:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7a/f2/7af27244e2a7e2020c8cf1e428560094/0129336301v2.jpeg "Self-hosted GitHub Actions Runner eignen sich aufgrund ihrer Eigenschaften – wie der Fähigkeit, beliebigen Code auszuführen und persistenten Zugriff auf interne Netzwerke zu bieten – für Angreifer perfekt, um dort Backdoors zu verstecken. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7d/ba/7dbaa635d6a6c618f72199882f8b838f/0129755658v2.jpeg "Das Personal der BDH-Klinik in Greifswald habe nach einem Cyberangriff einige digitale Abläufe analog ausführen müssen, die Versorgung der Patienten sei jedoch sichergestellt gewesen. (©peshkov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/89/1889ed31c2dce0a86bd0e07c2f125197/0129714473v2.jpeg "Deepfakes sind zur realen Bedrohung für Unternehmen geworden. Zero Trust muss künftig auch die Echtheit von Inhalten verifizieren, nicht nur die Identität von Nutzern. (Bild: © Flash memory - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/80/70/8070dd073ca803c665eed95cc230a701/0128735549v1.jpeg "Der Autor: Trevor Dearing ist Director of Critical Infrastructure Solutions bei Illumio (Bild: Illumio)")
:quality(80)/p7i.vogel.de/wcms/b4/db/b4db155e114b7d535ee7ec9cbed89079/0129714250v2.jpeg "KMU stehen unter Compliance-Druck durch Vendor-Management und NIS-2. Minimum Viable Security ermöglicht strukturierte Informationssicherheit ohne Vollzeit-CISO und teure Zertifizierung. (Bild: © sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6c/01/6c0154fdb59eb48f6829cd91be1c03b8/0129232045v1.jpeg "Frontansicht der 1-HE-Appliance „genuline“: Rackgerät für IPsec-basierte Standortkopplung mit Managementschnittstellen und modularen Netzwerkports. (Bild: genua)")
:quality(80)/p7i.vogel.de/wcms/5f/1d/5f1d070630e02593c44d07f590a62330/0129718619v1.jpeg "„Viele Security-Teams sind heute im Dauerstress – nicht, weil sie zu wenig tun, sondern weil sie in einem reaktiven Paradigma gefangen sind: Vorfall erkennen, isolieren, analysieren, schließen.“ sagt Max Rahner, Senior Business Development Manager bei Tenable. (Bild: Tenable)")
:quality(80)/p7i.vogel.de/wcms/1d/cf/1dcfd91e73b22fe28bb14755027091e2/0128758121v1.jpeg "Zwei Gesetze stärken das Cloud-Switching: Der EU Data Act durch Vorgaben zu Interoperabilität und Datenexport und die DSGVO, die mit dem Recht auf Datenübertragbarkeit ergänzend personenbezogene Daten beim Anbieterwechsel absichert.
(Bild: © MemoryMan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/83/cc/83cc8ef3d0201c8a899011eb2428a3a4/0129633537v1.jpeg "Bei IDMerit, einem kalifornischen Unternehmen, das sich auf KI-basierte Identitätsverifikation spezialisiert hat, kam es zu einem massiven Datenleck. Dabei wurden drei Milliarden Datensätze, darunter rund eine Milliarde sensible Daten, aus 26 Ländern offengelegt. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b1/36/b136397b968cdf16f587a9aaa72082fe/0128624921v1.jpeg "Nicht nur in Sachen Datenmanagement wird Digitale Souveränität immer wichtiger. Auch bei den Herstellern von Soft- und Hardware achten Unternehmen zunehmend auf Souveränität oder greifen zu Open Source. (Bild: © Nazuro - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b0/da/b0da219a083f51ec8d1a177ed2f734ed/0129623165v2.jpeg "Die RTL Group ist Europas größter kommerzieller Radio- und Fernsehanbieter und hat damit Zugang zu sensiblen Informationen und Quellen, die für ihre Berichterstattung und investigativen Recherchen von entscheidender Bedeutung sind. Somit ist die Gruppe ein besonders interessantes Ziel für Cyberkriminelle. (Bild: Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6a/f7/6af7e879055983e8e04b8342915cf5fd/0129654017v1.jpeg "Bahnchefin Evelyn Palla kündigte an, die freiwillige Ausstattung mit Bodycams noch in diesem Jahr auf alle Beschäftigte mit Kundenkontakt ausweiten zu wollen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/bd/b6/bdb6d8c8c6a9e25cee49897e97737bf5/0129495526v2.jpeg "In dieser Folge des Security-Insider-Podcasts sprechen wir mit Security-Schulungsanbietern und Schülerinnen, Schülern und Studierenden, die sich für die IT-Sicherheit interessieren. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Anbieter zum Thema
Aus großer Macht erwächst große Verantwortung
Wertbeständigkeit ist ein weiterer Aspekt, der meiner Meinung nach ähnlich wie die Vereinbarkeit von privaten und beruflichen Interessen für die Arbeit eines IT-Administrators entscheidend ist. Jeder professionelle Busfahrer verliert – wenn ihm privat Trunkenheit am Steuer nachgewiesen werden konnte – seinen Führerschein und somit seinen Beruf. Seinen Job ist auch ein Polizist los, der als Hooligan bei einem Fußballspiel identifiziert wird.
