:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/65/4d659da289f5aca04c24cbb2ef2fd540/0111240624.jpeg "Der Blick von außen auf die eigenen IT-Ressourcen geht über das hinaus, was im Schwachstellenmanagement sichtbar ist. (Bild: rufous - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/60/a8/60a85b048367a1658787275099d1d11c/0111864407.jpeg "ISX-Keynote-Sprecher Dr. Siegfried Rasthofer ist ein IT-Sicherheitsexperte mit langjähriger Erfahrung in den Bereichen Software-Exploitation, Secure Software Engineering, Reverse Engineering, Malware-Analyse, Offensive Security und Threat Intelligence. (Bild: www.rasthofer.info)")
:quality(80)/p7i.vogel.de/wcms/c2/4f/c24fa71856579436103293b63bbd631a/0112178358.jpeg "Die Kommunikationsschnittstelle MOVEit war kompromittiert. Die AOK hat deswegen die Verbindung vorläufig getrennt. Auch Verbraucherdaten waren möglicherweise offen zugänglich. (© Sven Krautwald - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/a4/b4a406fca20011692876d63ea87b8554/0111848384.jpeg "Mit Blockierlisten und Geo-IP-Filtern für Firewalls lassen sich viele Angriffe ganz einfach automatisch abwehren. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/a4/57a4e6276b930350b50582363804c855/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")
:quality(80)/p7i.vogel.de/wcms/f4/f9/f4f9e3c1460bf363f97d92be0d5a4b7a/0111847742.jpeg "Kriminelle suchen generell nach den schwächsten Zielen. Es nützt also wenig, wenn das TK-Unternehmen bestens aufgestellt ist, Cyberkriminelle aber über junge Zielgruppen, Endgeräte hacken. (Bild: sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b3/c6/b3c641a4d3910d7e2aecfe566eacc8ef/0111572419.jpeg "Durch Cyberversicherungen versuchen viele Unternehmen das Geschäftsrisiko digitaler Bedrohungen abzufedern – doch Konditionen und Anforderungen steigen. (Bild: VideoFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/27/bc276af26a560cace6721af0a0e60fab/0111322090.jpeg "Observability erweitert und ergänzt das klassische Monitoring um Bigdata und KI – und erlaubt somit einen umfassend datengestützen Blick auf Detailfragen. (Bild: © lexiconimages - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/2b/2b2b99a6d3d8e6ea3cc8f88382fb19fb/0111189707.jpeg "Ransomware-as-a-Service (RaaS) ist eine Form von Cybercrime-as-a-Service bei der Teile von Ransomware-Kampagnen als Dienstleistung eingekauft werden können. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Zero Trust Konzepte und Identitäten Zero Trust – Kein Vertrauen ist auch keine Lösung
Das Konzept Zero Trust, das ursprünglich von Forrester Research vorgeschlagen wurde, klingt einfach und bestechend: Traue niemanden! Ganz gleich, wer es ist, wo er ist, und ob er sich innerhalb oder außerhalb des Firmennetzwerks befindet. Das interne Netzwerk ist keine sichere Burg, die Angreifer finden Schlupflöcher und sind oft schon innerhalb der Burg.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/122700/122743/65.jpg "rapid7-logo-si.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Das Problem am Zero-Trust-Modell von Forrester Research ist: Wenn man niemanden vertrauen kann, darf man auch keine Daten austauschen, mit niemanden. Deshalb muss man ein Mindestmaß an Vertrauen erreichen. Dieses Vertrauen muss aber immer auf die Probe gestellt werden. Nur weil ein Nutzer einmal als vertrauenswürdig genug eingestuft wurde, muss er das nächste Mal nicht erneut so klassifiziert werden.
:quality(80)/images.vogel.de/vogelonline/bdb/1522600/1522663/original.jpg "IT-Sicherheitsvorgaben müssen als Einkaufsbedingung und Lieferantenkriterium branchenübergreifend und auf ganzer Breite eingeführt werden. (strichfiguren.de – stock.adobe.com)")
Trust-Ratings in der Security
Wie man die Zuverlässigkeit eines Anbieters beurteilt
Zero Trust nutzt diese Leitlinien:
- Auf alle Ressourcen muss unabhängig vom Standort auf sichere Weise zugegriffen werden.
- Die Zugangskontrolle erfolgt auf der Basis von Need-to-know und muss strikt durchgesetzt werden.
- Organisationen müssen den gesamten Datenverkehr überprüfen und protokollieren, um sicherzustellen, dass die Benutzer das Richtige tun.
Zero Trust bedeutet also, dass man keinem Nutzer, keinem Gerät und keiner Anwendung ein Anfangsvertrauen zubilligt. Das Vertrauen muss jeweils neu erarbeitet werden. Wie das geht, zeigen Konzepte und Lösungen, die auf der Zero Trust Idee fußen.
Beispiel CARTA von Gartner
Die Analysten von Gartner haben das ursprüngliche Zero-Trust-Konzept erweitert: Nicht nur bei der Anmeldung für einen Service muss die Vertrauenswürdigkeit geprüft werden, sondern fortlaufend. Dieses Konzept wird CARTA genannt, dies steht für Continuous Adaptive Risk And Trust Assessment.
