15.07.2020

Null Vertrauen, die Zero-Trust-Strategie für Ihre IT-Sicherheit?

Die Zero-Trust-Strategie ist ähnlich gedacht wie unser Grundgesetz. Grundsätzlich geht man von der Boshaftigkeit des Menschen aus und hat die entsprechenden Gesetze weitgehend so geschaffen, dass niemand ungestraft davonkommen kann, wenn er die Regeln verletzt. Aus demokratischen Erwägungen ist dies allerdings nicht 100% durchgängig und kontrollierbar. Dies zeigt auch schon auf, dass es sehr wohl möglich ist, die Regeln zu brechen und davon zu kommen. 

Bedrohungen im Unternehmen und das Verletzen der Sicherheitskonzepte in einem Unternehmen sind inzwischen zu Schreckgespenstern geworden, welche oftmals gar nicht so gespenstisch sind, sondern sehr real vorhanden und ein tägliches Ringen um Schutz nötig macht 

 

Welche Strategie ist am wirksamsten?  

Eines muss auch hier klar sein, einen 100% Schutz gibt es trotz aller Bemühungen nicht. Doch eine Strategie hat sich inzwischen am Wirksamsten erwiesen, das sogenannte „Zero Trust Concept“, zu Deutsch „Null Vertrauen Strategie“, hat sich bereits seit längerem bewährt. 

Zero Trust heißt also auch 100%  Misstrauen. Deshalb geht diese Strategie davon aus, dass Bedrohungen und die Auswirkungen von Datenverletzungen von einfach überall herkommen können. Es gibt keine Quelle, kein Gerät, kein System, keine Anwendung und auch kein Benutzer innerhalb und außerhalb des Firmennetzes, der von einer Bedrohung oder einem Angriff ausgenommen werden kann. Das heißt dann auch, dass jeglicher Datenverkehr überwacht werden muss und jedes Gerät, jeder Dienst oder Benutzer ohne mehrfache Authentifizierung keinen Zugang hat. Kein USBStick sollte das Unternehmen verlassen, ohne genaue Identifizierung der mitgenommenen Daten, einer Genehmigung der Mitnahme und deren Verwendung. Jedes Smartphone hat einen Speicher oder sogar die Möglichkeit, Daten in eine Cloud zu verschieben, die dann von überall und jedem abgerufen werden können, denen der Zugang vom Uploader ermöglicht wurde. Es ist ein beinahe unmögliches Unterfangen, Daten zu 100% zu schützen, wer wirklich kriminelle Energie in den Datenraub steckt, wird immer einen Weg finden. 

 

Wie bewerten Sie Ihre IT in Bezug auf diese Anforderung an die Sicherheit? 

Die heutigen Arbeitsumgebungen bieten die Möglichkeit, dass sich die Sicherheitsbedrohungen von vielen Seiten ermöglichen. Ein IT-Team wird in Bezug auf den Schutz der Daten große Mühe haben diesen durchzusetzen. Ein weiterer Faktor ist der Druck durch Befürchtungen, man könne eine Datenschutzverletzung unter der neuen DSVG übersehen oder sogar durch fehlenden Schutz fördern. Doch wie weit kann man Mitarbeiter beim Arbeitsfluss behindern, gängeln oder ständig und offensichtlich kontrollieren. Das offene Scheunentor für Missbrauch ist gleichzeitig die Grundlage der modernen Arbeit, die auf Vertrauen basiert, dass die vorhandene mobile Cloud-Umgebung nicht missbraucht wird, traditionelle Sicherheitskontrollen können hier nicht mehr greifen. 

 

Wie steht es um Ihre Sicherheit? 

Um Ihre eigene IT zu bewerten und das dahinterstehende Sicherheitskonzept zu evaluieren, sollten Sie eine tiefgreifende und grundsätzliche Analyse des Datenflusses in Ihrem Unternehmen durchführen.  

Da das Zero-Trust-Konzept auf einem Grundsatz des Misstrauens basiert, ist die Einführung äußerst sensibel durchzuführen. Bei unzureichender Kommunikation führt dies mit großer Wahrscheinlichkeit zu Kulturproblemen im Unternehmen 

 

 

Wie stellt man also Sicherheit sicher?  

