:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/d1/63d1b63470a199c6d3dd30f867257cae/0114316603.jpeg "Die meisten IT-Sicherheitslösungen konzentrieren sich darauf, unrechtmäßigen Zugriff von außen zu erkennen und zu verhindern. Insider-Threats bleiben hingegen oft lange unbemerkt. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/76/4276ea2d1e8017bef9f8062a8f86460e/0114233512.jpeg "Die mit NIS2 bevorstehende Einführung von Mindeststandards im Bereich der Cybersicherheit betrifft viele Institutionen, die das Thema bisher nur stiefmütterlich behandelt haben. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/23/9d238490894591cb945d1780b486d622/0113765261.jpeg "Schnelle oder aber komplexe Cloud Migrationen sorgen für mehr Konfigurationsfehler und damit für potenziell mehr Sicherheitslücken. (Bild: dmshpak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Wie Zero Trust KMU helfen kann Die Schattenseite von Remote Work
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Der Übergang zur flexiblen Arbeit hat viele Vorteile mit sich gebracht. Das reicht von mehr Zeit für Familie und Selbstfürsorge bis hin zu flexibleren Möglichkeiten, wo und wie wir arbeiten. Doch das Gute hat auch eine Schattenseite: Remote- und Hybridarbeit haben die Bedrohungen durch Cyberangriffe erhöht.
Laut einer Untersuchung von HP und KuppingerCole hat sich die Zahl der Online-Attacken während der Pandemie mehr als verdoppelt. Denn Mitarbeiter nutzten mehr Arbeitsgeräte zu Hause und verwendeten sogar private Geräte für die Arbeit. Jedes vierte Unternehmen (26 Prozent) schätzt die durch Cyberangriffe entstandenen Schäden als „existenzbedrohend“ oder „sehr schwer“ ein. Die Schadenssummen belaufen sich in Spitzen auf bis zu 52,5 Milliarden Euro.
IT-Security: große versus kleine Unternehmen
Es ist also kein Wunder, dass IT-Sicherheit sowohl für große als auch kleine Unternehmen zur obersten Priorität geworden ist. Und obwohl kleine und mittlere Unternehmen (KMU) den gleichen Bedrohungen durch Cyber- und Supply-Chain-Angriffe ausgesetzt sind, fehlen ihnen oft die Fähigkeiten und Ressourcen, um alle verfügbaren Sicherheitsmaßnahmen zu implementieren. In einer jüngsten Untersuchung von GoTo bestätigten 76 Prozent der Befragten, dass die Arbeitsbelastung der IT-Mitarbeiter durch flexible Arbeitsmodelle zugenommen hat – 43 Prozent waren sogar der Meinung, dass ihre Arbeit schwieriger geworden ist.
Große Unternehmen sind normalerweise in der komfortablen Lage, ihre IT-Abteilungen mit Sicherheitsexperten zu besetzen. Nicht so bei kleineren Unternehmen. Ein Unternehmen mit weniger als hundert Mitarbeitern verfügt häufig nur über ein kleines IT-Team – vielleicht eine oder zwei Personen. Diese müssen sich um viele verschiedene Dinge kümmern, nicht nur rein um die IT-Sicherheit. Es erfordert mehr als einen achtstündigen Arbeitstag, dabei auch noch mit der sich ständig weiterentwickelnden IT-Landschaft Schritt zu halten. Doch KMU-Führungskräfte suchen oftmals an den falschen Stellen nach Lösungen und sind sich nicht einmal bewusst, dass es bereits leistungsstarke Sicherheitsoptionen speziell für kleine Unternehmen und IT-Teams gibt. Mit modernen Tools und einer Zero-Trust-Architektur können sie mit wenig Aufwand den gleichen Sicherheitsstandard erreichen, den ein Chief Information Security Officer in einem großen Unternehmen fordern würde.
KMUs sollten auf Zero-Trust-Sicherheit setzen
Traditionelle Cybersicherheitspraktiken fokussieren sich auf ein „Burg und Graben“-Modell. Dabei konzentrieren sich Sicherheitsprotokolle darauf, Bedrohungen von einer zentralisierten Umgebung fernzuhalten. Vor allem aber geht dieser Ansatz davon aus, dass jeder Benutzer mit den richtigen Anmeldeinformationen einen rechtmäßigen Zugriff auf das Netzwerk hat. Die IT vertraut dem bekannten Nutzerprofil und erlaubt ihm freien Zugang. Durch den zunehmenden Trend zu Cloud-Lösungen wird dieses Konzept der Sicherheitsabgrenzung obsolet.
