:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/50/d7/50d7fe52fecf5c07fbb17b637be4a279/0115138647.jpeg "Der Datenschutz möchte und wird ein gewichtiges Wort bei der Gestaltung und Nutzung von KI mitreden. Neben dem AI Act der EU werden die Vorgaben der DSGVO eine zentrale Rolle spielen. (Bild: phonlamaiphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6f/c8/6fc89f7ea3b729aac10a382de00a5f90/0115140486.jpeg "Sysdig stellt neue Benchmark für Cloud-Sicherheit vor (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c1/54c16a567692f949cac390626820b34e/0115102427.jpeg "Die Balance zwischen fortschrittlicher Technologie und dem Schutz unserer menschlichen Identität zu wahren ist eine Gratwanderung. (Bild: Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6f/44/6f442605378b21b6a1ad080455818d7e/0115182398.jpeg "Unternehmen sollten wirksames Risikomanagement zeitnah umsetzen, bevor sie von der endgültigen deutschen Gesetzgebung zur NIS2-Richtlinie noch überrascht werden. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/2e/d92e5468b41274136166ffb7127b6d61/0115141779.jpeg "Mitarbeitende müssen über aktuelle Schwachstellen und Bedrohungen aufgeklärt werden und ein Sicherheitsbewusstsein entwickeln, um verhaltensabhängige Einfallstore zu minimieren. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/27/d9/27d93d4db274659ea08f4acf24d690c9/0113633997.jpeg "Ein Passkey ist ein auf dem Public-Key-Verfahren basierendes, sicheres Anmeldeverfahren ohne Passwort. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Zero-Trust-Strategien für die moderne Arbeitswelt Vertrauen Sie niemandem, wenn Sie hybrid arbeiten!
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Die Cyberkriminalität entwickelt sich mit dem technologischen Fortschritt weiter, und Cyberkriminelle entdecken und entwickeln ständig neue Taktiken, um sich Zugang zu Systemen zu verschaffen. Glücklicherweise steht auch die Cybersicherheitsbranche nicht still. Es werden ständig neue Methoden und Technologien entwickelt, um Cyberkriminalität zu verhindern. Eine der bekanntesten Methoden, die von Unternehmen zur Stärkung ihrer Cybersicherheitsposition eingesetzt wird, ist Zero Trust.
Der Zero-Trust-Ansatz ist weltweit anerkannt und wird von vielen wichtigen Organisationen empfohlen. Letztes Jahr unterzeichnete Präsident Joe Biden sogar eine Durchführungsverordnung zur Verbesserung der Cybersicherheit in den USA mit Schwerpunkt auf der Sicherheitsstrategie „Zero Trust“. Darüber hinaus wurde die Methodik kürzlich auch von der niederländischen Regierung empfohlen. Dies ist nicht überraschend, da die Zahl der Cyberangriffe von Jahr zu Jahr steigt. Die niederländische Polizei registrierte 14.000 Fälle von Cyberkriminalität. Das ist ein Anstieg um fast ein Drittel im Vergleich zum Vorjahr und dreimal so viel wie im Jahr 2019. Der jüngste Sicherheitsmonitor von Statistics Netherlands zeigt, dass fast 2,5 Millionen Niederländer ab 15 Jahren im vergangenen Jahr Opfer von Online-Betrug geworden sind. Dabei geht es um Dinge wie Kaufbetrug, Hacking, Phishing und Cybermobbing.
Das Null-Vertrauens-Modell funktioniert nach dem Prinzip „vertraue nie, überprüfe immer“. Unabhängig davon, woher die Anfrage kommt oder an welche Quelle sie sich wendet. Mit Zero Trust wird jede Zugriffsanfrage als potenziell bösartig behandelt und daher vollständig überprüft, bevor der Zugriff gewährt wird. Es ist daher eine leistungsstarke, flexible und granulare Methode zur Kontrolle des Zugriffs auf alle Daten innerhalb und im Umfeld der IT-, Netzwerk- und Sicherheitslandschaft eines Unternehmens.
