Einheitliche Sicherheit an verteilten Standorten

Verteilte Standorte

Die Gründe für verteilte Unternehmens-Standorte liegen auf der Hand. Ziel ist es, dem Kunden, der Produktion, dem Zulieferer oder der besseren Infrastruktur nahe zu sein. Verteilung der Standorte bedeutet, weniger Reisezeit und damit weniger Kosten.

Aber gerade, wenn die Standorte deutlich kleiner sind als der Hauptsitz oder die Hauptniederlassung entstehen Herausforderungen, wenn es um die IT-Sicherheit geht.

Umsetzung des IT-Sicherheitskonzepts

Das für den Hauptsitz definierte IT-Sicherheitskonzept muss auch auf die neuen Standorte angewendet werden. Ist das Sicherheitskonzept bereits so aufgebaut, dass die Umsetzung an anderen Standorten möglich ist, besteht die Herausforderung, die Anforderungen aus dem Sicherheitskonzept budgetverträglich umzusetzen.

Für die effiziente Umsetzung der IT-Sicherheitsmaßnahmen wird in der Regel ein hybrides Konzept benötigt. Zum einen werden bestimmte Sicherheits-Maßnahmen lokal am Standort implementiert und schützen den äußeren Ring der Infrastruktur. Die Konfiguration des Schutzes wird häufig am Haupt-Standort umgesetzt, um den Gesamtkontext nicht aus den Augen zu verlieren und sicherzustellen, dass der Aufwand nicht an allen Standorten anfällt.

Getreu dem Motto „Die Kette ist so stark wie ihr schwächstes Glied“, ist erklärtes Ziel, das etablierte Sicherheits-Niveau nicht durch verteilte Standorte einzubüßen.

In der Praxis fällt es ggfs. schwer, alle Aspekte des Sicherheitskonzepts stets im Auge zu behalten. Die Systeme, die regelmäßig ins Monitoring laufen und dort ggfs. Alarme auslösen, sind da noch eher im Fokus als Systeme, die sich ruhiger verhalten.

Gesamtkontext herstellen

Hilfreich bei der Verwaltung der verschiedenen Standorte ist es, wenn ein Gesamtkontext aller Systeme und damit auch Abhängigkeiten zwischen Standorten, Systemen und Prozessen hergestellt werden kann.

Ein möglicher Ansatz für die Betrachtung verteilter Standorte ist die Infrastrukturmodellierung, in der die Infrastruktur als eine Art logische Blaupause in ein Modell überführt wird. Dort beschreibt die Kombination aus jeweiligen Assets den Standort, den Prozess oder die Kommunikations-Verbindung.

Über den Asset-Ansatz lassen sich schnell neu hinzugekommene Standorte abbilden, ohne die Aktualität der vorangegangenen Systeme zu gefährden. Vielmehr wird der Gesamtkontext regelmäßig erweitert.

Automatisierung

Jeder, der einmal die Aufgabe hatte eine IT-Infrastruktur-Dokumentation zu erstellen, kennt die Aufwände, die dafür anfallen genau wie das Grundproblem: Die Infrastruktur ist permanenten Veränderungen unterworfen, sodass eine vor kurzem erstellte IT-Dokumentation heute bereits veraltet sein kann.

Um die Aufwände für die Dokumentation nicht ins Unermessliche zu treiben, ist die automatisierte Informationsbeschaffung einer der Wege die Dokumentation anzupassen.

Wird bei der Beschreibung der Infrastruktur auf einen Modell-Ansatz zurückgegriffen, besteht über Schnittstellen zu aktiven IT-Systemen die Möglichkeit, neue Informationen direkt in das bestehende Modell zu integrieren.

Das stellt nicht nur die Aktualität der Dokumentation sicher, sondern auch, dass die Zusammenhänge der Standorte und Prozesse korrekt bleiben.

Sicherheits-Niveau bestimmen

Gerade wenn mehrere Standorte beteiligt sind, ist es wichtig, das Sicherheits-Niveau des Unternehmens im Gesamtkontext regelmäßig zu bestimmen, um bei Bedarf frühzeitig gegen zu steuern, sollte der Sicherheitswert in einen kritischen Bereich rutschen.

Wird ein CAD-Modell für die Infrastruktur-Dokumentation genutzt, lässt sich das Sicherheits-Niveau direkt aus dem Modell über eine Angriffs-Simulation ableiten. Das spart Zeit und stellt sicher, dass die Betrachtung im Gesamtkontext erfolgt.

Über das zusammenhängende Modell inkl. aller Standorte lässt sich ein Sicherheitswert ableiten, der das Sicherheits-Niveau im Unternehmens-Kontext wiedergibt. Wird dieser quartalsweise bzw. monatlich abgeleitet, lässt sich der Verlauf des Sicherheits-Niveaus erkennen. Wird ein Standort schlechter oder hat die Einführung eines neuen IT-Dienstes größere Auswirkungen als gedacht? All das lässt sich über die Simulation beantworten.

Dabei erfolgt die Sicherheits-Bestimmung beispielsweise dadurch, dass die Assets, die für die Beschreibung der IT-Infrastruktur genutzt werden, auch valide Informationen zu den potentiellen Angriffs-Gruppen und den dagegenstehenden Verteidigungs-Möglichkeiten bieten. Entweder bringen die Assets diese Informationen selbst mit, oder die Informationen werden über Schnittstellen zu Vulnerability-Management-Systemen oder CERTs geprüft.

Sprechen Sie uns an!

Kontakt

Menü