{"id":1567,"date":"2025-01-20T04:00:00","date_gmt":"2025-01-20T04:00:00","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=1567"},"modified":"2025-01-20T04:00:00","modified_gmt":"2025-01-20T04:00:00","slug":"diese-security-technologien-haben-ausgedient","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=1567","title":{"rendered":"Diese Security-Technologien haben ausgedient"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
Zeit f\u00fcr eine Frischzellenkur?\n

JL_OFF | shutterstock.com<\/p>\n<\/div>\n

Sicherheitsentscheidern steht eine st\u00e4ndig wachsende Auswahl von digitalen Tools zur Verf\u00fcgung, die sie dabei unterst\u00fctzen, Cyberattacken abzuwehren. Und wie aktuelle Zahlen von Gartner belegen, nutzen sie diese auch ausgiebig: Demnach prognostizieren die Marktforscher<\/a> f\u00fcr das Jahr 2025 einen Anstieg der Ausgaben f\u00fcr Cybersicherheit um 15 Prozent von 87,5 auf \u00fcber 100 Milliarden Dollar.<\/p>\n

Nat\u00fcrlich entf\u00e4llt das Gros dieser Investitionen auf neue Technologien und Features \u2013 insbesondere solche, die einen GenAI-\u201eStempel\u201c<\/a> vorweisen k\u00f6nnen. Allerdings planen CISOs einen Teil ihres Budgets auch daf\u00fcr ein, veraltete Technologien und Praktiken zu substituieren. Welche das sind, haben wir im Gespr\u00e4ch mit Sicherheitsentscheidern verschiedener Unternehmen er\u00f6rtert.<\/p>\n

1. Passw\u00f6rter<\/h2>\n

Richard Marcus, CISO beim Softwareanbieter AuditBoard, macht keinen Hehl aus seiner Ablehnung gegen\u00fcber traditionellen Passw\u00f6rtern<\/a>: \u201eKennw\u00f6rter sind out \u2013 insbesondere in Zusammenhang mit Drittanbietern. Wenn man diese Anmeldedaten nicht diszipliniert rotiert, ist das Risiko einfach zu hoch.\u201c<\/p>\n

Bei AuditBoard nimmt man laut CISO Marcus seit 2024 zunehmend Abstand davon, Passwort-gest\u00fctzte Sicherheitskontrollen einzusetzen. Stattdessen setzt das Unternehmen auf dynamische Methoden zur Benutzerauthentifizierung<\/a>: \u201eWenn wir einen Anbieter selektieren, sagen wir ganz offen, dass wir keine statischen Authentifizierungsmethoden wie Passw\u00f6rter oder Token ausgeben m\u00f6chten. Man muss dabei aber realistisch bleiben: Wenn das bei bestimmten Produkten nicht umsetzbar ist, m\u00fcssen die verwendeten Passw\u00f6rter regelm\u00e4\u00dfig ge\u00e4ndert werden. F\u00fcr uns sind statische Credentials zur Ausnahme geworden.\u201c<\/p>\n

2. Penetrationstests mit Termin<\/h2>\n

Kein Security-Tool, in den Augen mancher Experten aber eine veraltete Strategie: Terminierte Penetrationstests. Diese Ansicht vertritt zum Beispiel Attila Torok, seines Zeichens CISO beim Softwareanbieter GoTo. Er h\u00e4lt insbesondere Pentests<\/a>, die ein- oder zweimal im Jahr abgehalten werden, um Compliance- oder Anbieteranforderungen zu erf\u00fcllen, f\u00fcr \u00fcberfl\u00fcssig: \u201eDas ist nicht geeignet, um die die tats\u00e4chliche Sicherheitslage eines Unternehmens effektiv zu bewerten. Vielmehr handelt es sich um eine Momentaufnahme. Die Umgebung bei GoTo ver\u00e4ndert sich beispielsweise st\u00e4ndig: Wir \u00e4ndern unseren Code mehrmals am Tag \u2013 ein j\u00e4hrlicher Penetrationstest w\u00fcrde also nichts bringen au\u00dfer exorbitante Kosten.\u201c<\/p>\n

Allerdings ist der Sicherheitsentscheider nicht per se ein Gegner von Penetrationstests: Er setzt nach eigener Aussage selbst ein Team ein, das die Goto-Umgebung in regelm\u00e4\u00dfigen Abst\u00e4nden auf Schwachstellen testet<\/a>: \u201eEin dynamischer Ansatz f\u00fcr Pentests ist f\u00fcr Umgebungen, die sich st\u00e4ndig ver\u00e4ndern, die bessere Wahl.\u201c \u00a0\u00a0<\/p>\n

Dar\u00fcber hinaus h\u00e4lt Torok auch Bug-Bounty-Programme<\/a> f\u00fcr effektiver h\u00e4lt als terminierte Penetrationstests: \u201eBei Penetrationstests wird der Anbieter bezahlt, unabh\u00e4ngig vom Ergebnis. Bei einem Bug-Bounty-Programm muss vorab ein bedeutendes Ergebnis vorliegen. Das schafft meiner Meinung nach einen gr\u00f6\u00dferen Anreiz, Schwachstellen zu finden.\u201c<\/p>\n

