In einer Zeit wirtschaftlicher Unsicherheiten wird das IT-Security-Benchmarking für Unternehmen immer wichtiger. Unternehmen müssen im Kontext der aufziehenden Rezession in Europa die Effizienz Ihrer IT Infrastruktur maximieren ohne dabei Sicherheit & Produktivität abzugeben.
Die letzten Jahre waren am IT-Markt sehr spannend. Neue Hersteller, Ansätze und Technologien sind aus dem Boden geschossen und Kunden hatten eine hohe Bereitschaft die Produkte zu adaptieren und Kaufen. Security-Produkte für jede noch so starke Nische sind entwickelt und verkauft worden, auch gerade weil Budgets locker sassen.
Dies ändert sich aktuell massiv. Unternehmen müssen sparen, gerade auch in der IT. Für die meisten Unternehmen macht es keinen Sinn, für die letzten 5% Security nochmal 50% mehr Budget aufzuwenden. Eine solide, effiziente und gut aufeinander abgestimmte Gesamtlösung die auf 90% kommt reicht für die meisten Unternehmen aus.
In
Security sollte nicht als Mass aller Dinge betrachtet werden. Wenn ein Unternehmen maximal sicher ist, aber kein attraktives Ziel für Angreifer ist oder aufgrund der hohen IT-Ausgaben keine wichtigen Investitionen mehr tätigen kann, kann langfristig nicht erfolgreich sein. Darum ist es hochgradig wichtig, Security im Kontext zu betrachten.
Folgende Fragen sind dabei zu evaluieren:
Wenn es darum geht die Kosten zu senken, muss man sich zuerst überlegen, wie viel Risiko man verkraften kann oder möchte. Will ich das Risiko auf 3% minimieren, oder reichen mir 10%? Sobald diese Frage geklärt ist, kann man sich überlegen, mit welchen Systemen man wie viel Risiko mitigieren kann. Dazu macht es Sinn, sich anzusehen, was die häufigsten Angriffsvektoren sind und seine Verteidigungslinie dagegen auszurichten.
Die Baseline erreicht man einfach durch das Ausnutzen von Quick-Wins.
Die mit Abstand häufigsten Vektoren und dazu passenden Verteidigungsmechanismen, also Quick-Wins sind:
Wenn Sie diese Grundprinzipien beachten, haben sie bereits eine sehr gute Baseline. Diese zu erreichen ist auch nicht teuer. Bei Rheintec verstehen wir das als Basis. Darunter gehen wir nicht, weil wir seriös agieren. Darunter zu gehen macht auch nur in absoluten Ausnahmefällen Sinn.
Die Anschlussfrage die sich stellt ist, wie man am besten, einfachsten und schnellsten diesen Status erreicht. Dabei gibt es drei Dimensionen die beachtet werden sollten:
Grundlage ist der Berechnungszeitraum, üblicherweise 3, 5 oder 10 Jahre: Wie viel Kostet mich die Infrastruktur über den gesamten Zeitraum. Je nach gewähltem Zeitraum, schrumpfen Einmalaufwände entsprechend über die Jahre gelegt zusammen, während wiederkehrende Kosten an Bedeutung gewinnen.
Einmalaufwände fallen dabei üblicherweise für Hardware wie Firewalls, Proxies, Server, Virtualisierung und Netzwerk-Komponenten sowie die dafür nötige Integration durch Partner oder intern an. Übliche Lifetimes solcher Systeme liegen zwischen 5-8 Jahren. Danach müssen die Systeme ausgetauscht werden. Da dies gerade in kleinen Umgebungen mit einigen hundert Mitarbeitern uneffizient ist, hat sich der Markt immer mehr in Richtung SaaSifizierung orientiert. Dies macht auch Sinn, weil Unternehmen sich nicht mehr um den Hardwaretausch, Erhaltung, Wartung etc. kümmern müssen und vor allem auch kein Personal mehr dafür vorhalten müssen. Gerade im Netzwerk- und Firewall (WAN-Edge) Bereich ist dies aber der Natur der Sache geschuldet nicht möglich. Wobei: Kleiner Einwand: Mit Zero Trust und 5G ist das mittlerweile grossteils wegdenkbar. Es gibt bereits erste Unternehmen die auf diese Art den grössten Teil Ihres internen Netzwerks wegrationalisieren und nur noch eine generische Basis-Infrastruktur für Drucker und IoT vorhalten (welche tendenziell mit der Verbreitung von 5G und Nachfolgern in diesen Produkten langfristig auch noch wegdenkbar ist).
