So beugt Security Architecture einem Flickenteppich vor

Die Herausforderung: Komplexität statt Kontrolle

Die heutige IT-Sicherheitslandschaft gleicht einem endlosen Wettrüsten: Auf jede neue Bedrohung folgt ein neues Tool. Was einst mit einer simplen Firewall und Antivirensoftware begann, hat sich zu einem unübersichtlichen Arsenal aus XDR, SIEM, PAM, SASE und vielen weiteren Abwehrmechanismen entwickelt.

Das Ergebnis? Überfrachtete Sicherheitsumgebungen, schwer zu betreiben, noch schwerer zu überblicken – und in der Praxis oft nur an einzelnen Stellen wirksam.

Mittendrin: die IT-Abteilungen.
Sie sollen den steigenden Anforderungen gerecht werden, doch kämpfen dabei mit einem Dilemma: Immer komplexere Systeme müssen mit zu wenig qualifizierten Ressourcen betrieben, integriert und verstanden werden. Die Fachkräfte fehlen, der Druck steigt – und jede neue Lösung bringt zusätzliche Reibung ins System.

Deshalb greifen viele Unternehmen zu Managed Services oder SaaS-Lösungen – ein sinnvoller Schritt, aber kein Allheilmittel. Denn was dabei oft verloren geht, ist das Zusammenspiel: Kollaboration, Abstimmung und Gesamtüberblick bleiben auf der Strecke. Erst ein SOCaaS soll das im Nachhinein kitten.

Mit etwas Abstand wirkt die IT-Sicherheitsarchitektur vieler Unternehmen nicht wie eine solide Festung – sondern eher wie ein windschiefes Haus kurz vor dem Abriss.

Das eigentliche Problem?
Nicht der Mangel an Tools – sondern das Fehlen von Struktur, Strategie und Klarheit.

Der Denkfehler: Produkt vor Plan

Zu häufig beginnen Unternehmen bei einem akuten Sicherheitsproblem mit der Produktsuche. Dabei wird vergessen, dass jedes Sicherheitswerkzeug nur dann seine Wirkung entfaltet, wenn es in eine klare Gesamtstrategie eingebettet ist. Herstellermarketing und Zeitdruck fördern Schnellschüsse – nachhaltige Sicherheit bleibt dabei oft auf der Strecke.

Stattdessen sollten Sie sich folgende Fragen stellen: Wohin wollen wir? Wie bauen wir das Schutzsystem? Was brauchen wir konkret?

Von der Festung lernen: Eine strukturierte Analogie

Sicherheit lässt sich gut mit dem Bau einer Festung vergleichen:

// Strategie: Wie gross soll die Festung werden? Welche Werte gilt es zu schützen? Wer sind die Bewohner?

Die Security Strategie gibt den Rahmen vor, was für ein Schutzniveau erreicht werden soll über die nächsten 5-7 Jahre. Eine Festung wird nicht von heute auf morgen gebaut. Man sollte wissen, wie hoch und dick die Mauern werden sollen und welche Assets besonders geschützt werden müssen. Wie viele Soldaten in der Festung Platz finden sollen und wer ausser dem Fürsten noch geschützt werden muss. 

// Architektur & Konzeption: Wo wird gebaut? Welche Verteidigungselemente sind nötig? Welche Standards gelten?

In der Security-Architektur werden die Verteidigungslinien geplant: Braucht es Mauern oder Wassergräben? Ist das Gelände dafür geeignet? Welche Ressourcen müssen berücksichtigt werden? Erst wenn diese Grundzüge stehen, kann der Standort der „Festung“ sinnvoll gewählt werden.

In der Konzeptionsphase werden dann Standards definiert, nach denen gearbeitet wird, damit alle am gleichen Ziel mitarbeiten. In der Analogie vielleicht, ob Backsteine oder Natursteine für die Mauern verwendet werden sollen, ob es einer dicken oder mehrerer dünnere Ringmauern bedarf. 

