Auch in dieser Woche kursieren wir wieder die aktuellen Meldungen der deutschen IT-Presse. Unser Kollege Viktor Greve bewertet FinOps als Mittel, die Kosten der Public Cloud im Griff zu behalten. Viktor wird als IT Architekt sicher auch das Thema Automatisierung und Cloud-Architektur interessieren. Das Handelsblatt und die Computerwoche berichten über die Initiative von SAP, mit No Code und Low Code Software durch Anwender entwickeln zu lassen. Weiterhin blicken wir einmal mehr auf Künstliche Intelligenz, verschiedene Aspekte von Cybersecurity und unseren Kunden Symrise, der seine digitalen Arbeitsplätze durch Kyndryl modernisieren und betreiben lässt.
Schlagwort: Ransomware
CIOKurator.News #35: Thema Cybersecurity und “Zero Trust”
Zum Start in den Sommermonat legen wir einen Fokus auf das Thema Cybersecurity und “Zero Trust” mit überaus lesenswerten Beiträgen unter anderem auch von Kyndryl die sich gut in die aktuelle Informationslage einfügen. Transformation ist eines der IT-Schlagwörter aktuell – Hören Sie rein in zwei spannende Podcasts, perfekt auch fürs Wochenende.
Die Ironie von Zero Trust
Autorin: Kris Lovejoy, Kyndryl Global Security and Resilience Leader
„Zero Trust“ ist eines der am wenigsten verstandenen, aber dennoch in Mode gekommenen Schlagworte im Bereich der Cybersicherheit. Blickt man auf die letzten Jahre zurück, ist es leicht zu verstehen, warum: Vertrauen ist heute ein knappes Gut. Von der exponentiellen Zunahme von Ransomware- und Kryptojacking-Angriffen bis hin zu den derzeitigen geopolitischen Krisen – es sind unsichere und beunruhigende Zeiten. Auch, wenn es um die Führung eines Unternehmens geht. Daher ist es nicht verwunderlich, dass das Konzept und die damit einhergehenden Implikationen viele Unternehmen ansprechen.
Die Ironie dabei: Zero Trust selbst basiert grundsätzlich auf Vertrauen.
Was genau bedeutet also „Zero Trust“?
Die Triebkräfte des aktuellen Cybersecurity-Hypes mögen relativ neu sein – von einem Boom bei der Verteilung von Arbeitskräften bis hin zu einer Entwicklung hin zu hybriden Cloud-Infrastrukturen. Der Begriff „Zero Trust“ selbst ist jedoch nicht neu. Er wurde erstmals 1994 geprägt und später vom ehemaligen Forrester-Analysten John Kindervag zu einer ganzheitlichen Sicherheitsphilosophie weiterentwickelt, die unter dem Deckmantel der „Deny by Default“- oder „Never Trust, Always Verify“-Richtlinien in der Branche die Runde gemacht hat.
Einfach ausgedrückt: Es handelt sich um eine Sicherheitsstrategie. Im weiteren Sinne um eine unternehmensweite Sicherheitseinstellung, die alle Endpunkte und Konten als nicht vertrauenswürdig betrachtet. Während andere Sicherheitssysteme – wie die früher bevorzugte Perimeter-Philosophie – nur eine standortbasierte oder Zwei-Faktor-Authentifizierung erfordern, wird Benutzern und Anwendungen bei Zero Trust nur dann und dort Zugang gewährt, wo sie ihn benötigen.
Mit anderen Worten: Durch die standardmäßige Verweigerung des Zugriffs erzwingt ein Zero-Trust-Ansatz ein dynamisches und kontinuierliches Überprüfungssystem für Benutzer und ihre Geräte. In der heutigen Zeit, in der Datenschutzverletzungen nicht mehr eine Frage des „ob“, sondern des „wann“ sind, können Unternehmen mit einem Zero-Trust-Ansatz ihre Daten besser schützen und die potenziellen Auswirkungen eines Angriffs minimieren, während gleichzeitig eine lokalisierte, schnelle Reaktion möglich ist.
Eine Analogie: Das Zero-Trust-Hotel
Stellen Sie sich vor, das Netzwerk Ihres Unternehmens ist ein Hotel, in dem der Zugang zu den Zimmern über einen Kartenschlüssel geregelt ist. Wenn Besucher früher in dieses Hotel – nennen wir es Perimeter-Hotel – eincheckten, mussten sie einen kurzen Prozess der Identitätsprüfung durchlaufen, bevor sie ihren Kartenschlüssel erhielten. Mit dem Kartenschlüssel in der Hand hatten sie dann mehr oder weniger freien Zugang zu allen Zimmern des Hotels, mit Ausnahme derjenigen, die speziell verschlossen waren.