Dabei werden die Zugänge und Zugriffe durchgehend hinsichtlich der Risiken, die dadurch entstehen, untersucht, ebenso wird das Vertrauen in Nutzer und Geräte laufend hinterfragt. Veränderungen in Risiken und Vertrauenswürdigkeit werden dynamisch beantwortet. Im Extremfall wird ein bestehender Zugang zu einem Service unterbrochen, Nutzer und Gerät ausgesperrt.
:quality(80)/images.vogel.de/vogelonline/bdb/1502100/1502140/original.jpg "Die Digitalisierung bringt neue Security-Konzepte mit sich: Ein harter Kern zum Schutz der kritischen Daten und eine weiche Schale, die den Mitarbeitern die reibungslose Verbindung mit Anwendungen und externen Kunden und Partnern ermöglicht. (Pixabay)")
Digitalisierung ändert Sicherheitsarchitektur
Von der Kokosnuss zur Avocado bei der IT-Sicherheit
Beispiel Google BeyondCorp
Besonders bekannt ist das Konzept BeyondCorp von Google. Grundlegend sind dabei diese Überlegungen:
- Der Zugang zu einem Service hängt nicht von dem genutzten Netzwerk ab.
- Der Zugang zu einem Service hängt ab von dem Nutzer und dem Gerät.
- Der Zugang zu einem Service erfolgt nur nach Zugangs- und Zugriffskontrolle und unter Verschlüsselung.
BeyondCorp wird auch Dienst angeboten aus der Google Cloud unter dem Namen Identity-Aware Proxy (IAP). IAP nutzt Identitäten, um den Zugriff auf Anwendungen zu schützen, die auf der Google Cloud Platform bereitgestellt werden. Administratoren erstellen dabei die Richtlinien, um festzulegen, welche Nutzer- oder Gruppenidentitäten wann einen Zugriff auf die gehosteten Anwendungen haben sollen.
Zero Trust eXtended
Eine weitere Ausweitung des Zero-Trust-Konzeptes ist Zero Trust eXtended. Darunter versteht man einen Security-Ansatz, der folgende Bereiche in den Blick nimmt:
- Netzwerk (Netzwerkisolation, Segmentierung und Sicherheit)
- Daten (Kategorisierung von Daten, Isolation, Verschlüsselung und Kontrolle)
- Mitarbeiter (Lösungen, die die von Benutzern verursachten Bedrohungen verringern)
- Workloads (Sicherheit für Clouds, Netzwerke, Apps)
- Automatisierung und Orchestrierung (unterschiedliche Systeme werden automatisch erkannt, klassifiziert und kontrolliert)
- Sichtbarkeit und Analyse (keine dunklen Ecken bei Systemen und Infrastruktur)
:quality(80)/images.vogel.de/vogelonline/bdb/1487300/1487385/original.jpg "Das Konzept des „Zero Trust Network“ besagt, dass man nichts und niemandem innerhalb und außerhalb des eigenen Netzwerks trauen sollte. (Pixabay)")
Software Asset Management und IT-Sicherheit
Mit Transparenz zum „Zero Trust Network“
Lösungen für Zero Trust
Eine Reihe von Anbietern und Lösungen auf dem Markt haben sich der Umsetzung von Zero Trust angenommen. Dabei sind es nicht zwingend völlig neue Lösungen, sondern das Zusammenspiel von vorhandenen und angepassten IT-Sicherheitslösungen. Für Zero Trust können Lösungen zum Einsatz kommen, die folgende Aufgaben wahrnehmen:
- Identifikation, Transparenz und Verwaltung bei Geräten, Apps und Diensten
- Identifikation, Transparenz und Verwaltung bei Nutzern
- Dabei gibt es keine Unterscheidung zwischen internen und externen Nutzern, Netzwerken, Apps und Diensten
IT-Sicherheitslösungen für Identity and Access Management, Privileged Access Management, Multi-Faktor-Authentifizierung spielen dabei eine zentrale Rolle, denn die Identität von Nutzern, Geräten, Apps, Clouds wird zum temporären Vertrauensanker. Aber auch Lösungen für Device Management, Data Loss Prevention, Verschlüsselung, Web Application Firewalls, Cloud Access Security Broker, Endpoint Protection, Security Analytics / SIEM, Security Monitoring, User and Entity Behavior Analytics gehören zu einer Umsetzung.
Zero Trust erfordert also keine komplett neue Security-Landschaft im Unternehmen, das meiste wird bereits vorhanden sein. Entscheidend ist dabei, dass die Policies grundsätzlich die aktuellen Risiken berücksichtigen, kein Vertrauensvorschuss geleistet wird und die Berechtigungen minimal gehalten und dynamisch angepasst werden.
(ID:45825567)
:quality(80)/images.vogel.de/vogelonline/bdb/1935600/1935688/original.jpg "Der Zero-Trust-Ansatz kann auch in ICS-Umgebungen helfen die Sicherheit drastisch zu verbessern. (wladimir1804 - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1945500/1945572/original.jpg "Bei dem hochaktuellen Security-Ansatz „Zero Trust“ wird keinem Akteur, der Zugang zu Ressourcen oder Diensten im Netzwerk fordert, von vornherein vertraut. Stattdessen wird jeder Datenzugriff auf der Grundlage vorher festgelegter Richtlinien überprüft. (Yingyaipumi - stock.adobe.com)")