Wiederkehrende Lizenz-Gebühren steigen tendenziell mit der Verwendung von SaaS Produkten. Da nichts destotrotz die interne Komplexität und damit auch der Aufwand sinkt, sind diese in den meisten Fällen trotzdem Kosteneffizienter. Die Frage ist doch: Kann ich es mir als Unternehmen damit erlauben, mit weniger Personal mehr zu erreichen?
Dennoch geht es auch hier darum, Lizenz Überschneidungen möglichst zu vermeiden. Wenn ich Zero Trust Network Access im Einsatz habe brauche ich nun mal mehr keine grosse Perimeter-Firewall mit allen möglichen Features mehr, die meine Remote-User terminiert und Traffic inspiziert. Zumal Firewall-Hersteller das üblicherweise sowieso mehr schlecht als recht können. Für Standard-User Branches braucht es üblicherweise überhaupt keine Firewall mehr. Ein extrem einfaches, SD-WAN fähiges Netzwerkgerät mit einfachen Segmentierungs-Möglichkeiten reicht völlig aus. Das spart Kosten und Komplexität. Wir empfehlen hier ganz klar Ubiquiti mit seinem Lizenzfreien SD-WAN, zentralem Cloud-Management und absolut genial einfachen Netzwerk-Features.
Um operative Aufwände zu sparen, braucht es vor allem einfache Ansätze mit wenig Komplexität. Auch hier spielt SaaS eine Rolle. Aber auch andere Ansätze wie User-Self-Service, File-Flattening (Mailing), Automatisierung wie Browser-Isolation (Proxy) und die Verwendungen einfacher Remote-Access Lösungen wie Zero Trust anstatt VDIs. Das spart neben Komplexität und VDI-Lizenzen unter anderem auch Microsoft-Lizenzen, weil der Zugriff direkt über Zero Trust auf die Applikation ermöglicht wird.
Wichtiger Punkt ist auch, dass man keine Insellösungen baut, sondern die Auswahl von Herstellern so trifft, dass sie möglichst sinnvoll und tief miteinander integrierbar sind. Stellen sie sich vor, sie schicken jeden Soldaten einzeln an die Front und vergleichen sie das damit, wenn sie eine Gruppe formieren: Natürlich wird die Gruppe unter Ausspielung & Kompensation ihrer individuellen Stärken und Schwächen in Abstimmung miteinander deutlich wirkungsvoller sein!
Bei Rheintec verfolgen wir einen auf Kosten-Effizienz getrimmten Best-Of-Breed Ansatz. Das heisst wir kombinieren die besten Hersteller ihrer Klasse in einem möglichst einfach betreibbaren, möglichst automatisierten und simplen Ansatz und Integrieren sie möglichst tief miteinander, um das maximale an Security herauszuholen. Im Detail empfehlen wir Unternehmen dafür folgenden Ansatz:
Hier gehen wir mit Ubiquiti ins Rennen. Ubiquiti darum, weil das System Lizenzfrei ist, ein zentrales Cloud-Management hat und extrem einfach zu betreiben ist. Für User-Branches und Server-Standorte bis 100 VMs / Servern ist das System absolut ausreichend. Seit der neuen Zone-Based Firewall die mit dem Update auf Network-Version 9.X gekommen ist, lassen sich auch Firewall-Regeln extrem einfach damit managen. Die Netzwerk-Features sind einfach zu bedienen und mächtiger als bei Cisco Meraki. Die Kombination des Produktportfolios mit Switchen, Access-Points und Firewalls ist extrem gut aufeinander abgestimmt. Die Integration mit Zscaler als SSE Lösung ist mittlerweile dank Policy-Based-Routing auch möglich. Das System beschränkt sich insgesamt auf Netzwerk-Segmentierung und Layer 2/3, das kann es sehr gut und für mehr wird es nicht eingesetzt. Security findet in der Cloud statt. Weiterhin ermöglicht es Ubiquiti aus dem Stand 1000 Standorte ohne Aufwand miteinander zu vernetzen und ohne sich um NATing zu kümmern. In diesem Bereich sind sie allen Konkurrenten weit voraus. Mit 100 Gbit/s Switchen lassen sich auch grosse Campusse mit über tausend Nutzern erschliessen.
