Cyber Security und Homeoffice: Learnings aus der Krise
Zertifizierte Kompetenz, um Angriffe abzuwehren und Werte zu schützen auf der Basis von BSI/ISO. Darum geht es in 15 intensiven Tagen unseres Lehrgangs. Neben Risikoanalysen, Security Frameworks und einem Deep Dive in Cybersecurity-Technologien, schreiben unsere Absolventinnen und Absolventen einen Blogbeitrag.
Wenn alle aufgeschobenen Themen plötzlich an Wichtigkeit zunehmen: Bereits vor dem Lockdown führte diese Frage immer wieder zur Diskussion: Was ist wichtiger zu behandeln, VPN oder direkter Cloud Zugriff? Man ging davon aus, dass Client VPN je länger je weniger Wichtigkeit zugeteilt wird.
Heute sieht die Ausgangslage anders aus. Viele Unternehmen fürchteten beim Start der Homeoffice-Zeit, dass der VPN-Terminationspunkt die neu auftretende Last nicht tragen kann. Doch wer denkt an all die Umsysteme und wer entscheidet im Härtefall, welche Systeme noch benötigt werden und welche nicht? Von einem Tag auf den anderen hat sich die VPN-Nutzung um ein Vielfaches erhöht. Was ist nun höher zu gewichten, die Verfügbarkeit oder die Sicherheit des Service? Welche Subservices werden noch benötigt? Können Sicherheitsmechanismen abgeschaltet werden, die ressourcenintensiv sind? Muss das Windows-Update zwingend auch über VPN verteilt werden, kann dies kurzfristig auch von einem Cloud Distribution Point bezogen werden? Wenn ja, wer bewilligt das benötigte Split Tunneling für den VPN Client, damit der O365 Verkehr nicht mehr über den VPN Client muss?
Die Corona-Situation hat bewirkt, dass Entscheidungswege um ein Vielfaches verkürzt werden können. Dabei wird der Nachhaltigkeit der in dieser Zeit getroffenen Entscheide zu wenig Gewicht gegeben. Es stellt sich die Frage, wer übernimmt die Verantwortung, diese Entscheide nach der Krise nochmals auf ihre Richtigkeit zu prüfen? Viel Klärungsbedarf, um Risiken abzuwägen und zu minimieren.
Ein weiteres, brisantes Thema ist die generelle Performance. Wenn bis anhin die Diskussion war, wie hoch die Downloadrate aus dem Internet ist, hat sich dies nun auf den Upload konzentriert. Auch dieser hat sich von einem Tag auf den anderen verschoben. Dies bringt auf Grund des neuen Datentraffic Mixes auch neue Herausforderungen. Nicht alle Systeme reagieren gleich auf diese Veränderung.
Wie steht es denn um ein Update des Internet Feeds? Muss dieses gemacht werden oder ist das Bezahlen der Burstrate günstiger? Dies ist nur ein Beispiel von vielen Services, bei denen sich die Last verschoben hat.
Herausforderungen in drei Bereichen
Generell kann man die Herausforderungen in drei Themen unterteilen:
- Performance/Verfügbarkeit
- Security
- Management
Performance:
Die tägliche Frage ist, welche Devices wie und vor allem womit ausgelastet sind. Das «womit» nimmt an Bedeutung zu. Wo bisher das reine Verfügbarkeitsmonitoring genügte, reicht dieses nun nicht mehr. Ist bekannt «womit», gilt es zu prüfen, welcher Verkehr wirklich benötigt wird und welcher weggelassen werden kann.
Security:
Security ist in der Regel nichts, das die Performance eines Systems verbessert. Aber in der aktuellen Situation stellt sich konstant die Frage, ob die zusätzliche Last gerechtfertigt ist, respektive die Security Umsysteme für die gleiche Skalierung ausgelegt sind wie die Hauptsysteme. So zum Beispiel, ob der zweite Faktor der Authentifizierung für die gleiche Last ausgelegt ist wie der VPN Server, oder auch ob alle Security Probes gleich viel Durchsatz bewältigen können wie die darüberliegende Firewall. Ist davon auszugehen, dass eines der Security Devices der limitierende Faktor ist, stellt sich die Frage, ob dieses ausgebaut, migriert oder abgeschaltet werden kann. Wenn nicht, muss man mit dem verminderten Service leben.
Management:
In einer solchen Situation ist es unabdingbar zu wissen, wer über welche Entscheidungsfähigkeit verfügt. Es muss klar sein, wie die entsprechenden Stakeholder kontaktiert werden können und wie ihre Entscheide dokumentiert und kommuniziert werden sollen. Allerdings ist es hier wichtig, zwischen Eigennutzen und Security abzuwägen. Nur weil der jeweilige Entscheidungsträger den Service wieder nutzen möchte, heisst das noch nicht, dass er mit geringerer Security ausgestattet sein darf. Die Awareness für die Security sollte vorher geschaffen worden sein, respektive bei der Einführung der entsprechenden Sicherheitskomponente.
Autor: Teilnehmer aus dem CAS Cybersecurity & Information Risk Management
CAS Cybersecurity und Information Risk Management
Beim nächsten CAS Cybersecurity und Information Risk Management dabei sein?
Persönliche Beratung
Sie würden sich gerne persönlich beraten lassen? Senden Sie ein E-Mail an martina.dallavecchia@fhnw.ch und vereinbaren Sie einen Termin.
Dozenten in diesem sehr praxisorientierten Lehrgang sind:
Martina Dalla Vecchia (FHNW, Programmleitung)
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (PwC)
Andreas Wisler (goSecurity GmbH)