Zero Trust hingegen geht von einer anderen Annahme aus: Hacker greifen Netzwerke entweder aktiv an oder haben die Schutzmechanismen bereits durchbrochen. Dieses Konzept sieht Netzwerke als „Städte“ an, in denen ständig eine Kommunikation mit externen Anwendungen und Netzwerken stattfindet. Außerdem müssen sich die Benutzer jederzeit frei bewegen können. Dennoch vertraut Zero Trust den angelegten Nutzern nicht blind. Sie müssen zunächst beweisen, dass sie wirklich über die Berechtigungen verfügen. Dabei gilt es jedoch, sowohl Benutzerfreundlichkeit als auch Sicherheit möglichst wenig zu beeinträchtigen und einen guten Kompromiss zu finden. Viele Tools haben Zero-Trust-Funktionen bereits eingebaut und kümmern sich um die gesamte Komplexität der Sicherheitsstrukturen hinter den Kulissen – für den Nutzer also unsichtbar. Das bedeutet, dass IT-Manager keine Zero-Trust-Architektur aufbauen müssen, keine virtuellen privaten Netzwerke einrichten oder andere zeitraubende Maßnahmen ergreifen – all dies ist bereits in die Tools integriert.
Funktionsweise von Zero-Trust-Sicherheit
Dieser moderne Ansatz einer Security-Architektur kann als eine Art interne Strafverfolgungsbehörde betrachtet werden. Sie umfasst viele verschiedene Validierungspunkte, Barrieren für sensible Inhalte und strenge Kontrollen selbst für verifizierte Benutzer. Dabei muss das System zusätzliche Anfragen bei der Nutzeranmeldung validieren, bevor es den Zugriff auf Informationen gewährt. Mittlerweile hat sich das leistungsfähige Konzept in der gesamten IT-Welt durchgesetzt.
Ein Beispiel aus der Anwendung im Unternehmensalltag: Sendet ein Server ein Software-Update an den Laptop des Vorstandsvorsitzenden einer Versicherungsgesellschaft, kann die Aktualisierung legitim sein. Dennoch wird der Laptop das Update nicht ausführen, bevor der IT-Administrator des Unternehmens sie digital freigibt. Das bedeutet, dass der Administrator ein Kennwort eingeben oder sich anderweitig ausweisen muss. So ist sichergestellt, dass die Updates von einem Menschen und nicht nur vom Computer autorisiert werden. Auf diese Weise unterliegt jede wichtige Aktion des Computers der menschlichen Kontrolle. Diese Vorgehensweise erhöht die Sicherheit, denn solche scheinbar administrativen Aktualisierungen treten vielleicht nur einmal im Monat auf und werden vom Nutzer ohne Bedenken angenommen.
Zero Trust für KMUs
Sicherheit und Zuverlässigkeit sollten bei der Bewertung von Software-Tools ein wichtiger Entscheidungsfaktor sein – wenn nicht sogar der wichtigste. Dies ist für kleine und mittlere Unternehmen essenziell, die mit begrenzten IT-Ressourcen arbeiten. Gerade im Hinblick auf Remote Work und Remote-Tools ist Zero Trust eine deutliche Verbesserung der Security. Ohne Zero Trust könnten böswillige Akteure solche Tools aus der Ferne nutzen, um Malware in Kundengeräte einzuschleusen. Und das alles in der Annahme des Systems, dass der Nutzer vertrauenswürdig ist. Diese Fälle sind mit Support-Software auf Grundlage von Zero Trust nicht möglich. Deshalb ist Zero Trust ein zentraler Bestandteil aktueller Remote-Support-Tools. Sie erleichtern es Inhabern kleiner Unternehmen und ihren IT-Mitarbeitern, sicher zu bleiben und ihre eigentliche Arbeit zu erledigen: Kunden- und Mitarbeiterbetreuung. In Zukunft ist ein einwandfreies, intuitives Benutzererlebnis (Verbraucherniveau) bei gleichzeitiger Sicherheit und Skalierbarkeit (Unternehmensniveau) auch bei B2B-Anwendungen nicht mehr wegzudenken.
Über den Autor: Paddy Srinivasan ist Chief Product and Technology Officer von GoTo Technologies.
(ID:48418792)
:quality(80)/p7i.vogel.de/wcms/4b/1e/4b1ebbb714b95252a218564ea9054c37/0103881149.jpeg "Egal, ob Zero Trust ein Gefühl von Vertrauen oder Verzweiflung hervorruft: Es steht außer Frage, dass es die Zukunft der Netzwerksicherheit darstellt. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/27/0f2713d7a8cf3267ec400f6b8db89abf/0112213018.jpeg "Im Umfeld gestiegener Cyberrisiken, zunehmender Digitalisierung mit Implikationen wie Distanzarbeit und strenger Datenschutz- und Cybersicherheitsauflagen kommen Sicherheitskonzepte an ihre Grenzen. (Bild: Alex - stock.adobe.com)")