Cybersicherheit: Warum es Zeit für einen Paradigmenwechsel ist

Cybersicherheit: Warum es Zeit für einen Paradigmenwechsel ist

29. April 2022

|

5 Min. Lesezeit

|

News-Management & Wissen

Neue Arbeitsmodelle und hybride Infrastrukturen verlangen nach einem Paradigmenwechsel. Ohne dass Unternehmen umdenken und sich von lange gepflegten Denkmustern verabschieden, wird IT-Sicherheit künftig nicht mehr funktionieren, weiß Sebastian Ganschow, Director Cybersecurity Solutions beim globalen Technologiedienstleister NTT Ltd.

Mag. Peter Kalab

Redakteur/in: Mag. Peter Kalab - Veröffentlicht am 4/29/2022

Never trust, always verify – diesem Motto folgt das Sicherheitsmodell „Zero Trust“. Keinem Akteur, der auf Ressourcen zugreifen möchte, wird vertraut. Vielmehr erfordert jeder einzelne Zugriff eine Authentifizierung. Der Gedanke dahinter ist einfach: Implizites Vertrauen ist an sich bereits eine Schwachstelle, welche Angreifer für laterale Bewegungen und den Zugriff auf sensible Daten missbrauchen können. Denn die Festung – also das Firmennetzwerk – ist schon lange nicht mehr uneinnehmbar. Daten und Anwendungen, die einst auf einem Server im eigenen Rechenzentrum lagen, sind heute auf unzähligen Cloud-Plattformen verstreut. Dank Microsoft 365 und Azure Active Directory wandern sogar Kernfunktionen der Office- und Enterprise-Software zunehmend in die Wolke. In diesen verteilten, hybriden Umgebungen bieten Mauern und Wassergräben etwa in Form einer Firewall alleine nicht mehr ausreichenden Schutz. Aber auch die Art und Weise, wie wir arbeiten, hat sich grundlegend verändert: Mitarbeiter loggen sich von zuhause aus über einen VPN-Zugang ein und verwenden dabei sogar ihre eigenen Geräte. Dokumente werden über SharePoint mit Außenstehenden geteilt, in Teams werden Accounts für Dienstleister freigeschaltet. Diese nahtlose Zusammenarbeit ermöglicht natürlich die Produktivität, die heutige Arbeitsmodelle voraussetzen. Wenn es aber um die Sicherheit von Daten und Systemen geht, steckt die neue Arbeitswelt voller Gefahren. Denn durch die steigende Vernetzung wächst auch die Zahl an möglichen Einfallstoren für Angreifer. Hinzu kommt: Cyberkriminelle wenden immer raffiniertere Methoden an, mit denen sie herkömmliche Schutzmaßnahmen aushebeln.

Was macht Zero Trust nun anders?

Grundsätzlich wird jeder einzelne Datenzugriff verifiziert – dynamisch, Risiko-basiert und Kontext-sensitiv. Im Mittelpunkt steht dabei das Prinzip des Least-Privilege-Zugriffs. Das bedeutet, jedem Benutzer wird nur so viel Zugriff gewährt, wie er benötigt, um die vorliegende Aufgabe auszuführen. Für eine zuverlässige Absicherung müssen dabei kontinuierlich Informationen zu folgenden Fragen gesammelt werden: Auf welche Daten wird zugegriffen? Woher kommt die Benutzeranfrage? Wer fordert die Daten an? Warum benötigt der User den Zugriff? Wann benötigt er ihn? Auf dieser Basis lassen sich dann Nutzungsberechtigungen richtlinienbasiert steuern. Unternehmen können beispielsweise festlegen, dass Mitarbeiter nur dann Zugriff auf sensible Ressourcen erhalten, wenn die Sicherheitstechnologien auf dem Endgerät auf dem neuesten Stand sind. Andernfalls wird das Gerät in Quarantäne gestellt, bis die benötigten Updates installiert sind. Oder sie erlauben einem Mitarbeiter nur dann den Zugang zu Daten aus der Personalabteilung, wenn er mit einem Firmenlaptop über das VPN verbunden ist.

