:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Vertrauen ist gut, Kontrolle ist besser Zero Trust – Kann Reste von Vertrauen enthalten
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
So oder so ähnlich könnte ein Warnhinweis auf einer Zero-Trust-Verpackung lauten. Auch wenn das Konzept, niemandem und nichts zu vertrauen, in Sachen IT richtig ist, bleibt die grundlegende Wahrheit: 100 Prozent Sicherheit gibt es nicht. Das gilt insbesondere für den Schutz vertraulicher Dokumente und Inhalte.
Selbstverständlich gibt es unterschiedliche Grade von Sicherheit. Dies gilt auch, wenn Sicherheitsverantwortliche das Prinzip von Zero Trust verinnerlicht haben und in ihrer täglichen Arbeit beherzigen: jedem Service die Möglichkeit zu geben, die Identität und Berechtigungen der User und Endpunkte bei jedem Zugriffsversuch auf Dienste und Inhalte zu prüfen und zu verifizieren.
Allerdings weist jedes Zero-Trust-Konzept zwei zentrale Schwachpunkte auf: Der erste ist, dass Unternehmen niemals vollständig kontrollieren können, wie sich User verhalten und welche Kenntnisse sie in Sachen IT-Sicherheit vorweisen. Und der zweite Schwachpunkt betrifft die Lieferanten externer IT-Services. Sie können zwar rechenschafts- und regresspflichtig ihren Kunden gegenüber sein, die ihre Sicherheitsstandards, -mechanismen und -praktiken aber nur bedingt kennen und schon gar nicht kontrollieren.
Das Sicherheitsproblem auf Seiten der User ist banaler, als die Berichte über ausgeklügelte Social-Engineering-Attacken vermuten lassen. In der Regel stellt die nur allzu menschliche Suche nach Bequemlichkeit das größere Sicherheitsrisiko dar. Sie ist die Quelle der Schatten-IT, die außerhalb der Reichweite der IT-Sicherheitsexperten liegt. Ein gutes Beispiel ist in diesem Zusammenhang die Umgehung einer so sinnvollen Maßnahme wie der Vorgabe, beim Zugriff auf das Unternehmens-Repository immer eine VPN-Verbindung zu verwenden. Wenn die Nutzung nicht einfach ist, werden Menschen immer Mittel und Wege finden, Informationen auf anderen Wegen miteinander auszutauschen. Und diese sind meist nicht nur einfacher, sondern auch potenziell unsicherer.
Ganz ohne Vertrauen geht es nicht
Stellen die User das eine Ende jedes Geschäftsprozesses dar, so stehen an dessen anderem Ende die Lieferanten, auch in der IT. Zwar haben die Sicherheitsprofis der Unternehmen die Stationen dazwischen – Endpunkte, installierte und betriebene Applikationen sowie lokale Netzwerkinfrastrukturen und -dienste – in der Regel unter Kontrolle und können sie absichern. Von den Lieferanten insbesondere von extern genutzten Apps und Diensten jedoch können sie nur Rechenschaft verlangen und sie regresspflichtig machen. Deren internen Prozesse, Regeln und Praktiken kontrollieren – selbst wenn vor allem große Lieferanten über sehr gut ausgebildetes und zuverlässiges Personal in Sachen IT-Sicherheit verfügen – kann die interne IT eines Unternehmens nicht.
Auch beim ausgeklügeltsten Zero-Trust-Konzept bleibt den Unternehmen also nichts anderes übrig, als einen Rest an Vertrauen zu dulden, einerseits in ihre Mitarbeiterinnen und Mitarbeiter, deren Kenntnisstand, Aufmerksamkeit und Pflichtbewusstsein, andererseits in ihre Lieferanten externer IT-Services.
Zero Trust – eine Frage der Architektur
Sicherheitsrisiken so weit wie möglich zu senken, ist eine Frage der Architektur. Das hat den Vorteil, dass die Unternehmen das Sicherheitsniveau nur einmal verifizieren müssen, bevor sie dieser Architektur vertrauen können. Ist ein hohes Sicherheitsniveau das Ergebnis dieser Verifizierung, müssen die Unternehmen auch den darin enthaltenen Komponenten nicht mehr blind vertrauen, sondern können sich darauf verlassen, dass sie abgesichert sind.
Schützen Administratoren zum Beispiel Kommunikationskanäle im Standard mittels TLS, müssen sie sich um die Vertrauenswürdigkeit des Netzwerks keine Sorgen mehr machen. Die Voraussetzung ist, dass sie zuvor die Zertifikate der miteinander kommunizierenden Entitäten verifiziert haben, etwa auf Basis einer PKI-Infrastruktur. Ob das Netzwerk funktioniert oder nicht, Fakt ist: Niemand kann die Kommunikation mithören.
Anwender und externe Dienstleister sind nach dieser Argumentation also die schwächsten Glieder in der Zero-Trust-Kette. Und Sicherheit ist primär eine Frage der Architektur. Bleibt zu klären, welche Architektur am besten geeignet ist, um die Kontrolle an den beiden Enden eines jeden Geschäftsprozesses zu erhöhen und spiegelbildlich dazu Sicherheitsrisiken zu senken. Der Umgang mit vertraulichen Dokumenten und Inhalten im Austausch innerhalb und außerhalb der Unternehmen verdeutlicht diese Herausforderung.
Um es gleich vorwegzunehmen: In allen Szenarien – ob rein on-premise oder unter Nutzung externer Dienstleister für den Austausch von Dokumenten und Inhalten – bleiben Endpunkte wie stationäre und mobile Endgeräte der Schwachpunkt. Denn hier können die Administratoren in der Regel nicht anders, als den vorinstallierten Sicherheitsmechanismen des Betriebssystems zur Dateiverschlüsselung und Diebstahlsicherung zu vertrauen. Direkte Eingriffsmöglichkeiten zur Erhöhung der Sicherheit sind in diesem Fall begrenzt.
