Nachgefragt: Interviewserie zu IT-Security und Cloud – Teil 1

Nachgefragt: Interviewserie zu IT-Security und Cloud – Teil 1

Themen wie Cybersecurity, Phishing-Attacken und Datensicherheit in der Cloud sind in aller Munde. Wie ist die Schweiz in diesen Bereichen unterwegs? Wie gut sind wir vor Gefahren aus dem Netz geschützt? Ich habe bei unseren Experten Christoph Ratavaara und Philip Büchler nachgefragt.

Eckpfeiler einer guten Cybersicherheit und der Stand in der Schweiz

Zuerst einmal ganz allgemein, was ist bei der Einführung von Cloud-Infrastrukturen im Bereich Security zu beachten? 

CHRISTOPH: Es sollte von Anfang an darauf geachtet werden, dass ein Konzept für die Einführung und Nutzung der Cloud-Infrastrukturen besteht. Es muss ein Plan ausgearbeitet werden, welche Features eingeführt werden sollen und wie diese geschützt werden.

Wie sehen denn aus deiner Sicht die Eckpfeiler einer guten Cybersicherheit aus? Auf was sollte man achten?

CHRISTOPH: Im Grundsatz sollte man bei der Vergabe von Zugriffen eher restriktiv agieren. Zugriffe offen zu lassen und zu hoffen, dass dies sicher ist, ist schwierig. Besser ist es, wenn man Zugriffe zuerst einschränkt und erst dann weiter öffnet, wenn sie benötigt werden.

PHILIP: Wichtig ist auch eine gewisse Transparenz. Um welche Assets geht es? Welche Zusammenhänge bestehen? Man muss sich bewusst sein, dass man nicht einfach nur ein System einführt, sondern diese Einführung sehr viele Abhängigkeiten mit sich bringt. Wenn ein Unternehmen beispielsweise SharePoint einführt, heisst das nicht nur, dass SharePoint abgesichert werden muss, sondern auch das damit zusammenhängende Azure Active Directory. Auch die Zugriffe der Benutzer und die Geräte, die dazu benutzt werden, müssen in die Rechnung miteinbezogen werden. Das wird dann oftmals sehr schnell sehr weitgreifend. Wichtig ist, dass man die Zusammenhänge erkennt und den Umgang damit adressiert.

Wie ist die Schweiz in Bezug auf Cloud- und IT-Security aufgestellt? Wo stehen wir im Vergleich zu anderen Ländern? 

CHRISTOPH: Das ist in der Schweiz sehr durchmischt. Es gibt viele KMU’s, die ihre Hausaufgaben im Bereich Security nicht gemacht haben und nun Schäden davontragen. Trotzdem glaube ich, dass das Thema Security in den meisten Unternehmen präsent ist und zumindest ein grober Plan besteht, wie in Zukunft damit umgegangen werden soll. Im Vergleich mit anderen bewegt sich die Schweiz wohl in einem guten Mittelfeld. Leider ist es bei uns aber oft so, dass zuerst etwas passieren muss, bevor etwas unternommen wird. Nur sehr wenige Unternehmen handeln hier wirklich pro-aktiv.

PHILIP: In der Schweiz habe ich das Gefühl, dass wir sehr gut aufgestellt waren in Bezug auf die «alte Denkweise», sprich beim Schützen von Perimetern, indem man nur bestimmte Zugriffe zulässt. Dazu passt gut die Analogie einer Burg mit Festung. Aber die «neue Welt», mit Zero Trust und der stetigen Kontrolle über die Sicherheitslandschaft, das Erkennen von Mustern und der Reaktion darauf, ist in der Schweiz noch nicht sehr verbreitet. Da sind uns andere Länder sicher ein Stück voraus. Auch in Bezug auf Security-Fachpersonal und Spezialisten. Diese sind in der Schweiz sehr gesucht und das ist ein sehr anspruchsvoller Job in einem sehr umfangreichen Bereich. Dieses Thema muss die Schweiz sicherlich stark adressieren.

Ich nehme aber an, dass die aktuelle Lage mit COVID-19 der Digitalisierung, bzw. Themen wie Cloud und IT-Security einen Schub nach vorne verpasst hat. Oder wie nehmt ihr das wahr?

PHILIP: Sicherlich bei der Awareness, ja. Ich glaube aber auch, dass man sich bei vielen Themen ein bisschen zu sehr zurück gelehnt hat. Jetzt ist man gezwungen worden, Dinge wie Fernzugriffe rasch zu ermöglichen. Die Unternehmen waren auf das aber meist nicht vorbereitet und so sind nun auch Situationen entstanden, die sicherheitstechnisch nicht unbedingt als optimal gelten. Das Schlimme dabei ist, dass dies vielen oftmals gar nicht bewusst ist. Am gefährlichsten sind immer die Risiken, die man gar nicht kennt. Es braucht ein paar Leute, die sich für das Thema interessieren und methodisch vorgehen. So kann man sich Schritt für Schritt verbessern und sich den neuen Herausforderungen stellen.

Was ich auch beobachte ist, dass viele Unternehmen jetzt ihr eigenes kleines Security Operations Center (SOC) aufbauen. Ich denke, sinnvoller wäre hier, wenn man sich zusammenschliesst und ein paar grosse SOCs aufbaut, wo man die Spezialistenkenntnisse konsolidieren und aufbauen kann. Diese Kompetenzzentren könnten beispielsweise Security-as-a-Service anbieten, was man sich als Unternehmen einkaufen kann. Für ein einzelnes Unternehmen ist es oft schwierig, genügend Spezialisten zu rekrutieren. Ausserdem sind die Situationen oft sehr komplex. Anstatt alles selbst kontrollieren zu wollen, könnte man sich die Leistungen auch bei einem guten Provider einkaufen. Dieses Umdenken wäre sinnvoll.

So etwas gibt es aber noch nicht, oder ist bereits ein Trend in diese Richtung erkennbar?

PHILIP: Jein, wenn man sich beispielsweise in die Cloud einkauft, kann man bereits von sehr vielen Angeboten profitieren. In der Microsoft Welt gibt es schon diverse Dienstleistungen in diesem Bereich. Es gibt auch schon Angebote, wo man sich in ein SOCs einkaufen kann. Ich glaube es macht Sinn, wenn man auf grössere zentrale SOCs setzt. Beispielsweise auch für bestimmte Branchen wie den Finanzsektor oder bundesnahe Betriebe.

Ich danke euch für das informative Gespräch.

Im zweiten Teil des Interviews geht es um die grössten Herausforderungen im IT-Security Bereich und wie wir diesen begegnen können. Der zweite Teil wird nächste Woche veröffentlicht. Bleiben Sie gespannt.

Das isolutions team

Christoph Ratavaara, Team Lead Cloud Security & Communications, isolutions AG

Philip Büchler, Team Lead Consulting and Project Management, isolutions AG

Bei Fragen und Anmerkungen stehe ich jederzeit gerne zur Verfügung. Zögern Sie nicht, mich zu kontaktieren.

Hinterlasse eine Antwort

Kommentare werden moderiert. Es kann etwas dauern, bis dein Kommentar angezeigt wird.