Hier gehen wir mit Zscaler ins Rennen. Zscaler ist seit 10 Jahren Marktführer im Proxy-Bereich und die Lösung ist als Security as a Service extrem einfach und performant, während sie äusserst umfangreiche Security-Mechanismen mitbringt. Einfacher und effizienter lässt sich Security im User-Kontext nicht ins Unternehmen bringen. Auch kann der Web-Traffic der Server zusätzlich damit geschützt werden, ohne einen Aufpreis zu generieren. Data Leckage Prevention (DLP) ist bereits im System integriert und lässt sich zusätzlich für maximale Ansprüche erweitern. Die Lösung bietet obendrein eine AI um die Microsegmentierung für Administratoren maximal zu vereinfachen. Zscaler ist ausserdem direkt integriert mit CrowdStrike. Die Systeme sprechen miteinander, tauschen automatisiert Risiko-Werte und Metainformationen aus und können gegenseitig über Malware informieren, um Systeme in die Quarantäne zu schicken.
Es gibt einen Grund wieso Cloudflare nach nicht mal 15 Jahren Existenz 40% des weltweiten Webtraffics bedient. Die Lösung ist technologisch extrem stark und vor allem: Extrem günstig. Neben Ubiquiti gibt es wohl keinen derart Kosteneffizienten Anbieter am IT-Markt. Cloudflare bietet bereits in seiner Kostenlosen Version DDoS Protection, Externen DNS-Server und Web Application Firewall mit 5 Regeln an. Für viele Unternehmen im KMU-Sektor ist das schon mehr als sie jetzt haben. Für ein paar Euro im Monat bekommt man dann noch mehr Security und Features, die die SaaS Lösung gesamtheitlich ausser Frage stellen. Wer will kann Cloudflare auch gleich noch als CDN oder modernstes Datacenter für Serverless-Code Applikationen verwenden.
CrowdStrike ist seit fast zehn Jahren Marktführer im Bereich XDR – so lange bin ich auch schon in der IT-Security tätig. Wir haben verschiedene Lösungen hinsichtlich Funktionsumfang, Implementierungsaufwand und False Positives verglichen – das Ergebnis war eindeutig: CrowdStrike ist extrem einfach zu implementieren, liefert selbst bei maximaler Erkennungsstufe kaum Fehlalarme und ist funktional ungeschlagen.
Besonders für Unternehmen, die ihre IT-Sicherheit mit einem zusätzlichen SOC ausbauen wollen: Da rund 50 % der Daten im SOC ohnehin von der Endpoint-Security stammen, ist der Einsatz von CrowdStrikes SIEM- und SOC-Services naheliegend. Wer Falcon Complete bucht, erhält ein vollständig gemanagtes Detection & Response SOC – ganz ohne Komplexität. Natürlich ist es kein vollwertiges SOC mit Analyse von Firewall-Logs, NDRs oder Proxies – aber aus Sicherheitsperspektive kommt es dem sehr nahe und das zu einem Bruchteil der Kosten. Wie oben erwähnt, lässt sich CrowdStrike zudem nahtlos mit Zscaler und Proofpoint integrieren.
Proofpoint ist Marktführer im Bereich Mailing-Security. Dabei haben sie die beste Spam- und Phishing Erkennungsrate am Markt und bieten neben Sandboxing, File-Flattening und Advanced Threat Protection auch wertvolle Automatisierungslösungen für User an. Die Lösung ist extrem einfach integrierbar und äussert Kosteneffizient. Unsere schnellste Implementierung waren 15 Minuten in unserer INTG-Umgebung. Dort natürlich ohne langsamen Rollout, dafür aber mit Tenant Erstellung über das MSP-Portal! Wie bereits erwähnt lässt sich Proofpoint auch äusserst einfach mit CrowdStrike integrieren. Dabei werden Bedrohungsdaten ausgetauscht und automatisiert auf Angriffe reagiert.
