:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/d1/63d1b63470a199c6d3dd30f867257cae/0114316603.jpeg "Die meisten IT-Sicherheitslösungen konzentrieren sich darauf, unrechtmäßigen Zugriff von außen zu erkennen und zu verhindern. Insider-Threats bleiben hingegen oft lange unbemerkt. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/76/4276ea2d1e8017bef9f8062a8f86460e/0114233512.jpeg "Die mit NIS2 bevorstehende Einführung von Mindeststandards im Bereich der Cybersicherheit betrifft viele Institutionen, die das Thema bisher nur stiefmütterlich behandelt haben. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/23/9d238490894591cb945d1780b486d622/0113765261.jpeg "Schnelle oder aber komplexe Cloud Migrationen sorgen für mehr Konfigurationsfehler und damit für potenziell mehr Sicherheitslücken. (Bild: dmshpak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Definition Jericho-Forum Was ist das Jericho-Forum?
Das Jericho-Forum war eine offiziell 2004 von einigen CISOs (Chief Information Security Officers) gegründete internationale Organisation, die sich mit Themen der Informationssicherheit beschäftige. Im Mittelpunkt des Wirkens stand die Sicherheit von komplexen IT-Umgebungen mit zunehmend verschwimmenden Netzgrenzen, in denen klassische Perimeter-orientierte Sicherheitskonzepte versagten.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Das Jericho-Forum wurde im Jahr 2004 von einigen CISOs (Chief Information Security Officers) verschiedener Unternehmen gegründet. Die Organisation beschäftigte sich mit der Fragestellung, wie sich die Informationssicherheit in komplexen IT-Architekturen aufrecht erhalten lässt, in denen Netzwerkgrenzen zunehmend verschwimmen und klassische Perimeter-orientierte Sicherheitskonzepte versagen. Das Verschwinden von Netzwerkgrenzen bezeichneten die Sicherheitsexperten als De-Perimeterisierung. Die zunächst stark von europäischen Mitgliedern getriebene Organisation wurde zunehmend internationaler und gewann auch nordamerikanische und asiatische Mitglieder. Zu den Mitgliedern zählten neben IT-Ausrüstern und IT-Einkäufern auch staatliche und wissenschaftliche Organisationen. Vertreten wurden die Unternehmen und Organisationen durch CISOs und CTOs (Chief Technology Officer). Beispielsweise gehörten BBC, Shell, BP, Rolls-Royce, Deutsche Bank, Airbus, Boing, Procter & Gamble, Pfizer, IBM, Symantec, Motorola, Hewlett Packard und viele mehr zu den Mitgliedern.
Zentrale These der Organisation war, dass klassische Perimeter-orientierte Sicherheitsansätze wie Firewalls für die zunehmend offenen und komplexen IT-Strukturen ungeeignet sind. Sicherheit für lokale oder entfernte User und die Systeme sowie die Daten sollte durch einen Mix aus sicheren Protokollen, Verschlüsselung, Authentifizierung und selbstsichernden Systemen geschaffen werden. Später beschäftigte sich das Jericho-Forum auch mit Themen der Cloud-Sicherheit. 2014 erklärte das Jericho-Forum den erfolgreichen Abschluss der Arbeit und verschmolz mit dem Open Group Security Forum. Einige Themen des Forums verfolgt auch die Global Identity Foundation weiter.
Eine kurze Erklärung des Begriffs De-Perimeterisierung
Um die Arbeit des Jericho-Forums besser zu verstehen, zunächst eine kurze Erklärung des Begriffs De-Perimeterisierung. Im Umfeld der Informationssicherheit bezeichnet der Begriff De-Perimeterisierung das Entfernen der Grenzen zwischen den IT-Systemen einer Organisation und der Außenwelt. Geprägt hat den Begriff Jon Measham, ein ehemaliger Mitarbeiter von Royal Mail in Großbritannien. Das Jericho-Forum beschäftigte sich mit der Fragestellung, wie sich die Informationssicherheit in de-perimeterisierten Umgebungen sicherstellen lässt. Klassische Ansätze wie Firewalls wurden als ungeeignet angesehen. Informationssicherheit sollte aus einem Mix aus sicheren Protokollen, Verschlüsselung, Authentifizierung und selbstsichernden Systeme hergestellt werden.
Die Veröffentlichungen, Positionspapiere und Whitepapers des Jericho-Forums
Eine der ersten Veröffentlichungen des Jericho-Forums war ein Positionspapier zur De-Perimeterisierung mit der Bezeichnung "Jericho Forum Commandments". Es enthielt grundsätzliche Konzepte zur Aufrechterhaltung der Informationssicherheit in einer de-perimeterisierten Welt. Zunehmend beschäftigte sich die Organisation auch mit Themen der Informationssicherheit des Cloud Computings. Im Laufe der Zeit folgten weitere Positionspapiere und Whitepaper mit Titeln und Inhalten wie:
- Securely Collaborating in Clouds
- Identity, Entitlement & Access Management Commandments
- Data Protection
- Cloud Cube Model
- Business Rationale for De-Perimeterization
- Trust and Co-operation
(ID:47730348)
:quality(80)/p7i.vogel.de/wcms/bb/35/bb35bca9d27218a40e61d1a3636d9a37/0110980193.jpeg "Unternehmen müssen IT-Sicherheit systematisch betrachten, auf Managementebene ansiedeln und eine ganzheitliche Strategie entwickeln. Der virtuelle CISO kann hier entscheidend helfen. (Bild: ronstik - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1965900/1965920/original.jpg "CISOs schaffen Mehrwerte, indem sie die unter anderem sicherheitsrelevante Prozesse und die Einhaltung von Reglements rationalisieren. (gearstd - stock.adobe.com)")