:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
„Sicherheitsverantwortliche können gar nicht paranoid genug sein“ Das Ende der Unschuldsvermutung in der IT-Sicherheit
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Wie können Unternehmen und Organisationen sich gegen immer raffiniertere Cyberangriffe wappnen? Ist Sicherheit im Umfeld immer komplexerer Software-Architekturen überhaupt noch realisierbar? Ja, denn eine Zero-Trust-Strategie und die richtigen Datenlösungen können das Risiko eines Insider-Angriffs begrenzen und lassen unlautere Akteure selbst dann alt aussehen, wenn sie „Insider“ sind.
Für IT-Sicherheitsexperten war 2022 ein arbeitsreiches Jahr. Zu den vorhandenen Cyberrisiken durch Datenschutzverletzungen oder Ransomware-Attacken kamen vor dem Hintergrund der angespannten geopolitischen Situation neue. Zu den üblichen Cybercrime-Verdächtigen, denen es in der Regel um Geld geht, traten im Kontext einer „hybriden Kriegsführung“ verstärkt auch Geheimdienste und Staaten auf den Plan mit dem Ziel, Informationen zu erlangen, falsche zu streuen oder kritische Systeme lahmzulegen und Verunsicherung zu schüren.
Tech-Legende Dwight Merriman brachte die Herausforderung für CIOs, CISOs und Entwickler so auf den Punkt: „Die Komplexität moderner Software bietet immer mehr Angriffsvektoren. Gleichzeitig werden die Angreifer professioneller. Kurz gesagt: Als Sicherheitsverantwortliche können Sie gar nicht paranoid genug sein.“
Abwehr gestiegener Cyberrisiken durch Zero-Trust
Eine Möglichkeit, der veränderten Bedrohungslage zu begegnen, ist die Implementierung eines Zero-Trust-Ansatzes. Dahinter steckt der Abschied von der Annahme, dass jedes Gerät und jeder Benutzer innerhalb eines Netzwerks vertrauenswürdig ist. Kurz gesagt: Betrachten Sie alles und jeden bis auf Weiteres als potenzielles Sicherheitsrisiko.
In traditionellen Sicherheitskonzepten gilt der Grundsatz, dass Geräte und Benutzer innerhalb des eigenen Netzwerks vertrauenswürdig sind, außerhalb jedoch als mögliche Bedrohung eingestuft werden. Dieses Modell gerät allein durch den Trend zur Heim- und Distanzarbeit an seine Grenzen, weil immer mehr Mitarbeiter außerhalb der gezogenen „Vertrauenssphäre“ tätig sind.
Verdächtig bis zum Beweis des Gegenteils
Zero-Trust schafft die Vorstellung einer solchen Vertrauenssphäre ab. Jede Zugriffsanfrage auf ein Netzwerk oder eine Anwendung wird zunächst auf Basis vorliegender Risikoinformationen einer Überprüfung unterzogen und individuell bezüglich ihres Risikos eingestuft. Erst dann erfolgt die Validierung.
Die folgenden drei Prinzipien sind dabei von zentraler Bedeutung:
- Never trust, always verify: Alle Akteure, die auf Unternehmensdaten zugreifen, werden beim Zugriff überprüft, egal ob intern oder extern.
- Netzwerksegmentierung: Daten werden mit Hilfe von Clustern verteilt und isoliert, anstatt sie an einem zentralen Ort zu speichern.
- Möglichst wenig Privilegien gewähren: Beschränkung der Zugriffsrechte auf Daten, die für die Ausführung einer bestimmten Aufgabe erforderlich sind (Principle of Least Privilege).
Netzwerksegmentierung und beschränkte Zugriffsrechte als zentrale Bausteine
Im Rahmen der Zero-Trust-Architektur werden Netzwerke segmentiert. Jedes einzelne dieser Segmente wird mit eigenen Sicherheitsmechanismen ausgestattet, um zu gewährleisten, dass innerhalb des Segments nur autorisierte Verbindungen zustande kommen. Eine wichtige Rolle spielt dabei das so genannte Identitäts- und Zugriffsmanagement (IAM) zur Verwaltung von Identitäten und Zugriffsberechtigungen und zur Authentifizierung.
Auch das so genannte Software Defined Perimeter (SDP)-Prinzip ist zentral für die Implementierung des Zero-Trust-Konzepts. Dabei werden Zugriffsrechte und Verbindungen nach dem Need-to-know-Prinzip aufgebaut: So viel wie nötig, so wenig wie möglich. Geräte-Authentifikation, identitätsbasierter Zugang auf Anwendungsebene, eine kontinuierliche Risikobewertung im Verlauf von Sessions und dynamisch bereitgestellte Konnektivität sind zentrale Säulen dieses Prinzips.
Wie steht es um die Implementierung?
Das Thema Zero-Trust ist mittlerweile in Chefetagen angekommen. Laut dem jährlichen globalen State of Zero-Trust Security Report von Okta steigen die Budgets für die Einrichtung entsprechender Sicherheitsarchitekturen in 85 Prozent der Unternehmen. 97 Prozent gaben an, dass sie Zero-Trust-Konzepte eingeführt haben oder dies in den nächsten 12 bis 18 Monaten vorhaben. Das entspricht einem Anstieg von mehr als 500 Prozent seit 2018.
