungen korrekt aufzusetzen.

KI kann hier helfen, ist aber allein auch nicht die Rettung. Dazu ein Beispiel aus der Praxis. Ein Unternehmen hat mit KI ein Script geschrieben: “Schreibe ein Script für ein Problem mit der Firewall.” Das Script wurde ausgerollt, hat super funktioniert und hat das Problem behoben. Drei Tage später hat man festgestellt: Die Firewall ist aus. Was war passiert? Das von der KI geschriebene Script hat das Problem behoben und die Firewall danach ausgeschaltet, da das Problem behoben war. Was heißt das? Automatisierung bedeutet nicht: “Schalte das Hirn ab und vertraue dem System.” Man muss trotzdem mitdenken.

NinjaOne adressiert die IT- und Security-Abteilungen der Unternehmen selbst, zugleich aber auch die Managed Service Provider. Warum dieser doppelte Marktangang?

Wir kommen klassisch aus dem MSP-Bereich. Ich würde immer die Empfehlung abgeben, den Spezialisten mit reinzunehmen, der beispielsweise die Überwachung der IT-Infrastruktur mit übernimmt. Das hat auch etwas mit Effizienz zu tun, weil die Spezialisten dann gebündelt sind. Die sehen viel, was in anderen Systemen passiert und können das dann wieder standardisiert über mehrere Unternehmen ausrollen. Trotzdem gibt es größere Unternehmen, die alles komplett im Haus haben, für die wir dann auch direkte Ansprechpartner sind.

NinjaOne betreibt eine Plattform. Was sind deren wichtigste Automatisierungsfunktionen?

Der aus meiner Sicht wichtigste Punkt neben dem reinen Patching ist das Thema Backups – ein wichtiger Teil der Security. Backup-Automatisierungen funktionieren ideal im Zusammenspiel mit Patches. Und das ist auch der Grundgedanke von NinjaOne: Eine Lösung für alles.

Die Plattform bietet mehr Transparenz für die Geräte und Schnittstellen der Unternehmen. Was bedeutet mehr Transparenz?

Es geht um den Status der Systeme, was neben dem Thema Automatisierung fundamental für die Security ist. Daher ist das Monitoring der Systeme enorm wichtig für die Sicherheit. Die Kunst ist es, aus der Fülle der Daten und den tausenden Dingen, die gemessen werden, den Sicherheitsstatus herauszulesen, um die Verwaltung der Geräte und das Alerting zu optimieren. Hier bietet die Plattform von NinjaOne enorme Unterstützung.

 

Andre Schindler

ist General Manager EMEA and Vice President Strategic Partnerships des Unified-IT-Management-Plattform-Anbieters NinjaOne