Wenn es aber um die User und die externen Dienstleister geht, ergibt sich ein anderes Bild: Im direkten Architekturvergleich schneiden die beiden Möglichkeiten einer reinen On-premise-Umgebung und einer Cloud-Umgebung mit Hardware-Sicherheitsmodul (HSM) am schlechtesten ab. In beiden Fällen sind die Anforderungen an die interne IT hoch, für die gebotene Sicherheit auf Netzwerkebene zu sorgen. Ob es um das Schlüssel- oder Rechtemanagement oder das Wissen über die notwendigen Netzwerkdienste geht, Administratoren müssen sehr gut ausgebildet sein, viel Zeit und Mühe in die laufende Verwaltungsarbeit investieren und dabei ihr ganzes Wissen einbringen. Das dürfte insbesondere im Mittelstand und vor dem Hintergrund des sich verschärfenden Fachkräftemangels eine schwer zu meisternde Herausforderung darstellen.
Das Problem auf Netzwerkebene lässt sich hingegen elegant lösen, indem die Unternehmen Cloud-Umgebungen für den sicheren Umgang mit – und Austausch von – sensiblen Dokumenten und Inhalten wählen. Hinzu kommt: Die meisten, wenn nicht alle dieser Cloud-Angebote sind heutzutage intuitiv bedienbar, was das Arbeiten auch aus Sicht der User attraktiv macht und somit keine Anreize für Schatten-IT in diesem Bereich bestehen.
Allerdings gibt es bei der Anbieterwahl Details zu beachten, die den Unterschied machen, was das Schutzniveau der Angebote betrifft. So sind Innentäter eine Gefahr, die in der IT-Sicherheit nicht zu unterschätzen ist. Deshalb sollten Unternehmen bei der Auswahl des richtigen Dienstleisters darauf achten, wie einfach oder schwierig es für User ist, einen Datenabfluss absichtlich herbeizuführen. Methoden wie die vorgeschriebene Verwendung digitaler Wasserzeichen oder eingeschränkte Download-Berechtigungen können hier Abhilfe schaffen.
Darüber hinaus sollten die Unternehmen bei einem externen Dienstleister auf Ende-zu-Ende-Verschlüsselung bestehen. Nur wenn diese durchgängig ist, der Anbieter also zu keinem Zeitpunkt Zugriff auf Schlüssel und Inhalte hat, können die Unternehmen dem Angebot vertrauen. Um dessen Qualität zu testen, gibt es folgende Möglichkeiten:
- Administratoren sollten bei Registrierung und Anmeldung prüfen, ob das Passwort über die Entwicklerkonsole des verwendeten Browsers an den Service geschickt wird. Bei echter Ende-zu-Ende-Verschlüsselung ist dies nicht der Fall.
- Ausgetauschte Links dürfen kein URL-Fragment enthalten, insbesondere nicht den Teil nach dem Hashtag-Zeichen. Zwar wird das Fragment nicht über den Browser an den Webserver geschickt, doch lässt sich mittels geeigneter Java-Skripts darauf zugreifen. Cyberkriminelle können das zur Entschlüsselung nutzen.
- Können User ihr Passwort bei dem externen Service ändern, ohne auf ihrem Gerät angemeldet zu sein, hat der Anbieter Zugriff auf die persönlichen Daten.
- Mithilfe eines TLS-Prüfproxys im Browser lassen sich beim Hochladen einer Datei die anfallenden Daten analysieren. In einer wirklich sicheren Ende-zu-Ende-verschlüsselten Umgebung sehen diese Daten bei einem erneuten Upload derselben Datei anders aus.
- Nimmt das Hochladen einer größeren Datei kaum Zeit in Anspruch, dedupliziert der Anbieter wahrscheinlich Dateien und gibt damit unter Umständen wertvolle Informationen preis: Denn wer die Datei ohne Zeitverlust hochlädt, erfährt dadurch, dass bereits eine Datei mit demselben Hashwert im Speicher existiert. So lassen sich zum Beispiel in einer Ausschreibung Rückschlüsse auf die anderen Mitbieter ziehen. Ob Dateien dedupliziert werden, können Anwender bei der Anbieterauswahl feststellen, indem sie eine große Datei erneut hochladen und die Zeitdifferenz messen.
Vertrauen ist gut, Kontrolle ist besser
Die ideale Welt, in der IT hundertprozentig sicher ist, bleibt ein Wunschtraum, auch trotz Zero Trust. Zwar kommen die Unternehmen nicht ohne Vertrauen in ihre User, Administratoren und Dienstleister aus. Doch geeignete Architekturen und Technologien, die auf Ende-zu-Ende-Verschlüsselung basieren, leisten einen entscheidenden Beitrag dazu, das Restrisiko von Datenverlusten und -diebstählen zu minimieren.
Über den Autor: István Lám ist CEO von Tresorit.
(ID:49046280)
:quality(80)/images.vogel.de/vogelonline/bdb/1949800/1949853/original.jpg "Das neue eBook zu Zero Trust gibt einen umfassenden Überblick über das Security-Trendthema. (©Production Perig/AdobeStock, VIT)")
:quality(80)/images.vogel.de/vogelonline/bdb/1915400/1915463/original.jpg "„...dass Zero Trust so wichtig und effektiv ist, liegt in seiner Einfachheit als Modell begründet. “ Philipp Merth, Regional Vice President CER, Akamai Technologies (sdecoret - stock.adobe.com)")