Die Usability, also Benutzerfreundlichkeit, soll ja für Mitarbeiter möglichst hoch sein und es sollen möglichst wenige Hindernisse für den Workflow im Weg stehen 

Wenn jemand oder etwas Zugriff auf Daten-Ressourcen anfordert, sollte grundsätzlich das Prinzip „Zero Trust“ gelten. Sie müssen zuerst die Vertrauenswürdigkeit prüfen, bevor Sie Zugriff gewähren. Der Grad der Gebrauchstauglichkeit kann dabei jedoch sehr schnell unangenehm werden oder in einem bestimmten Anwendungszusammenhang sogar die Rentabilität eines Produkts oder eines Diensts drücken. Dies zeigt sich am Beispiel der neuen Verordnung, dass jede Transaktion durch einen automatisierten Kassenbon eine Prüfung durch das Finanzamt möglich machen soll, Kleinunternehmer und Wochenmarkthändler sind dadurch hoffnungslos überfordert, mehrere Anpassungen waren nötig.  

Angriffe werden immer perfider, deshalb müssen Sicherheitsexperten ihre Best Practices ständig anpassen. Dabei haben sich als beste Lösung sichere kontextuelle Verbindungen gezeigt, die alle Geräte, App, Benutzer, Umgebung, Netzwerk und allem was Zugriff auf Daten hat verbindet und jeglicher Datenfluss nur durch adaptive und streng gehandhabte Sicherheitsabläufe frei gibt. Neben „Zero Trust“ von John Kindervag, der 2010 den Begriff prägte, hat auch Google ein ähnliches Sicherheitskonzept für das Unternehmen entwickelt, die Google BeyondCorp-Methodik.Damit kann jeder Mitarbeiter auch über nicht vertrauenswürdige Netzwerke auch ohne VPN arbeiten, heißt es auf der Webseite. BeyondCorp wird aktuell fortwährend bei Google-Mitarbeitern eingesetzt. So kann Arbeit mit Daten vor allem mit und aus der Kerninfrastruktur durch nutzer- und gerätebasierte Authentifizierung und Autorisierung größtmögliche Sicherheit ermöglichen.  

Sicherheit ist heute ein hohes Gut und ist es einmal verletzt, ist der Schaden meist groß und hat eine lange Nachhallzeit. Die Prävention durch Konzepte wie „Zero Trust“ ist ein erfolgversprechender Best Practice Weg zur inneren Sicherheit.  

Anpassung an hauseigene Systeme sind allerdings auch beim „Zero Trust“ Konzept nötig und bedürfen ein hohes Maß an Kernkompetenzen im Bereich der Datensicherheit für die EDV. Dazu kommen die situativen und humansystemischen Faktoren, die sich aus den Mitarbeiterstrukturen ergeben und besonders anfällig sein können. 

Keine leichte Aufgabe Sicherheit zu etablieren, aber unumgänglich und eine Herausforderung an die IT, sich an den aktuellen Wissensstandards bei der Sicherheit messen zu lassen. Ständige Nachschulung, Weiterbildung in allen zugehörigen Bereichen und Schnittstellen ist unumgänglich. Dies betrifft nicht nur die IT relevanten Anpassungen und Entwicklungen, sondern gerade die Umsetzung, Installation und Schulung verlangt Fingerspitzengefühl in der Führung von Mitarbeitern.. Dazu ist ein Weiterbilder-Experte nötig, der in allen Unternehmensbereichen die nötige Kompetenz vermitteln kann und zwar auf dem höchsten Stand des aktuellen Wissens. 

Rufen Sie uns an, Kompetenzen aus drei starken Bereichen stehen Ihnen mit unserem Bildungskonzern 5D GmbH zur Verfügung: 

PROTRANET MANAGER University MANAGER INSTITUT 

Drei Säulen, mit welchen Sie Ihre Sicherheitsstrategie umfassend und 100% komplementär entwickeln können. Unser Leitspruch ist Wissen für die Wirtschaft“, wir bieten damit Ihnen eine Ressource, um einen Angriff auf Ihre Sicherheit erst gar nicht zu ermöglichen. 

 

 

The following two tabs change content below.

Daniel Ring

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

ballbusting-guru.org porno-xxx.net