Wieviel Standard brauchen wir für unsere IT-Security? Und beschleunigen oder hemmen Standards erfolgreiche Entwicklungen und Transformationen?
Ein bisschen Standard
Einigkeit in diesem Thema herrscht sicher bei den einfacheren Kommunikationsstandards. Wir sind darauf angewiesen, dass unsere Netzwerk- und Security-Ausrüstung sich problemlos integriert und mit allen anderen Komponenten interagiert.
Wenn mein Proxy HTTP spricht, versteht und interpretieren kann, so kann ich mit jedem Browser über meinen Proxy auf jede Webseite zugreifen und kann den Proxy auch beliebig austauschen. Leider – oder zum Glück – ist die IT Welt nicht ganz so simpel. Nebst HTTP sollte zumindest doch auch HTTP 1.1 unterstützt sein, TLS und wenn möglich TLS 1.3 wären auch wünschenswert. Mit HTTP/2, Brotli, DoH und OCSP stapling stünden viele weitere Anforderungen an einen Webproxy im Raum. Und dann würden wir ja schon gerne zumindest mittels SNMP den Proxy überwachen können. Und für einen sicheren Kommandozeilenzugriff ist es einfacher, wenn alle Komponenten eine SSH Implementierung vorweisen können.
So bin ich bei der IT Security Basis Infrastruktur darauf angewiesen, dass sie möglichst viele, ja alle möglichen Standards unterstützt. Ein Hoch also auf die Standards? Sie lassen die IT Welt wachsen und gedeihen, sind sie gar die treibende Kraft zur Digitalisierung?
Weg vom Standard...
Das Hoch auf die Standards geht so weit, dass auch bekanntermassen unsichere Standards (Protokolle) noch lange unterstützt werden müssen, im Wissen, dass diese in keiner Weise sicher implementiert werden können. So bin ich heute nach wie vor darauf angewiesen, dass beispielsweise ein Webproxy auch unsichere SSL, Verschlüsselungs- und Hash-Algorithmen unterstützt. Wehe dem Admin, der einen Proxy im Einsatz hat und eine wichtige aber veraltete Webapplikation kann darüber nicht angesprochen werden. Ein Hoch auf die Standards?
Die rasante Entwicklung in der Digitalisierung, neue Angebote und Möglichkeiten wären nicht möglich ohne Standards, anderseits werden die neuen Möglichkeiten und Funktionen nicht so schnell zum Standard erhoben und viele Firmen entwickeln ihr Angebot abseits oder parallel zu einem Standard.
Leider ist dies in der IT-Security auch nicht anders. Standards um Security Komponenten zu steuern und zu managen fehlen weitestgehend. Mittlerweile bieten alle namhaften Hersteller die Möglichkeit, ihre Gerätschaften per API zu steuern und zu konfigurieren, jedoch muss ich für jeden Hersteller meine Bedürfnisse an seine API angleichen.
TEAM, Toll ein anderer macht’s.
Ähnlich verhält es sich bei Austausch von Informationen zwischen den Sicherheitslösungen einzelner Hersteller. Jeder Hersteller bezeichnet sich gerne als „offen“, mit einem „Framework“, in welches alle anderen ihre Informationen ebenfalls einliefern dürfen. Nur wenige Hersteller kümmern sich jedoch darum, Informationen sinnvoll in fremde Systeme einzuliefern. Um die ungleichen Informationen dann in einem System zu korrelieren und auszuwerten bieten sich vielfältige Möglichkeiten in den Toolsets an, die Konfiguration und kontinuierliche Anpassungen an eine dynamische Umgebung ist aber keineswegs out of the box. So kann sich jeder Hersteller auf seine eigenen Schultern klopfen, weil er ja so interoperabel ist. Für den praktischen Einsatz ist jedoch weiterhin aufwändige und immer wiederkehrende Handarbeit notwendig.
…Hin zum Standard
Eine Standardisierung im Bereich des Managements, der Konfiguration und der Auswertung von Security Devices wird neue Möglichkeiten schaffen. Die Security wird wieder produkte- und herstellerübergreifend mit der dynamischen Entwicklung Schritt halten können. Aktuell können dynamische Projekte und Ideen nur abgesichert werden, wenn ich mich auf einen Vendor-Lock einlasse und mich auf wenige (einen?) Hersteller verlasse.
Wird eine Standardisierung erreicht, so wird diese wiederum als Basis für eine neue, fancy Infrastruktur dienen können, welche besser auf einer standardisierten Basis wachsen und sich entwickeln kann. Bis es jedoch soweit ist, sollten wir entweder auf einen grossen und mächtigen Partner setzen oder auf einen, der mit seiner Innovation genau meine Bedürfnisse trifft.
Markus Graf
Markus Graf ist Co-CEO und COO der AVANTEC. Als studierter Elektroingenieur und mit über 20 Jahren Berufserfahrung in der IT-Security braucht es einiges bis er die Ruhe verliert. Nicht nur Produkte, sondern die dahinterliegenden Technologien faszinieren ihn. Und treiben ihn jeden Tag aufs Neue an, sich mit Bedrohungen und Chancen in der IT-Security zu beschäftigen.