Wenn Besucher im Zero-Trust-Hotel einchecken, kehrt sich die Situation jedoch um. Selbst nach dem sehr viel gründlicheren Check-in-Verfahren des Hotels dient der Kartenschlüssel des Besuchers nicht mehr als Zugangskarte. Diesmal ist jede einzelne Tür für ihn verschlossen, mit Ausnahme derjenigen, die speziell aufgeschlossen wurden. Er kann zwar den Zutritt zu einigen dieser unverschlossenen Türen verlangen, doch wird ihm dieser nur dann gewährt, wenn er ihn unbedingt benötigt.
Im Zero-Trust-Hotel hat der Kartenschlüssel sogar noch weniger Macht. Hier erhalten die Besucher Zugang, indem sie sich anhand vieler verschiedener Faktoren verifizieren, die alle wesentlich präziser sind als das kleine Rechteck aus Plastik, das so leicht verloren geht oder gestohlen werden kann. Das wiederum erspart dem Besucher die Zeit, in seinem Gepäck nach dem lästigen Kartenschlüssel zu suchen. Und es gibt ihm die Gewissheit, dass das Zimmer, das er betritt, genau das ist, das er betreten muss.
Der Hotelbesitzer kann beruhigt schlafen, denn er weiß, dass sein Haus so sicher wie möglich ist, während er gleichzeitig seinen Betrieb aufrechterhalten kann.
Die größte Ironie von Zero Trust
Damit eine Zero-Trust-Architektur funktioniert, muss ein Unternehmen absolutes Vertrauen in das System selbst setzen können. Mit anderen Worten: in das Sicherheits-Framework für die Überprüfung, Überwachung und Datenspeicherung, welche diesen umfassenden Ansatz ausmachen.
Bei Kyndryl betrachten wir Zero Trust als fünf integrierte Sicherheitssäulen: Identität, Gerät, Netzwerk, Anwendung und Daten. In den meisten Unternehmen sind die Cybersicherheitssysteme isoliert. Eine Abteilung kümmert sich um die Identitätsüberprüfung, eine andere um die Endpunktsicherheit, wieder eine andere um die Firewall und so weiter. Mit Zero Trust wird Sicherheit zu einem integrierten 360-Grad-System, bei dem die Kommunikation und Zusammenarbeit zwischen diesen Säulen oder Abteilungen entscheidend ist und Identitäten, Passwörter und Netzwerkressourcen in vertrauenswürdigen Repositories zentralisiert werden.
Nur in der Theorie einfach
Ein Teil der Schwierigkeit besteht darin, dass Zero Trust ein grundlegendes Umdenken im Bereich der Sicherheit auf organisatorischer Ebene erfordert. Der erste Schritt besteht darin, diesen Ansatz nicht mehr als eine Richtlinie oder als ein Produkt aus einer Hand zu betrachten. Stattdessen sollte es als ein dynamischer und sich entwickelnder Sicherheitsprozess ohne festen Endpunkt verstanden werden.
Dies ist eine der größten Herausforderungen für das System. Es ist aber auch einer der größten Vorteile von Zero Trust. Durch die Annahme dieser risikobasierten und anpassungsfähigen Politik sind Unternehmen in der Lage, eine Reihe von Sicherheitspraktiken zu entwickeln, die speziell auf ihre Bedürfnisse zugeschnitten sind.
Dieser Beitrag von Kris Lovejoy erschien zuerst auf Englisch auf LinkedIn.
CIOKurator.News #33: Green IT, Nachhaltigkeit, Energieeffizienz und Klima im Fokus des CIO
Die Ausgabe #33 der CIOKurator.News hat einen Schwerpunkt: Nachhaltigkeit, Energieeffizienz, Klima, Rechenzentren und all die Aspekte, die hier wichtig sind. Logischerweise spielen die verschiedenen Spielarten der Cloud dabei eine maßgebliche Rolle. Und diese ist oft noch eine Private Cloud, wie gerade eine Umfrage ergeben hat.
Weitere Themen: Das Biest Ransomware und die Zusammenarbeit zwischen dem Business und dem CIO, der IT. Wie bekommt man die Ziele am besten übereinander. Viel Spaß bei der Lektüre.
Jeden Freitag stellen wir für Sie die wichtigsten deutschsprachigen Nachrichten für CIOs und IT-Entscheider zusammen. Ein wöchentlicher Newsletter und Sie sind im Bilde.
Hier können Sie den Newsletter per E-Mail abonnieren.