Missing Link: Ăśber die Vorteile uneinheitlicher IT
Hat es Sinn, bei IT alles auf eine Karte zu setzen? Oder erhöht Diversität die Chancen, dass ein Teil Angriffe übersteht? Die indische Perspektive.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Würden Sie lieber in einer Monokulturplantage oder einem Urwald spielen? Die Plantage liefert eine ordentliche, vorhersehbare Ernte. Der Wald hingegen bleib mysteriös und voller Diversität. Und wenn ein Krankheitserreger die Plantage befällt, breitet sie sich rasant aus und vernichtet alles. Im Urwald hingegen stellt sich vielleicht ein Pilz, ein großer Baum, ein kleiner Strauch oder ein hilfreiches Insekt dem Erreger in den Weg.
Heterogene Systeme sind nie ordentlich. Damit sind sie aber auch weniger anfällig. Das womöglich auf IT-Systeme umzulegen, ist eine nähere Betrachtung wert, speziell nach den weltweiten Crowdstrike-Ausfällen vom Juli.
Bluescreens und Lösegeldforderungen können in der IT jede Farbe annehmen und lösen unter Umständen roten Alarm aus. Denn Ausfälle kommen teuer, teurer denn je. Administratoren sind dann von einem "Fix" des Lieferanten abhängig. Da wäre es hilfreich, andere, nicht betroffene Geräte oder Programme als Ersatz hochfahren zu können. Allerdings bieten diese anders aufgesetzten Alternativen den Angreifern auch neue Möglichkeiten, einzudringen. Heterogenität kann also die Resilienz stärken, vergrößert aber auch die Angriffsfläche – und macht die Administration komplexer.
Crowdstrike fĂĽhrt zu Neubewertung
Chief Information Officer (CIO) beurteilen Heterogenität ihrer IT zunehmend im Lichte der IT-Sicherheit, angesichts einer nicht enden wollenden Reihe schwerer IT-Sicherheitsprobleme. "Wir meinen, dass heterogene Lösungen mit unterschiedlichen Plattformen dabei helfen, das Risiko für jedermann zu reduzieren", beurteilt Vinesh Gupta die Sache aus Sicht von Beherbergungsbetrieben. Er leitet das Hotel The Den in Bengaluru und setzt insbesondere für hohe Verfügbarkeit sowie Schutz der Gästedaten auf eine Mischung mehrerer Betriebssysteme.
"Der (Crowdstrike-)Vorfall hat zu ungefähr fünf Stunden Ausfall geführt; dann wurde unser Business-Continuity-Plan wurde aktiviert. Aber was, wenn der Ausfall länger gedauert hätte? Wir haben auch realisiert, dass es nicht reicht, ein Backup zu haben, wenn es nicht ohne Verzögerung und Reibungsverluste in einer anderen Umgebung laufen kann", erinnert sich Gupta, "Daher hilft es, mehrere Plattformen zu haben, auf denen ein Backup sofort und gleichermaßen effektiv laufen kann."
Surjeet Thakur hat mehrere Spitäler in Indien und dem Oman als CIO betreut. Er meint ebenso, dass IT-Diversität immer helfe. Er bevorzugt, die jeweils besten Produkte unterschiedlicher Anbieter zu kombinieren: "IT-Sicherheit ist im Gesundheitsbereich ein riesiger Markt, und auf ein einzelnes Produkt oder einen einzelnen Anbieter zu setzen, hat Vor- und Nachteile." Ein "richtige" Zahl an Lieferanten gäbe es aber nicht. "Der Spielraum für Sicherheitsfehler ist minimal. Die damit einhergehenden Risiken diktieren robuste Ausgestaltung und erlauben keine Zahlenspiele. Fakt ist, dass es nicht viele Anbieter gibt, die ein umfassendes Portfolio an Sicherheitslösungen bieten, das robust und verlässlich ist."
Auf die Diskussion "single vendor vs multi-vendor" will sich Shivraj Borade, Senior Analyst bei der Everest Group, gar nicht erst einlassen. Er hält es für unerlässlich, bei IT-Sicherheit auf Werkzeuge mehrerer Anbieter zu setzen. "Alles aus einer Hand zu kaufen kann die Verwaltung leichter machen, kosteneffizient sein und im Krisenfall für klare Verantwortung sorgen", gesteht Borade zu, "Aber die Realität sieht anders aus. IT hat vier kritische Domänen: Cloud, digitale Arbeitsplätze, IT-Sicherheit und Netzwerke. Jede hat ihre einzigartigen, speziellen Anforderungen."
Gupta hebt die Vorteile eines heterogenen Designs hervor. "Ich habe im Hotel unterschiedliche Netzwerk-Backbones für unterschiedliche Zwecke. Sie sind angepasst an den Wert der Daten und die jeweiligen Geschwindigkeitsanforderungen." Zusätzlich sei Diversität bei den Geräten wichtig, weshalb sein Hotel auf Android und MacOS setzt: "Wir halten Apple für unfehlbar. Aber genau weiß man das nie. Da hilft es, Alternativen zu haben."
Größere Angriffsfläche
Andererseits erhalten Angreifer mehr Chancen, Sicherheitslücken zu finden, wenn die IT-Landschaft eines Betriebs divers ist, unterstreicht Mike Smart, Senior Analyst bei der Beratungsfirma Nelson Hall. "Nicht alles auf eine Karte zu setzen kann die Auswirkungen von Sicherheitsvorfällen begrenzen, weil man Single Points of Failure vermeidet; aber dieser Vorteil besteht nur, wenn man durch starke Zero-Trust-Policies vermeidet, dass sich ein Angreifer lateral von einem System zum anderen Vorarbeiten kann. Ansonsten kann ein Angriff auf ein System schnell auf andere übergreifen." Und: "Zusätzliche Komplexität erschwert das Security Monitoring, die Erkennung von Probleme und deren Lösung."
Senior Analyst Cameron Marsh von Nucleus Research gibt außerdem zu bedenken, dass mehrere Lieferanten zwar die Abhängigkeit reduzieren, aber zusätzliche Komplexität bedeuten. Das kann schlussendlich zu einer Last werden.