Keeper setzt den Fokus auf benutzerfreundliches Passwort-Management und Zusammenarbeit – und das zu einem sehr wettbewerbsfähigen Preis. Es bietet Single Sign-On über dein IdP, starke Verschlüsselung (der selbst das US-Militär vertraut) und praktische Funktionen zur Zusammenarbeit, wie private und geteilte Ordner, die sich IdP-Gruppen zuordnen lassen.
Besonders hilfreich: MFA-Tokens können sicher an Einträge gebunden werden, ohne dass sie extrahiert werden können – ideal, um sich vor Missbrauch durch ehemalige Mitarbeitende zu schützen. Für alle, die noch einen Schritt weiter gehen wollen, bietet Keeper auch eine einfache, aber geniale PAM-Lösung (Privileged Access Manager): Schnell ausrollbar, containerbasiert skalierbar, IdP-kompatibel, mit automatischer Schlüsselrotation, Sitzungsaufzeichnung (SSH, RDP, Datenbanken) – und Verbindungen lassen sich direkt aus dem Passwortmanager starten, einfach per Klick auf das Zielsystem.
Hier muss man klar sagen: Rubrik ist der Ferrari am Markt. Gerade wenn es um DLP und Data-Protection im Enterprise-Bereich geht, sind diese (völlig alleine) Marktführer am Markt, weil andere Hersteller lediglich Backup im Fokus haben. Dabei geht es im Backup vor allem um die Geschwindigkeit, mit der wiederhergestellt werden kann. Hier ist Rubrik ungeschlagen. Auch bieten sie anders als andere Hersteller ein gehärtetes und geschlossenes System mit unveränderlichen Backup-Plänen, die nur über den Support geändert werden können. Das schützt Unternehmen vor der mutwilligen Löschung von Backup daten von übernommenen Backup-Servern. Auch kann Rubrik sowohl SaaS wie M365 oder Salesforce, als auch sämtliche On-Prem und Cloud Ressourcen in einer, zentralen Management Konsole verwalten. Feingranular bis auf einzelne Datenbank-Einträge oder E-Mails zu einem bestimmen Zeitpunkt. Backup kommt schliesslich nicht nur im Angriffsfall zu Zuge, sondern auch wenn Daten versehentlich gelöscht oder verändert wurden und man vielleicht nicht die gesamte Infrastruktur auf den Datenstand vor mehreren Tagen oder Wochen zurücksetzen möchte. Im Bereich DLP spielt Rubrik dann ein weiteres Alleinstellungsmerkmal aus: Sie klassifizieren automatisiert mittels AI die gesamte Datenlandschaft eines Unternehmens. Von Datenbanken bis hin zu unstrukturierten Daten wird alles berücksichtigt. Dank der Integration mit Zscaler, lassen sich diese Klassifizierungen von einer zentralen DLP Lösung wie Zscaler dann an genau einer (und eben nicht 5) Stelle zum DLP-Enforcing verwenden. Die Kombination von Zscaler und Rubrik ist am Markt zum aktuellen Zeitpunkt einzigartig. Kein anderer kann das. Klar gesagt werden muss aber: Rubrik ist teuer und eine Enterprise-Lösung für anspruchsvolle Unternehmen. Wer keine erweiterte Data-Protection, Klassifizierung und DLP benötigt, ist mit Acronis aus Kostengründen besser beraten. Darum empfehlen wir hier je nach Usecase und Anforderung eine der beiden Lösungen.
IT Security muss nicht teuer sein. Es gilt ein gesundes Verhältnis zwischen Kosten und Sicherheitsbedürfnis zu wahren. Der Trick am Ende ist zu wissen wo man hin will und wie man das meiste aus dem eingesetzten Euro heraus holt. Das sichert langfristig eine gesunde Unternehmensinfrastruktur ohne sie kostentechnisch zu stark zu belasten. User-Experience, Integrierte Systeme und Automatisierung sollten dabei im Fokus stehen, damit die Lösung sowohl im Management als auch bei den Endanwendern gut ankommt.