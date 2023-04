Martin Buck Head of Competence Center Security, CISO bei der BNC AG Nach seinem Universitätsstudium der Informatik und BWL in Deutschland war Martin Buck nicht nur Teilhaber und Partner der AVANTEC AG, sondern war auch als IT-Security Engineer im Einsatz. Im Anschluss arbeitete er im Verkauf und als Senior ICT Architekt bei der Sidarion AG. Im Jahr 2018 übernahm Martin Buck die Position als Sales Director Zürich bei BNC und ist seit 2019 Head of Competence Center Security.

Unternehmen stehen im Spannungsfeld zwischen neuen Arbeitsmodellen, veränderten Firmenstrukturen und zunehmenden Cyberbedrohungen. Welchen Beitrag kann SASE an diese neuen Begebenheiten leisten?

Die SASE-Architektur erlaubt es durch die Konsolidierung von Netzwerk- und Security-Funktionen, ein zentrales, einheitliches Regelset zum Zugriff auf Unternehmensressourcen sowohl im eigenen Datacenter als auch in der Cloud, sowie gleichzeitig für den gesicherten Internetzugriff für alle User unabhängig vom momentanen Arbeitsort (z. B. Homeoffice, Büro, unterwegs) umzusetzen. Das erleichtert die Administration und verbessert gleichzeitig das Nutzererlebnis durch konsistente Arbeitsabläufe. Dabei können Zero-Trust-Mechanismen zur Verifizierung von User-Identitäten, Endgeräten und Applikationen angewendet werden. Damit wird die Angriffsfläche deutlich reduziert und die Chance, Attacken frühzeitig zu erkennen, entsprechend erhöht.

Wie komplex ist die Transformation zu SASE für Unternehmen?

Ein schnelles SASE-Roll-out zur Vernetzung aller Standorte und der mobilen Nutzer ist durchaus möglich. Doch die Umsetzung einer Zero-Trust Policy bringt eine gewisse Komplexität mit sich: Für viele Unternehmen ist es schwierig zu bestimmen, welche Benutzer genau welche Applikationen nutzen sollten. Zudem ist die Durchsetzung einer Zero-Trust Policy mit herkömmlichen Technologien sehr aufwendig. Durch die Konsolidierung der verschiedenen Netzwerk- und Security-Disziplinen in einem SASE-Ansatz erhält das Unternehmen erst die Visibilität über die Aktivitäten aller User und damit die Möglichkeit, iterativ die Policies einzugrenzen sowie das Zero Trust Modell flächendeckend anzuwenden.

Welche Voraussetzungen brauchen Unternehmen, um SASE nutzen zu können?

SASE bringt einen Nutzen für verteilte Organisationen mit mindestens 5 Standorten, national oder international. Darunter kann man die Technik natürlich nutzen, aber der Mehrwert ist eher gering, da die Umgebungen meist weniger Dynamik aufweisen.

Wie unterscheidet sich SASE von traditionellen Netzwerk- und Sicherheitslösungen?

Der Unterschied liegt in der Konsolidierung von bisher getrennten Funktionen für Netzwerk-Verbünde (z.B. SD-WAN) und Sicherheitsgateways für Firewalls, Remote Access, Web-Security, etc. zu einer Gesamtlösung, die viele Management-Aspekte automatisiert. Dadurch können konsistente Policies einfacher durchgesetzt und Kosten für den Betrieb und Unterhalt gespart werden.

Die SASE-Plattformen überwachen sämtliche Datenströme und Netzwerkverbindungen. Wie sieht es hinsichtlich Datenschutzbedenken aus?

Die Datenschutzbedenken gibt es natürlich. Aber es werden keine Daten gespeichert, nur weitergeleitet und auf die Sicherheit hin untersucht. Zudem wird der Datenschutz und die Vertraulichkeit der Daten vertraglich gewährleistet. Für Kunden, welche die Cloud meiden wollen, bietet BNC auch den Secure Access Service komplett ohne Cloud-Komponenten an.

Reicht SASE als Schutz gegen Bedrohung aus oder braucht es noch andere Sicherheitsmassnahmen?

Wie gesagt ist SASE eine Netzwerk-Security-Lösung. Damit können auch nur Sicherheits-Vorfällte erkannt werden, die sich im und über das Netzwerk abspielen. Dies dafür aber sehr umfassend. Für eine umfängliche Sicherheit eines Unternehmens werden weitere Sicherheitslösungen benötigt für Identity-Management, E-Mail-, Collaboration- und Endpoint Security oder sichere Softwareentwicklung, um nur ein paar Beispiele zu nennen. Wichtig ist aus meiner Sicht, dass im Unternehmen dafür eine Sicherheitsplattform gebaut wird, welche die verschiedenen Aspekte miteinander integriert und Daten dazwischen austauscht. Und neben all der Technik benötigt es eine gute Security-Awareness bei allen Mitarbeitenden und passende Prozesse, um die Informationssicherheit gewährleisten zu können.

SASE wird in der Cloud betrieben. Welche Vorteile aber auch mögliche Risiken bringt das mit sich?

Ja, das E für Edge in SASE deutet auf den Cloud-Charakter der Lösung hin. Dies bringt den Vorteil, dass ein Unternehmen scheinbar keine lokalen Ressourcen zur Verfügung stellen muss, um diese Lösung zu betreiben. Allerdings benötigt man an Aussenstandorten immer eine Zugangsbox oder einen Software-Agent und einen Internetanbieter. Dies wird von den Anbietern oft verschwiegen und ist nicht im Service inbegriffen. Und wie man es von Ausfällen bei Amazon und Microsoft in den letzten Jahren gelernt hat, ist der eigene Handlungsspielraum stark eingeschränkt, wenn die Cloudplattform ein Problem hat. Dann funktionieren auch alle darauf laufenden Dienste nicht mehr.

Mit dem BNC Secure Access Service kann diese Abhängigkeit reduziert werden, indem das Verbindungsmanagement bis an alle Standorte und auf die mobilen Endgeräte als Teil des Services ausgedehnt wird.