Das sind in der Tat drastische Maßnahmen, doch in diesen beiden genannten Berufsgruppen wird ein hohes Verantwortungsbewusstsein vorausgesetzt. In der Position des IT-Administrators trägt man auch eine große Verantwortung für das Unternehmen, in dem man arbeitet – und für die Menschen, die dort beschäftigt sind. So sind ein einwandfreier Wertekodex und die Vereinbarkeit von privaten und beruflichen Interessen zu prüfen und bei Fehltritten zu sanktionieren.
Extreme Privilegien erfordern außergewöhnliche Maßnahmen
Wie auch Stephen Fedtke in einem KES-Artikel erläutert, sind es die kritischen Systeme einer Organisation, die besondere Qualifikationen erfordern, da die Betreiber dieser Systeme einen besonderen Status innehaben. Bei Fedtke wird dies mit dem Begriff EPIS umschrieben. EPIS steht für „Extremely Priviledged IT Staff“, das entsprechend qualifiziert und zertifiziert sein sollte. Gleichzeitig muss die Arbeit der EPIS regelmäßiger Kontrollen unterliegen.
In diesem Zusammenhang spricht auch nichts gegen eine Prüfung der moralischen und ethischen Eignung sowie der Zuverlässigkeit. In vielen Fällen empfiehlt sich sogar eine Sicherheitsüberprüfung des IT-Personals mit entsprechenden „Machtumsetzungsgeschwindigkeiten“. Letztere beschreibt Stephen Fedtke als eine Metrik aus faktisch vorhandener Macht und potentieller Schadenssumme, ähnlich der Metrik für das obere Management, die als „Budget-Entscheidungsgeschwindigkeit“ bekannt ist.
Natürlich darf und soll niemand dazu gezwungen werden, solche Überprüfungen über sich ergehen zu lassen – aber das werden Piloten auch nicht. Und so ist dies de facto kein Hinderungsgrund für den Berufswunsch Pilot. Was spricht dagegen, diese Überprüfungen zu einem ähnlich festen Bestandteil des Berufsbildes werden zu lassen, wie es regelmäßige Auffrischungszertifizierungen bei Hardware und Software heute schon sind?
Eine entsprechende Entlohnung dieser Verantwortung ist aus meiner Sicht eine logische Konsequenz dieser Durchleuchtung und der Loslösung vom „Arbeitnehmerdatenschutz“. Oder stellen wir die Entlohnung eines Prokuristen und Vorstandes demgegenüber in Frage?
Rainer Rehm
CISSP
Rainer Rehm, (ISC)²-zertifizierter CISSP, arbeitet als Security Architect im Global Security Department bei Nokia Siemens Networks.
(ID:2050752)
:quality(80)/p7i.vogel.de/wcms/85/bf/85bf609e1ee36c8ed9339b6880b8556b/0126462121v2.jpeg "Wero und Le Chat sind europäische Alternativen zu PayPal und ChatGPT. Immer mehr Verbraucher tendieren zu einem Wechsel. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1b/d6/1bd65487872c5a13507782e703434a9e/0128868304v1.jpeg "KI kann als Enabler für effektive Compliance und Governance dienen, indem sie die Automatisierung von Risikoanalysen und Richtlinienentwicklungen unterstützt und somit die Herausforderungen der rasant wachsenden KI-Regulierungen in praktikable Lösungen umwandelt. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")