IT-Abteilungen arbeiten heute bereits unter Hochdruck daran, geeignete Sicherheitsstrategien zu implementieren. Sie haben es dabei aber zunehmend schwer. Denn Application Economy und Internet der Dinge (IoT) haben ein komplexes Netzwerk aus Identitäten geschaffen, das die Trennlinie zwischen Innen und Außen im Unternehmen auflöst – und dazu führt, dass traditionelle Sicherheitslösungen nicht mehr greifen. Die gute Nachricht: Unternehmen stehen heute angepasste Werkzeuge zur Verfügung, um kritische Daten in Apps und Systemen zu schützen. Identitätsbasierte Security ist eines davon: Sie wappnet Unternehmen nicht nur für zunehmende Cyberangriffe und GDPR (EU-DSGVO), sondern sorgt gleichzeitig für zufriedene Kunden.
DevSecOps: Sicherheit in Entwicklung und IT-Betrieb
Sicherheit muss heute schon im Kleinen ansetzen und bei der Entwicklung und Qualitätskontrolle von neuem Code, konkret gesprochen bei DevOps, eine Rolle spielen. Für die meisten Unternehmen ist DevOps heute keine schleierhafte Bezeichnung mehr, sondern eine Unternehmensphilosophie, die bereits IT-übergreifend gelebt wird: Einer aktuellen Studie zufolge haben 40 Prozent der deutschen Unternehmen DevOps-Praktiken erfolgreich nicht nur in ihre Softwareentwicklung, sondern auch in die Unternehmenskultur integriert. Mit dem immer gleichen Ziel: Neue Apps und Services sollen schneller auf den Markt gebracht werden als die Produkte von Wettbewerbern.
Doch Geschwindigkeit allein bringt noch keinen Erfolg. Neben einem zügigen Download und schnellen Zugriff erwarten Kunden ein nahtloses Nutzererlebnis und zuverlässigen Schutz. Das erfordert neben einer hohen Qualität des Codes, die über kontinuierliches Testing sichergestellt wird, eine entsprechend hohe Sicherheit. Und die ist dann gegeben, wenn Codes nicht nur sicher geschrieben, sondern auch eingebettet sind in eine sichere IT-Architektur. DevSecOps heißt das Schlüsselwort.
Um DevSecOps Realität werden zu lassen, muss ein Umdenken im Unternehmen stattfinden und Sicherheit von Beginn des Entwicklungsprozesses an mitgedacht werden. Noch immer geben bedenkliche 68 Prozent weltweiter Entscheidungsträger an, Abstriche bei der Security zu machen, um Apps schneller auf den Markt zu bringen. Dieser Ansatz wird künftig nicht mehr tragbar sein: Kunden wollen Anwendungen und Services im digitalen Zeitalter vertrauen können und fordern ein Mindestmaß an Sicherheitsfunktionen, die von Zwei-Faktor-Authentifizierung über das Management privilegierter Zugriffe bis hin zu Least-Privilege-Prinzipien reichen können.
Für Entwickler ist das heute keine Herausforderung mehr. Mit der zunehmenden Verbreitung von Mikroservices und SDKs wird es immer einfacher, Sicherheitsaspekte zu berücksichtigen – ohne dabei den Fokus auf das Nutzererlebnis zu verlieren. Auch ermöglichen Standardarchitekturen und -bibliotheken Entwicklern, Sicherheitslücken zu verhindern oder zu minimieren.
Identität der Dinge im Internet der Dinge: Sicherheit durch Identitätsmanagement
Bringt ein Unternehmen heute eine App auf den Markt, fügt diese sich schnell ein in das große Ganze – in das Internet der Dinge, in dem heute alles miteinander vernetzt ist. In einem offenen Framework kommunizieren Anwendungen mit anderen Anwendungen, das Smartphone mit dem Computer und der Computer mit dem Menschen. Die digitale Interaktion im Internet der Dinge hat viele Vorteile und führt vor allem dazu, dass Geschwindigkeit und Effizienz im Unternehmen – und auch in der privaten Kommunikation – steigen.
In diesem Webinar am 18. Oktober werden Ihnen die unterschiedlichen Wege, ein Software Defined Network aufzubauen, aus strategischer Sicht erklärt sowie die Vorteile der einzelnen Wege aufgezeigt. Außerdem erfahren Sie, welche Aspekte es bei der Auswahl von Technologien und Partnern zu beachten gilt und wie sich auf Grundlage eines SDN eine Vielzahl von Initiativen zur Digitalisierung schnell umsetzen lässt.
Gleichzeitig steigt die Abhängigkeit von Schnittstellen: Nur wenn hier sauber gearbeitet wird, können Daten fließen. Die Menge an APIs, die vielschichtigen Kommunikationsverbindungen und die Varianz in den Gerätetypen erzeugen eine hohe Komplexität – und damit ein erhöhtes Sicherheitsrisiko für Unternehmen.
