Software und IT-Infrastruktur in der Praxis

Grundlagen für eine sichere Digitalisierung schaffen

| Autor / Redakteur: Matthias Haas / Peter Schmitz

Unternehmen müssen für eine erfolgreiche Digitalisierung verschiedene Aufgaben gleichzeitig bewältigen: Sicherheit, Modernisierung, Vernetzung und Compliance.
Unternehmen müssen für eine erfolgreiche Digitalisierung verschiedene Aufgaben gleichzeitig bewältigen: Sicherheit, Modernisierung, Vernetzung und Compliance. (Bild: gemeinfrei / Pixabay)

Nahezu jedes Produkt ist heute smart und Applikationen erweitern Devices um neue Features und Funktionen. Geräte wie Kühlschränke, Herzschrittmacher oder Industrieanlagen werden über intelligente Software gesteuert. Dies wirkt sich ähnlich wie bei klassischen Desktop-Computern auf ihren Lebenszyklus aus. Werden Betriebssysteme oder Programme nicht richtig gewartet, ist ein sicherer Betrieb nicht mehr möglich.

Im aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland 2018 geht das Bundesamt für Sicherheit in der Informationstechnik (BSI) zum ersten Mal auf das Thema Softwarepflege und Gewährleistungspflicht ein: „Ein Produkt, welches zum Zeitpunkt des Kaufs öffentlich bekannte Schwachstellen enthält, muss aus IT-Sicherheitsgesichtspunkten als mangelhaft angesehen werden, wenn auf die Schwachstellen nicht ausdrücklich hingewiesen wird oder kein entsprechendes Sicherheitsupdate beim Kauf zur Verfügung steht. Gleiches gilt auch für Schwachstellen, die während der Gewährleistungsfrist des Produkts bekannt werden. Eine Softwarepflege durch den Hersteller einschließlich der Behebung von Schwachstellen ist somit nicht nur „Stand der Technik“, sondern sollte durch den Verbraucher auch offensiv als Standardleistung eingefordert werden.“

Durch den Wettbewerb in der Softwareentwicklung rückt das Thema Sicherheit bei den Herstellern oft in den Hintergrund, denn Zeit ist hier ein ausschlaggebender Faktor. Um Produkte schneller auf den Markt bringen zu können, wird oftmals schon auf grundlegende Vorsichtsmaßnahmen während der Entwicklung verzichtet. Eine spätere Schließung von Schwachstellen wird dadurch schwierig. Durch das Internet der Dinge und Cloud Computing gewinnt diese Entwicklung zunehmend an Dynamik.

IT-Sicherheitsunternehmen reagierten mit agenten-basierten Tools, die auf jedem Endgerät manuell installiert werden mussten. Damit sollte den Bedrohungen aus dem Cyberraum Einhalt geboten werden. Allerdings sorgen fast täglich neue Sicherheitsvorfälle für Schlagzeilen und die Anzahl an Zero-Day-Schwachstellen wächst immer weiter.

IT-Entscheider müssen über grundlegend neue Ansätze beim Thema Sicherheit nachdenken. Die Digitalisierung wird sich fortsetzen und damit steigt auch das Risiko. Die Warnung des BSI spricht ein ernstes Problem an und dennoch ist es unwahrscheinlich, dass alle Hersteller ihre Produkte in puncto Security umfassend verbessern können. Jede Organisation muss davon ausgehen, dass sie ausnutzbare Schwachpunkte in ihren Netzwerken besitzt.

Fundament stärken anstelle von Flickschusterei

Viele Unternehmen haben nicht das Problem, dass sie zu wenige Sicherheitstools einsetzen oder ihnen das passende Werkzeug fehlt. Eher ist ihre Infrastruktur auch ohne Cyberbedrohungen schon ein reiner Verwaltungsalbtraum. Wartung, On- und Off-Boarding sind unnötig kompliziert und frustrieren sowohl IT-Abteilungen als auch Nutzer – keine gute Grundlage, um Schwachstellen auszumerzen.

Dabei ist die Nutzererfahrung die treibende Kraft der Digitalisierung. Mit der Einführung von Office 365 kann von einer Zeitwende gesprochen werden, denn Arbeitsplätze sind damit so mobil wie nie zuvor. Fortschrittliche Bürosoftware macht aber noch keinen Workspace. Viele Organisationen setzen für die verbesserte Bereitstellung von Desktop-Arbeitsplätzen schon lange auf Virtualisierung, da sie hier eine Lösung der geschilderten Probleme sehen.