Policy Engine als Schaltzentrale

Ebenso kann mithilfe einer Policy Engine als Schaltzentrale, die über einzelne Anfragen entscheidet, der Kontext fallweise evaluiert und gegebenenfalls dynamisch ein Sitzungs-basierter Datenzugriff gewährt werden, wenn Nutzer, Geräte oder operative Instanzen ihn brauchen. Das ist beispielsweise der Fall, wenn ein Mitarbeiter sich plötzlich zu einer für ihn untypischen Zeit oder von einem untypischen Ort aus einloggen will. Damit ermöglicht eine ganzheitliche Zero-Trust-Strategie, die nicht nur den Netzwerkzugriff absichert, sondern auch Anwender, Geräte, Applikationen und Faktoren wie das User-Verhalten mit einbezieht, eine nahezu grenzenlose Flexibilität in der Art und Weise, wie und wo Mitarbeiter tätig sind. Die IT-Verantwortlichen wiederum wappnen sich gegen Cyberkriminelle, indem die Festungsmauern den Angreifern standhalten. Gleichzeitig reduzieren sie die Komplexität in Sachen IT-Sicherheit, wenn nicht mehr jedes Gerät einzeln administriert werden muss.

Fakt ist, neue Arbeitsmodelle und hybride Infrastrukturen verlangen nach einem Paradigmenwechsel. Ohne dass Unternehmen umdenken und sich von lange gepflegten Denkmustern verabschieden, wird IT-Sicherheit künftig nicht mehr funktionieren. Zero Trust ist heute keine Kür mehr – nein, sie ist Pflicht.

Foto oben; Sebastian Ganschow, Director Cybersecurity Solutions bei der NTT Ltd; © NTT Ltd.

sharing is caring

Das könnte Sie auch interessieren

VALIDA-Umfrage: Mehrheit für verpflichtende betriebliche Vorsorge

VALIDA-Umfrage: Mehrheit für verpflichtende betriebliche Vor...

29.04.22

|

4 Min.

Maklerzunft gedenkt verstorbenen Willi Resetarits

Maklerzunft gedenkt verstorbenen Willi Resetarits

29.04.22

|

3 Min.

VAV: Classic-Tarif für klassische Fahrzeuge und Oldtimer optimiert

VAV: Classic-Tarif für klassische Fahrzeuge und Oldtimer opt...

29.04.22

|

1 Min.

AssCompact Beratertage 2022: Gelungener Auftakt in Oberösterreich

AssCompact Beratertage 2022: Gelungener Auftakt in Oberöster...

29.04.22

|

6 Min.

Jetzt bewerben: Die Niederösterreichische Versicherung sucht Maklerbetreuer (m/w/a)

Jetzt bewerben: Die Niederösterreichische Versicherung sucht...

29.04.22

|

2 Min.

Merkur und Kyndryl: Optimierung der digitalen Infrastruktur und Prozesse

Merkur und Kyndryl: Optimierung der digitalen Infrastruktur ...

28.04.22

|

2 Min.

Wiener Städtische startet neue Wohnhaus-Versicherung

Wiener Städtische startet neue Wohnhaus-Versicherung

28.04.22

|

2 Min.

Zur Streitwertobergrenze in der Rechtsschutzversicherung

Zur Streitwertobergrenze in der Rechtsschutzversicherung

28.04.22

|

4 Min.

OCC: Gutachtentipps für Oldtimer / Partnernews

OCC: Gutachtentipps für Oldtimer / Partnernews

28.04.22

|

2 Min.

Fälligkeit der Versicherungsleistung und Zinsanspruch des Versicherungsnehmers

Fälligkeit der Versicherungsleistung und Zinsanspruch des Ve...

27.04.22

|

3 Min.

Continentale: Rendite-Plus-Option mit interaktiver Grafik erweitert

Continentale: Rendite-Plus-Option mit interaktiver Grafik er...

27.04.22

|

1 Min.

Bain-Analyse: Versicherer müssen um ihre Marktstellung kämpfen

Bain-Analyse: Versicherer müssen um ihre Marktstellung kämpf...

27.04.22

|

6 Min.


Ihnen gefällt dieser Beitrag?

Dann hinterlassen Sie uns einen Kommentar!

(Klicken um Kommentar zu verfassen)