3. VPNs<\/h2>\n

Begrenzten Mehrwert liefern inzwischen auch Virtual Private Networks (VPNs<\/a>) \u2013 wenn man einigen CISOs Glauben schenkt. Zum Beispiel Pablo Ballarin, Mitbegr\u00fcnder und CISO des spanischen IT-Dienstleisters Balusian: \u201eVPNs machen nur in bestimmtem Kontext Sinn. Etwa, wenn viele Mitarbeiter in ihrem Unternehmen nur \u00fcber eigene Ger\u00e4te verf\u00fcgen und ansonsten keine andere M\u00f6glichkeit besteht, auf interne Services zuzugreifen. Es gibt inzwischen bessere Optionen und erg\u00e4nzende L\u00f6sungen.\u201c<\/p>\n

Die sieht der Sicherheitsentscheider zum Beispiel in:<\/p>\n

Multifaktor-Authentifizierung<\/a>,<\/p>\n

Zertifikat-basierter Authentifizierung, oder<\/p>\n

einer Zero-Trust<\/a>-Strategie.<\/p>\n

Aktuellen Research-Ergebnissen zufolge stellen VPNs inzwischen auch ein nicht zu untersch\u00e4tzendes, potenzielles Einfallstor f\u00fcr Angreifer dar. So wurden laut dem \u201e2024 VPN Risk Report<\/a>\u201c von Zscaler 56 Prozent der in diesem Rahmen befragten Unternehmen mindestens einmal \u00fcber ungepatchte VPN-Schwachstellen angegriffen. Diese Gefahr ist den Studienteilnehmern aber auch bewusst: 91 Prozent der 647 befragten IT- und Sicherheitsexperten \u00e4u\u00dferten Bedenken hinsichtlich der Gef\u00e4hrdung ihrer IT-Sicherheitsumgebung durch VPNs.<\/p>\n

4. On-Premises-SIEMs<\/h2>\n

SIEM-Systeme (Security Information and Event Management<\/a>) k\u00f6nnen potenzielle Bedrohungen und Schwachstellen identifizieren und beheben \u2013 und z\u00e4hlen zu den grundlegenden Sicherheitstechnologien.<\/p>\n

Geht es nach George Gerchow, IANS-Research-Dozent und Interims-CISO bei MongoDB, sollten On-Premises-SIEMs allerdings der Vergangenheit angeh\u00f6ren: \u201eDiese Systeme geben zu viele Warnmeldungen aus und f\u00fchren zu Alert Fatigue<\/a>. Au\u00dferdem sind sie nicht auf die Cloud ausgelegt, was die Anwender dazu zwingt, entweder gro\u00dfe Datenmengen zu bewegen und diese zu speichern. Oder ganz darauf zu verzichten, die Daten zu nutzen, die n\u00f6tig sind, um die Sicherheit von Cloud-Deployments zu gew\u00e4hrleisten.\u201c<\/p>\n

Gerchow erkennt zwar an, dass viele Unternehmen SIEMs On Premises einsetzen, weil sie sensible Protokolldaten nicht in die Cloud stellen wollen. Dennoch h\u00e4lt er daran fest, dass die On-Premises-Zeiten von SIEM vorbei sind.<\/p>\n

5. Konventionelle Firewalls<\/h2>\n

Firewalls geh\u00f6ren schon seit den 1980ern zum Security-Handwerkszeug. Nat\u00fcrlich haben sich auch diese Tools bedeutend weiterentwickelt<\/a> \u2013 allerdings werden einfache, traditionelle Firewalls und WAFs (Web Application Firewalls) den heutigen Anforderungen nicht mehr gerecht. Davon ist etwa Stephanie Hagopian, Vice President bei der CISO-Beratung CDW, \u00fcberzeugt: \u201eDie Firewall als traditionelles Hardware-Asset ist tot. Der Trend geht zu digitalen L\u00f6sungen, zum Beispiel aus der Cloud.\u201c<\/p>\n

Allerdings warnt die Security-Expertin davor, den Umstieg auf solche modernen Firewall-L\u00f6sungen auf die leichte Schulter zu nehmen: \u201eEs geht nicht nur darum, einen Schalter umzulegen. Die neue L\u00f6sung muss konfiguriert und die alte Hardware ausgemustert werden. Und das Team muss lernen, mit der neuen Technologie umzugehen<\/a>.\u201c (fm)<\/p>\n

Sie wollen weitere interessante Beitr\u00e4ge rund um das Thema IT-Sicherheit lesen? <\/strong>Unser kostenloser Newsletter<\/strong><\/a> liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.<\/strong><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Zeit f\u00fcr eine Frischzellenkur? JL_OFF | shutterstock.com Sicherheitsentscheidern steht eine st\u00e4ndig wachsende Auswahl von digitalen Tools zur Verf\u00fcgung, die sie dabei unterst\u00fctzen, Cyberattacken abzuwehren. Und wie aktuelle Zahlen von Gartner belegen, nutzen sie diese auch ausgiebig: Demnach prognostizieren die Marktforscher f\u00fcr das Jahr 2025 einen Anstieg der Ausgaben f\u00fcr Cybersicherheit um 15 Prozent von 87,5 […]<\/p>\n","protected":false},"author":0,"featured_media":1568,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-1567","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/1567"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1567"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/1567\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/1568"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1567"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1567"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1567"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}