// Design: Welche konkreten Features (z. B. Zugangskontrollen, Monitoring) werden wo implementiert

In der Design-Phase werden die Details definiert: Welche Schiessscharten braucht es – und für welche „Waffen“? Wo liegen sensible Bereiche und wie werden sie geschützt? Erst wenn diese Feinplanung steht, beginnt die Beschaffungsphase.

Nur mit dieser Vorgehensweise lässt sich vermeiden, dass man ein schönes Tor baut – aber vergisst, eine Mauer daran anzuschliessen.

Ein Beispiel aus der Praxis: Struktur statt Schnellschuss

Ein Kunde von BNC stand vor der komplexen Aufgabe, hochsensible personenbezogene Daten zu schützen – bei gleichzeitig einfachem Zugriff für berechtigte Nutzer. Die Ausgangslage:

• SaaS-first-Strategie
• Homeoffice als Standard
• Zero Trust als tragende Philosophie

Die Realität der IT-Infrastruktur war jedoch vielschichtig: Ein eigenes Rechenzentrum, gehostete Dienste bei Partnern und eine heterogene Softwarelandschaft sorgten für hohe Komplexität.

Unsere Antwort war kein weiteres Security-Tool, sindern ein strategisch getriebener Ansatz:

// Schritt 1: Schutzbedarfskonzept

• Daten wurden anhand klarer Schutzklassen kategorisiert
• Anforderungen an Sicherheit und Zugriff daraus abgeleitet
• Ergebnis: ein systematischer Überblick über Risiken und Schutzziele

// Schritt 2: Architektur und Zonenkonzept 

• Auf Basis des Schutzbedarfskonzepts entstand ein konsistentes Sicherheitsfundament:
• Netzwerk-Zonenkonzept zur Trennung und Absicherung von Systemen
• Schutzkonzepte für IaaS und SaaS
• Richtlinien für die Softwareentwicklung zur Absicherung des Entwicklungsprozesses

// Schritt 3: Design & Konsolidierung

In der Designphase wurden die Anforderungen der unterschiedlichen Nutzergruppen gebündelt. Ergebnis:

• Entwicklung einer SASE-Architektur,
• die bestehende Komponenten wie Firewalls, WAN, Internetzugänge und Remote Access integriert
• und so den Startpunkt für eine konsistente Sicherheitsplattform bildet

// Schritt 4: Auswahl & Umsetzung

• Auf Basis eines klaren Anforderungskatalogs wurden Angebote eingeholt und bewertet
• Eine Ziellösung wurde ausgewählt
• Die Implementierung erfolgte mit enger fachlicher Begleitung, um sicherzustellen, dass sowohl Sicherheitsziele als auch Nutzeranforderungen erfüllt wurden

// Das Ergebnis: Weniger Komplexität, mehr Sicherheit

• Klare Struktur und Transparenz in der Sicherheitsarchitektur
• Reduzierte Komplexität und vereinfachte Administration
• Höheres Schutzniveau bei gleichzeitig besserer Nutzerfreundlichkeit
• Nachhaltige Umsetzbarkeit der Sicherheitsstrategie

Fazit: Sicherheit ist kein Produkt – sondern ein Prozess

IT-Abteilungen stehen unter Dauerstress: zu viele Tools, zu wenig Ressourcen, kaum Raum für Strategie. Jeder neue Sicherheitsbaustein wirkt wie ein weiterer Flick auf einem instabilen System.

Was fehlt, ist nicht Technologie – sondern eine klare, gemeinsame Richtung. Erst wenn IT, Netzwerk, Dev-Teams und externe Partner an einem Strang ziehen, entsteht echte Sicherheit: strukturiert, abgestimmt, tragfähig.

Der Schlüssel liegt in der Strategie.
Nicht in der nächsten Lösung, sondern im übergreifenden Ansatz. Wer IT-Sicherheit als ganzheitliches Projekt denkt, entlastet seine Teams, schafft Klarheit – und legt den Grundstein für eine digitale Festung, die hält.