Virtual Private Networks funktionieren nicht mehr
Das Aufkommen des hybriden Arbeitens ist einer der Hauptgründe für die Beliebtheit der Zero Trust-Methode. Früher investierten Unternehmen in Virtual Private Networks (VPN), um ihre Unternehmensdaten zu schützen. Ein VPN baut einen sicheren Tunnel zwischen zwei Punkten auf, durch den der Internetverkehr so geleitet wird, dass Dritte keinen Zugriff darauf haben. Persönliche Daten werden auf diese Weise abgeschirmt und durch sichere Server geschützt. Auch wenn VPN eine praktische Lösung zu sein scheint, so ist sie doch nicht mehr angemessen, da sie einfach nicht für die Cloud konzipiert ist. Ein VPN ist eine Alles-oder-Nichts-Lösung und verfügt nicht über die Flexibilität und Granularität, um genau zu kontrollieren und zu sehen, was Benutzer tun und auf welche Anwendungen sie zugreifen können. Sobald ein Benutzer Zugang erhält, kann er auf alles im Netzwerk zugreifen. Sollte sich ein Cyberkrimineller Zugang zu einem individuellen Konto oder einem Gerät verschaffen, das ein VPN verwendet, hat er erheblichen Zugriff auf die Unternehmenssysteme. Dies bedeutet eine Zunahme von Sicherheitslücken und Problemen bei der Durchsetzung von Richtlinien.
Außerdem sind die Endgeräte der Hybrid-Mitarbeiter nicht immer über ein VPN mit dem Unternehmensnetzwerk verbunden. Das macht es wahrscheinlicher, dass jemand auf eine Phishing-E-Mail klickt oder auf andere Weise Malware einschleust. Sobald ein infizierter Endpunkt über ein VPN mit dem Unternehmensnetzwerk verbunden ist, kann Malware das restliche Netzwerk nach weiteren Schwachstellen durchsuchen. Darüber hinaus ist ein VPN nicht unbedingt benutzerfreundlich, da die Mitarbeiter das VPN oft selbst aktivieren müssen. Dies kann für technisch weniger versierte Benutzer schwierig sein.
Eine Alternative zum VPN kann die Implementierung eines Zero Trust Network Access (ZTNA) sein. Dies ist sicherer und benutzerfreundlicher, da in einer ZTNA-Umgebung jeder als unsicher gilt. Sowohl die Geräte von Hybrid-Mitarbeitern als auch von Mitarbeitern, die vor Ort arbeiten, werden daher individuell kontrolliert. Außerdem gehen Zero Trust-Architekturen im Gegensatz zu VPNs davon aus, dass der Zugang zu Daten nicht einheitlich ist. So können regulierte Branchen wie das Gesundheits- oder Finanzwesen Zero-Trust-Architekturen implementieren, ohne dass sensible Daten für alle Mitarbeiter des Unternehmens zugänglich sind. Zero Trust ermöglicht „jederzeit und überall“ sicheres Arbeiten durch kontinuierliche und strenge Authentifizierung. Auf diese Weise erhalten Sie überall privilegierten Zugang, ohne dass dieser für jedermann zugänglich ist.
Erste Schritte mit Zero Trust
Doch allzu oft stellen wir fest, dass viele Unternehmen Zero Trust nicht richtig umsetzen. Um dies zu erleichtern, beschreibe ich hier einige wichtige Tipps.
Das erste Element, das bei der Einführung von Zero Trust zu berücksichtigen ist, ist der Aufbau eines hoch motivierten Teams. Die Änderung der Art und Weise, wie ein Unternehmen an das Thema Sicherheit herangeht, ist ein langer und komplexer Prozess. Der Aufbau eines internen Kernteams, das die Methodik vorantreibt, ist daher unerlässlich. Sie können alle relevanten Interessengruppen aufklären, begeistern und für den Übergang mobilisieren. Darüber hinaus ist es wichtig, dass das Team weiß, was Zero Trust wirklich ist. Es gibt viele Irrtümer und Missverständnisse rund um Zero Trust. Außerdem definieren nicht alle Anbieter Zero Trust auf dieselbe Weise. Es ist wichtig, einen Anbieter zu finden, der Zero Trust wirklich anwendet. Es ist daher von entscheidender Bedeutung, dass alle Mitglieder des Kernteams verstehen, was Zero Trust wirklich bedeutet.
