:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/18/89/1889ed31c2dce0a86bd0e07c2f125197/0129714473v2.jpeg "Deepfakes sind zur realen Bedrohung für Unternehmen geworden. Zero Trust muss künftig auch die Echtheit von Inhalten verifizieren, nicht nur die Identität von Nutzern. (Bild: © Flash memory - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/da/b0da219a083f51ec8d1a177ed2f734ed/0129623165v2.jpeg "Die RTL Group ist Europas größter kommerzieller Radio- und Fernsehanbieter und hat damit Zugang zu sensiblen Informationen und Quellen, die für ihre Berichterstattung und investigativen Recherchen von entscheidender Bedeutung sind. Somit ist die Gruppe ein besonders interessantes Ziel für Cyberkriminelle. (Bild: Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/85/d58509e91d3a486ec245715de37c947d/0129399841v2.jpeg "Viele Handwerksbetriebe fühlen sich auf Cybervorfälle gut vorbereitet. Möglicherweise auch, weil ein Großteil Unterstützung von externen Dienstleistern in Anspruch nimmt. (Bild: WavebreakmediaMicro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/db/b4db155e114b7d535ee7ec9cbed89079/0129714250v2.jpeg "KMU stehen unter Compliance-Druck durch Vendor-Management und NIS-2. Minimum Viable Security ermöglicht strukturierte Informationssicherheit ohne Vollzeit-CISO und teure Zertifizierung. (Bild: © sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6c/01/6c0154fdb59eb48f6829cd91be1c03b8/0129232045v1.jpeg "Frontansicht der 1-HE-Appliance „genuline“: Rackgerät für IPsec-basierte Standortkopplung mit Managementschnittstellen und modularen Netzwerkports. (Bild: genua)")
:quality(80)/p7i.vogel.de/wcms/7c/c2/7cc2c38d63b706138cfa268402e4d615/0129578852v1.jpeg "One Identity prognostiziert den ersten großen Sicherheitsvorfall durch unkontrollierte Rechteausweitung von KI-Agenten schon für 2026. (Bild: © Duminda - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/cf/1dcfd91e73b22fe28bb14755027091e2/0128758121v1.jpeg "Zwei Gesetze stärken das Cloud-Switching: Der EU Data Act durch Vorgaben zu Interoperabilität und Datenexport und die DSGVO, die mit dem Recht auf Datenübertragbarkeit ergänzend personenbezogene Daten beim Anbieterwechsel absichert.
(Bild: © MemoryMan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/34/6d/346d2bf387bf6e611f8392810a17bbf6/0129601265v2.jpeg "Mit VirtualBox können Nutzer mehrer VMs auf einem Computer betreiben. Derzeit steht die Open-Source-Lösung unter Beschuss, da die ZDI sieben Zero-Day-Schwachstellen darin entdeckt hat. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b1/36/b136397b968cdf16f587a9aaa72082fe/0128624921v1.jpeg "Nicht nur in Sachen Datenmanagement wird Digitale Souveränität immer wichtiger. Auch bei den Herstellern von Soft- und Hardware achten Unternehmen zunehmend auf Souveränität oder greifen zu Open Source. (Bild: © Nazuro - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1f/77/1f776e33a8b7268ea99a5ef15848b1db/0129545820v2.jpeg "Confidential Computing schließt die letzte Sicherheitslücke der Cloud: Daten bleiben durch Hardware-Enklaven auch während der Verarbeitung verschlüsselt – selbst vor Cloud-Providern und Administratoren. (Bild: © diowcnx - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/7f/0c7fe474a726f4f5516fa7cfcd6fb699/0124411560v1.jpeg "Messdaten von Cloudflare zeigen, wie stark Kabelschäden, Stromausfälle und Extremereignisse die Internetverfügbarkeit weiterhin beeinträchtigen. (Bild: Cloudfare)")
:quality(80)/p7i.vogel.de/wcms/6a/f7/6af7e879055983e8e04b8342915cf5fd/0129654017v1.jpeg "Bahnchefin Evelyn Palla kündigte an, die freiwillige Ausstattung mit Bodycams noch in diesem Jahr auf alle Beschäftigte mit Kundenkontakt ausweiten zu wollen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/19/1d1934d9186ce6069c917f0ec4b52751/0129652501v2.jpeg "Bankverbindungen, Identitäten von Kontoinhabern, Adressen und teilweise auch Steueridentifikationsnummern sind von dem Cyberangriff auf die FICOBA betroffen. Den Kontostand einzusehen oder Überweisungen zu tätigen war dem Angreifer nicht möglich. (Bild: Brian Jackson - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bb/52/bb5271251b8f85b4d52e23d0502765bb/0129495531v2.jpeg "CISO Advantage von Sophos soll Unternehmen praxisnahe Anleitungen auf CISO-Niveau liefern, die ihnen helfen, ihre Sicherheitslage zu verbessern und Compliance-Anforderungen zu erfüllen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
Das Verlangen nach Vertraulichkeit
Vor dem eben erörterten Hintergrund ist das Schutzziel „Vertraulichkeit“ in der Informationssicherheit ein sehr künstliches Ziel. Aber wo kommt das her? Nun, eigentlich kommen die Schutzziele Verfügbarkeit, Integrität und Authentizität nicht aus der Informationssicherheit, sondern aus der IT-Sicherheit. Sie sollen garantieren, dass Computer sich auch so verhalten, wie man es von sich erwartet, also Informationen bereit halten, nicht verändern und nicht preisgeben.