Unternehmen im EMEA-Raum sind zögerlicher: Nur 36 Prozent geben hier an, bereits über eine Strategie für eine Zero-Trust-Initiative zu verfügen. Doch die Region holt auf und liegt bei der Steigerung der Budgets für Zero-Trust-Strategien ganz vorne. 90 Prozent der Unternehmen im EMEA-Raum geben an, in Zero-Trust investieren zu wollen.
Das sollten Unternehmen beachten: Schritte zu Zero-Trust
Damit ein Zero-Trust-Modell funktioniert, muss zunächst eine entsprechende Netzwerkarchitektur bereitgestellt werden. SDP gewährleistet dabei den sicheren Zugriff. SDP kann auch Teil einer größeren Secure Access Service Edge-Plattform (SASE) sein.
Als nächstes folgt die Netzwerksegmentierung, die eine sorgfältige Planung und enge Abstimmung zwischen den Bereichen erfordert.
Danach ist festzulegen, wer Zugriff auf welche Segmente haben muss. Bei der Vergabe der Berechtigungen wird nach dem Least-Privilege-Ansatz vorgegangen – es wird das Mindestmaß an Rechten eingeräumt, das es Nutzern ermöglicht, ihre Aufgabe zu erledigen. Die Implementierung strenger, mehrstufiger Authentifizierungsverfahren und die Verifizierung von Geräten runden das Konzept ab.
Die Vorteile
Die Vorteile einer erfolgreich abgeschlossenen Zero-Trust-Initiative liegen in Zeiten hoher Cyberrisiken klar auf der Hand:
- 1. Sicherheit: Der Ansatz reduziert das Risiko von Datenverletzungen und anderen Cyberattacken deutlich. Unternehmen, die Zero-Trust implementieren, verzeichnen signifikant weniger Datenschutzverletzungen.
- 2. Datenhoheit: Unternehmen können besser kontrollieren, wer Zugang zu ihren Systemen und Daten hat (oder sich zu verschaffen versucht).
- 3. Schadensbegrenzung: Die Segmentierung wirkt wie ein Kollisionsschott bei einem Wassereinbruch. Selbst wenn ein Gerät oder Benutzer kompromittiert wird, kann dieses Gerät oder dieser Benutzer nur auf einen Teil des Netzwerks zugreifen.
- 4. Flexibilität: Die Segmentierung ist es auch, die für Agilität und Skalierbarkeit sorgt, denn die Segmente erlauben es Unternehmen, ihre Netzwerke bei Bedarf um weitere Segmente zu erweitern oder sie zu reduzieren, ohne dass die Sicherheit leidet.
- 5. Compliance: Die strengere Kontrolle über den Datenzugang macht es deutlich einfacher, die Anforderungen der zahlreichen komplexen Datenschutzgesetze zu erfüllen und regulatorische Auflagen umzusetzen. Mit der Integration einer Verschlüsselungstechnologie wie Queryable Encryption in ihre Zero-Trust-Strategie können Unternehmen in dieser Hinsicht sogar noch mehr profitieren.
Fazit
Im Umfeld gestiegener Cyberrisiken, zunehmender Digitalisierung mit Implikationen wie Distanzarbeit und strenger Datenschutz- und Cybersicherheitsauflagen kommen Sicherheitskonzepte an ihre Grenzen. Zero-Trust-Architekturen geben Unternehmen die Möglichkeit, einige dieser Herausforderungen zu adressieren und dabei zusätzlich eine einfach skalierbare Netzwerkarchitektur zu schaffen. Nötige Investitionen amortisieren sich dabei schnell, denn die Kosten eines Datenlecks oder einer Datenschutzverletzung sind immens: Laut der letzten Bitkom-Studie zum Thema entsteht allein der deutschen Wirtschaft ein jährlicher Schaden von rund 203 Milliarden Euro durch Diebstahl von IT-Ausrüstung und Daten, Spionage und Sabotage. Zum Vergleich: 2018/2019 waren es noch 103 Milliarden Euro.
Über die Autorin Lena Smart ist CISO bei MongoDB.
(ID:49537590)
:quality(80)/p7i.vogel.de/wcms/98/1d/981de771a525a8f44b1b752531caed81/0111098213.jpeg "Einer Studie zufolge sind 56 Prozent der befragten Unternehmen bereits einer Insider-Attacke zum Opfer gefallen. Dabei legen die Mitarbeitenden zumeist keinerlei kriminelle Absichten an den Tag, sondern werden Opfer von Social Engineering. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/b0/0ab0966d6ddd6967a12ad4e873668fc4/0110808011.jpeg "Gegen Phishing ist die Mitarbeiter-Awareness eine elementare Maßnahme zur Gefahrenabwehr, ebenso wichtig sind aber technische und prozessuale Unterstützung. (Bild: tippapatt - stock.adobe.com)")