Zero Trust ist nicht einfach eine weitere Sicherheitslösung, die schnell eingeführt werden kann. Um es erfolgreich zu implementieren, muss sorgfältig geprüft werden, ob die aktuelle Sicherheitspolitik zu Zero Trust passt oder ob Anpassungen vorgenommen werden müssen. Das wichtigste Element dabei ist ein tiefes Verständnis der Struktur. Auf diese Weise werden Unternehmen später keine Überraschungen erleben. Außerdem ist es wichtig, dass Unternehmen, die mit Zero Trust beginnen, eine Bereitschaftsbewertung durchführen. Eine solche Bewertung hilft CIOs, CISOs und IT-Abteilungen, die Lücke zwischen dem Bewusstsein für Cybersicherheit, dem Engagement der Mitarbeiter, der Finanzierung, den Richtlinien und den technologischen Maßnahmen zu verwalten und zu überwachen. Dieser Ansatz ermöglicht es den Kunden, eine umfassende und einfach zu handhabende Lückenanalyse zu erstellen. Dadurch erhalten sie verwertbare Erkenntnisse über die Wirksamkeit und Geschwindigkeit ihrer Cybersicherheit.
Achten Sie auch genau darauf, welche Lösungen gekauft werden. In den letzten Jahren ist eine große Anzahl von Lösungen auf den Markt gekommen, die überhaupt nicht auf Zero Trust basieren, aber behaupten, es zu sein. Um sicher zu sein, dass ein Produkt auf Zero Trust basiert, ist es ratsam zu prüfen, ob die Lösung dem Zero Trust-Prinzip „never trust, always verify“ entspricht. Prüfen Sie zum Beispiel, ob die Lösung identitätsorientiert ist. Ein ZTNA-Tool sollte in der Lage sein, Benutzern den Zugriff auf möglichst wenige Netzwerkressourcen zu ermöglichen. Prüfen Sie daher, ob die ZTNA-Lösung eine Multi-Faktor-Authentifizierung (MFA) verwendet. MFA ist wesentlich sicherer, da die Benutzer zusätzliche Aktionen durchführen müssen, um auf ein Konto zuzugreifen. Das Hinzufügen eines weiteren Faktors zum Verifizierungsprozess erhöht die Sicherheit Ihrer Konten und erschwert es einem Angreifer, Zugang zu Daten zu erhalten. Wenn die Lösung über MFA verfügt, stellen Sie sicher, dass die Administratoren die Flexibilität haben, mehrere MFA-Anbieter zu verwenden, ohne sie in verschiedenen Umgebungen einsetzen zu müssen. Dies vereinfacht die Verwaltung des Prozesses für IT-Administratoren und führt zu mehr Flexibilität, weniger Zeit, Aufwand und Kosten.
Vergewissern Sie sich auch, ob es Möglichkeiten gibt, vorgegebene Identitäten, Rollen und Berechtigungen festzulegen. Prüfen Sie außerdem, ob das Produkt kontinuierlich die Einhaltung der vordefinierten Sicherheitsrichtlinien überprüft (welche Komponente darf was tun) und nach dem Prinzip der „Standardverweigerung“ alle nicht erlaubten Aktionen blockiert. Neben der Identität berücksichtigen ZTNA-Produkte auch kontextbezogene Kriterien wie Datum, Uhrzeit, geografischer Standort, Netzwerkverbindung und Gerätestatus, bevor sie den Zugriff gewähren. So kann z. B. ein untypisches und unzulässiges Benutzerverhalten, wie der Versuch, sich nachts oder von einem anderen Land aus bei einer Anwendung anzumelden, zu einer Verweigerung führen.
Kein Fahrplan
Auch wenn die oben genannten Tipps Unternehmen helfen können, die ersten Schritte zu unternehmen, gibt es keine feste Vorgehensweise. Schließlich ist Zero Trust eine Strategie und jedes Unternehmen ist anders. Die Grundlagen bleiben jedoch immer dieselben: Alle zu sichernden Elemente müssen benannt werden, oder anders ausgedrückt: „never trust, always verify“.
Über den Autor: Prashant Ketkar ist Chief Technology & Product Officer bei Alludo.
(ID:49632311)
:quality(80)/p7i.vogel.de/wcms/20/f4/20f4b72e48d284cb23c48e611d9df9b4/0115089304.jpeg "Perimeter-basierte Security-Lösungen eignen sich heute insbesondere für lokale Netzwerk-Operationen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8a/fb/8afb91bb1db5ca384c24d8923439487f/0112911494.jpeg "Das Zero-Trust-Konzept hat einen einfachen Grundsatz: keinem anderen Gerät, User oder Service vertrauen. (Bild: © – Alexander – stock.adobe.com)")