Dies hat sich im Laufe der Zeit auf Prozesse und sogar Rollen ausgeweitet, was sicher nicht immer sinnvoll gewesen ist. Denn letztlich sollen die Schutzziele gewährleisten, dass die Computer nicht mehr machen – oder nicht weniger – als die Benutzer es erwarten, also dass Computer und IT-Umgebungen vertrauenswürdig sind. Es geht nicht darum, den Menschen, der den Computer bedient, in seinen Entscheidungsmöglichkeiten einzuschränken – oder gar Prozesse im Unternehmen damit zu steuern und unflexibel zu machen.
In diesem Sinne ist es besser, die journalistischen Meldungen als das zu belassen, was sie sind: Hinweise, dass die in der jeweiligen Story betroffenen Computer nicht ausreichend sicher sind, um damit vertrauenswürdige, gesellschaftlich relevante Infrastrukturen aufzubauen.
Das soll nicht heißen, dass Computer generell nicht dafür verwendet werden können, wohl aber, dass Vorsicht angebracht ist, wenn man sich denn darauf verlassen muss. Es bedeutet aber auch, dass Computer an sich nicht das Problem sind, sondern dass Menschen bezüglich der Einsatzfähigkeit von Computern für bestimmte Prozesse falsche Entscheidungen getroffen haben.
Vertrauensfragen
Die Fragen „was ist wie vertraulich“ bzw. „was ist wirklich vertraulich“ sind also gar nicht zielführend. Im Gegenteil: die Aktivitäten, Daten nach Schutzbedarf zu klassifizieren, lenken von den eigentlichen Problemen ab – nämlich die IT so verlässlich zu machen, dass sich die Anwender darauf verlassen können. Letztendlich ist es egal, ob weniger oder mehr vertrauliche Daten unbemerkt kopiert wurden: in jedem Fall wird damit das Vertrauen in die IT angegriffen.
Was kann man tun? Nun, als Hersteller sichere Software entwickeln, und als Anwender entsprechende Anforderungen stellen, bzw. die Erwartung vermeiden, die Daten seien „sicher“. Ein Stück weit also Besonnenheit und Konzentration auf maßvollen Einsatz von IT, da wo sie sinnvoll ohne Schaden eingesetzt werden kann,
Es bleibt noch anzumerken, dass das Schutzziel „Vertraulichkeit“ noch relativ einfach auf diese Weise adressiert werden kann. Wenn z.B. Steuerungselemente von „wirklicher“ Infrastruktur (Energie etc.) hinzukommen, ist die Anforderung an „Integrität“ noch deutlich wichtiger – wie das Beispiel Stuxnet gezeigt hat.
Prof. Dr. Sachar Paulus ist Senior Analyst für die Themen SAP-Sicherheit und GRC (Governance, Risk Management, Compliance) beim Analystenunternehmen Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC und Cloud Computing beschäftigt.
(ID:2052636)
:quality(80)/p7i.vogel.de/wcms/c9/bb/c9bb4fcdc1ff2bc6a6ab37eef7f3677a/0129082547v2.jpeg "Die Cyberangriffe auf Luxshare könnten schwerwiegende Auswirkungen auf Apple haben, da vertrauliche Produktpläne und Fertigungsdaten nicht nur die Wettbewerbsfähigkeit von Apple gefährden, sondern auch potenzielle Sicherheitsrisiken in bereits ausgelieferten Produkten schaffen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/bb/af/bbaf187b1e12d3450c7e28f78d91b0ac/0125757182v1.jpeg "Wer sensible Inhalte über digitale Dienste verschickt, muss sich auf eines verlassen können: Dass diese Inhalte vertraulich bleiben. Das wäre für Nutzer von Wetransfer nach der geplanten Änderung der Datenschutzrichtlinien nicht mehr gewährleistet gewesen. (Bild: Midjourney / KI-generiert)")