Theoretisch ist das richtig: Virtuelle Umgebungen sind leichter zu konfigurieren und bieten eine bessere Grundsicherheit. Schwachstellen können besser geschlossen oder isoliert werden. Zudem sind Arbeitsplätze besser skalierbar und können wesentlich schneller ausgerollt werden. Es geht aber um Umgebungen, die sich rein über Software definieren - mit den erwähnten Problemen: Thin Clients und andere Devices unterschiedlicher Hersteller sind nicht kompatibel mit der gelieferten Software, einzelne Geräte sind nach einem Versionswechsel nicht mehr nutzbar, bestimmte Programme oder Peripheregeräte wie Drucker werden nicht unterstützt oder lassen sich nicht richtig verwalten, Compliancevorgaben können nicht eingehalten werden und so weiter.

Der springende Punkt ist eben die eingesetzte Software. Die Abstimmung zwischen Endpunkt, Virtualisierungslösung und der eigenen IT-Infrastruktur muss stimmen. Und dies geschieht nur mit der richtigen Architektur. Ähnliches gilt beim Thema IoT. Schon bei der Entwicklung darf nicht an Sorgfalt gespart werden. Außerdem ist der Hersteller in der Pflicht, die Software regelmäßig upzudaten.

IT-Entscheider müssen überlegen, wie sie Endgeräte verwalten. Oft mangelt es an einer wirklich einheitlichen Management-Plattform und IT-Abteilungen haben einen erheblichen Mehraufwand beim Ausrollen und der Pflege von Devices. Besonders, wenn es zu unerwarteten Kompatibilitätsproblemen kommt. Nur selten wird eine IT-Landschaft von Grund auf neu erstellt. Viel mehr gibt es fast immer Legacy-IT. Speziell bei der Integration von smarten Geräten sollten Unternehmen genau prüfen, wie gut ein Hersteller im Bereich Software aufgestellt ist.

Passende Architektur bringt großes Unternehmenspotenzial zutage

Bei virtuellen Desktop-Umgebungen ergibt es beispielsweise keinen Sinn auf überladene Betriebssysteme zu setzen. Das OS sollte so schlank wie möglich und gezielt für den Einsatz in Unternehmen programmiert sein. Häufig bringen sich Organisationen in unnötige Gefahr, da Features aus Consumer-Systemen Schwachpunkte enthalten, die von Kriminellen ausgenutzt werden können. Diese werden im Unternehmensalltag nicht genutzt, sind aber trotzdem in vielen Standardpaketen enthalten.

Gleichzeitig müssen Ansätze wie Security-by-Design und Security-by-Default von Anfang an beachtet werden und IT-Verantwortliche sollten sicher gehen, dass Treiber und Applikationen aus der bereits bestehenden Infrastruktur kompatibel sind. Entscheider sollten den Hinweis des BSI zur Wartung der Software beachten und sicherstellen, dass ein Vendor die Pflege seiner Produkte ernst nimmt.

Beachtet man dies, ist es wesentlich leichter, branchenspezifische Standards oder gesetzliche Vorgaben umzusetzen. Mit dem richtigen Partner sind Organisationen zudem gewappnet, wenn es um die sichere Integration von neuen Technologien geht. Verfügt ein Anbieter über eigene Entwicklungskapazitäten und Erfahrung, kann er genau auf die Bedürfnisse der Nutzer und IT-Fachkräfte eingehen.

Fazit

Die Gefahrenlage hat sich grundlegend geändert und Cyberangriffe sorgen vermehrt für Schlagzeilen. Gleichzeitig stehen Unternehmen unter zusätzlichem Druck: Sicherheit, Modernisierung, Vernetzung und Compliance – all diese Aufgaben müssen in der Praxis umgesetzt werden und die Software steht dabei im Kern der Digitalisierung.

Die Warnung des BSI richtet sich sowohl an Hersteller als auch an die Nutzer. Cyberkriminellen steht nicht nur immer ausgeklügeltere Malware zu Verfügung, sie finden auch eine Vielzahl von Schwachstellen in ungepatcher Software und unzureichend verwalteten Virtualisierungsumgebungen. Um dieser Bedrohung entgegenzuwirken, müssen IT-Entscheider daher die benötigten Grundlagen schaffen. Besonders wichtig ist, die Arbeitsplätze der Mitarbeiter richtig zu verwalten und abzusichern – ohne dabei Kompromisse bei den Vorteilen der Digitalisierung einzugehen.

Über den Autor

Matthias Haas ist CTO der IGEL Technology GmbH.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45900825 / Allgemein)