Absichern können sich Unternehmen deshalb nur dann, wenn sie die interagierenden Menschen, Anwendungen und Geräte immer im Blick haben und stets wissen, was vor sich geht. Das ist möglich, wenn jedem Endpunkt im System eine eindeutige, gleichbleibende Identität zugewiesen wird: Anhand dieser Identitäten können IT-Abteilungen alle Zugriffe, Prozesse und Datenübertragungen genau nachverfolgen – sofern sie eine Identity-Management-Architektur implementiert haben, in der Identitäten und Zugriffsrechte verwaltet werden.
Stammt Nachricht X auch wirklich von Nutzer Y? Welche Zugriffsrechte stehen ihm zu? Die beständige Identifizierung von Nutzern und Anwendungen ist entscheidend für die korrekte Zuweisung von Zugriffsrechten und damit unersetzlich für die effektive Kontrolle von Anwendungen und Services.
Mitarbeiter sind heute mit Konnektivität, Mobilität und Video aufgewachsen oder vertraut. Sie nutzen die dazu erforderlichen Technologien privat und auch für die Arbeit bereits jetzt intensiv. Nun gilt es, diese Technologien und ihre Möglichkeiten in Unternehmen strategisch einzusetzen.
Wie eine Identität nachgewiesen wird, hängt meist davon, ob sie eine Benutzerschnittstelle besitzt oder direkt mit einer Cloud-Anwendung verbunden ist. Was identitätsbasierte Sicherheitsmaßnahmen aber immer gemeinsam haben: Sie nutzen Kontext, Verhaltensanalyse und andere prognostische Konzepte, um sicherzustellen, dass hinter einem Nutzer auch wirklich die Identität steckt, die er zu haben vorgibt. Der Schlüssel zu einer erfolgreichen Sicherheitsstrategie liegt also nicht nur darin, Datenschutzverletzungen durch Analysemethoden proaktiv und prognostisch zu erkennen und zu verhindern. Der Erfolg gründet auch auf einem anpassungsfähigen Ansatz des Identitätsmanagements, das auf die jeweiligen Risiken und Gefahren ausgerichtet werden kann.
Identitätsbasierte Sicherheit und GDPR
Setzen Unternehmen identitätsbasierte Sicherheitsmaßnahmen erfolgreich um, können sie GDPR optimistisch entgegenblicken. Ab 25. Mai 2018 lässt die EU-Datenschutzgrundverordnung Unternehmen gerade einmal 72 Stunden Zeit, um den Diebstahl personenbezogener Daten an Behörden zu melden – ein Zeitfenster, das durch ein effektives Identitätsmanagement umsetzbar ist. Denn Cyberangriffe und Datenmanipulationen können so zeitnah und wirksam erkannt werden.
Im Mai 2018 endet die Übergangsfrist für die neue EU-Datenschutzverordnung. Welche Neuerungen sie bringt, was passiert, wenn sich Firmen nicht daran halten und wie sich Unternehmen vorbereiten können, erfahren Sie im Special auf silicon.de.
Gerade für Unternehmen, die viele Identitäten im digitalen Raum wie externe Mitarbeiter oder IoT-Geräte verwalten und absichern müssen, ist es ratsam, das Identitätsmanagement auf einem Risikomanagement aufzubauen und sensitive Prozesse bzw. Daten zielgerichtet zu betrachten: Je nach Eintrittswahrscheinlichkeit eines Hackerangriffs und potenzieller Schadenshöhe einer Sicherheitsverletzung – die bei Anwendern mit besonderen Berechtigungen besonders hoch ist – werden Risiken klassifiziert und entsprechend intensiv abgesichert.
Identitätsbasierte Sicherheit wird 2017 mehr denn je zum Faktor, der über den Erfolg und die Wettbewerbsfähigkeit von Unternehmen entscheidet: Ganzheitlich umgesetzt in Entwicklung und Betrieb ist sie nicht nur robust im Kampf gegen Cyberkriminalität, sondern auch ein wichtiges Mittel, um GDPR umzusetzen und Vertrauen bei den Kunden zu schaffen. Auch stellt sie sicher, dass Geschwindigkeit und Kundenzufriedenheit nicht unter den erweiterten Schutzmaßnahmen leiden.
Das ist entscheidend, denn Kunden verlangen in der Application Economy mehr denn je optimierte Interaktionen und ein einwandfreies Nutzererlebnis – und wechseln zu einem anderen Anbieter, wenn Störungen den Service belasten. Maximale Kundenzufriedenheit bei minimalem Sicherheitsrisiko: Es ist dieser Spagat, den Unternehmen künftig zu meistern haben.