Es sollten technische Maßnahmen ergriffen und Aufklärungsarbeit betrieben werden

Von unserer Gastautorin Julia Strykova, Streaming Media & Social Projects Manager, Infingate

[datensicherheit.de, 19.12.2023] Täuschend echte Paketzustellungsnachrichten oder dringende E-Mails inklusive Handlungsaufforderung im Namen der Bank – die Betrugsversuche über den E-Mail-Kanal werden immer raffinierter und machen es dem „Otto-Normal-Verbraucher“ immer schwerer, legitime Kommunikation von Phishing-Attacken zu unterscheiden. Doch auch auf Instagram, Linkedin, Facebook und Co. lassen Cyberkriminelle nichts unversucht, um persönliche Daten abzufangen oder die Kontrolle über die Social-Media-Konten ihrer potenziellen Opfer zu erlangen.

Julia Strykova, Streaming Media & Social Projects Manager, Infingate, Bild: Infinigate

Social Media gewinnt an Bedeutung zur Kundengwinnung

Als Marketing-Plattform, Kundengewinnungstools oder Informationskanal gewinnen Plattformen wie Instagram oder Linkedin zunehmend an Bedeutung. Umso attraktiver sind sie daher auch für Betrüger, die in vielen Fällen ihre Netze über Phishing auswerfen. Dabei gehen sie immer perfider vor, wie ein Beispiel der Lazarus-Gruppe aus dem vergangenen Jahr eindrucksvoll zeigte. Die Hacker gaben sich bei dem Angriff auf ein spanisches Luft- und Raumfahrtunternehmen als Recruiter des Facebook-Mutterkonzerns Meta aus und versprachen eine prestigeträchtige Anstellung, insofern die Aspiranten sich bereit erklärten, zwei Coding Challenges auszuführen. Allerdings wussten die angesprochenen Mitarbeiter nicht, dass sie sich bei dieser Aufgabe, die sich als recht simpel herausstellte, Schadprogramme herunterluden.

Doch es geht auch trivialer: Da das Gros der Nutzer in den sozialen Medien meist weniger Misstrauen an den Tag legt, haben die Cyberkriminellen bereits mit gefälschten Online-Rabatten erfolgt. Über augenscheinlich echte Aktionen kostspieliger Marken, die zur Teilnahme die Eingabe persönlicher Informationen erfordern, sammeln sie dann schnell und einfach Nutzerdaten.

Prinzipiell können Phishing-Angriffe diverse Formen annehmen:

Da wäre zum einen der Chat: Treten Nutzer über die Plattform in privaten Austausch mit anderen, könnten Hacker die Gelegenheit ergreifen, sich einzuschalten, um an sensible Daten zu gelangen, indem sie etwa eindringlich bitten, einer Aufforderung ihrerseits zu folgen, etwa Informationen preiszugeben oder einem Link zu folgen.

Ein Phishing-Angriff könnte aber auch ein Post sein, der von einem Hacker oder einem Bot veröffentlicht wird und in dem ein dem Nutzer bekanntes Unternehmen erwähnt wird, das auf eine Pressemitteilung oder andere aktuelle Informationen verweist. Gefälschte Malware holen sich viele Nutzer bereits dann auf ihre Rechner, wenn sie gefälschte Kommentare zu beliebten Beiträgen mit Links zu aufmerksamkeitsstarken Schlagzeilen lesen. Eine häufige Falle ist die Umleitung von einem offiziellen Beitrag zu einem Webinar oder einer Streaming-Veranstaltung mit einer Aufforderung zum Handeln wie „Wir sind jetzt live. Schnell teilnehmen“. Sobald sie diesen anklicken, gelangen sie auf eine Phishing-Webseite oder laden sich direkt die Schadsoftware herunter. Auch mit gefälschten Kundendienstkonten haben Hacker nach wie vor Erfolg.

Schutz vor Phishing-Attacken

Um sich vor Phishing-Attacken in den sozialen Medien adäquat zu schützen, sollten sowohl technische Maßnahmen ergriffen als auch Aufklärungsarbeit betrieben werden. Im Hinblick auf die steigende Anzahl gefälschter Konten gilt es, Vorsicht walten zu lassen, bevor Freundschaftsanfragen vermeintlich beruflicher Kontakte angenommen werden. Augenscheinlich legitime Aufforderungen, die die Aktualisierung persönlicher Daten enthalten, gilt es unbedingt zu überprüfen – im Normal verlangen seriöse Social-Media-Plattformen von ihren Nutzern nicht auf diesem Wege, sensible Informationen preiszugeben. Hier hilft auch ein Blick auf die Support-Seiten. Verdächtige Beiträge, Kommentare oder Links müssen Nutzer an die Betreiber der Plattform bzw. an ihre eigene IT-Abteilung melden. Das Aktivieren der Zwei-Faktor-Authentifizierung, die Installation einer Antiviren-Software und die Verwendung starker Passwörter sowie deren regelmäßiger Wechsel (alphanumerisch, mit Sonderzeichen und mehr als acht Zeichen lang) schützt außerdem vor Phishing und anderen Bedrohungen und kann dazu beitragen, dass unbefugte Dritte keinen Zugang erhalten. Unternehmen, die mit ihren Kunden und Partnern über Social-Media-Kanäle kommunizieren wollen, sollten die Redakteursberechtigung für ihre Firmenkonten auf Social-Media-Plattformen auf so wenige Personen wie möglich beschränken, um das Sicherheitsrisiko möglichst zu minimieren.

Weitere Informationen zum Thema:

datensicherheit.de, 19.10.2021
Check Point: Warnung vor Social Media als Phishing-Falle

Ansatz enthält eine teilweise Verlagerung der Compliance-Verpflichtung entlang der KI-Lieferkette

Ein Kommentar von Rechtsanwältin Marieke Merkle von der Kanzlei Noerr

[datensicherheit.de, 11.12.2023] Zur politischen Einigung zur Regulierung von Künstlicher Intelligenz (KI) in der EU teilt Rechtsanwältin Marieke Merkle von der Kanzlei Noerr mit:

„Die vorläufige politische Einigung zu Basismodellen (Foundation Models) macht deutlich: die Einführung eines AI Compliance Systems wird zukünftig immer mehr Unternehmen treffen. Der Ansatz enthält eine teilweise Verlagerung der Compliance-Verpflichtung entlang der KI-Lieferkette.

Marieke Merkle, Kanzlei Noerr, Foto: Noerr

Der Einigung zwischen Parlament und Rat dürfte weiterhin nur zu einem kurzen Aufatmen der Parlamentarier des EU-Parlaments führen. Die entscheidende Detailarbeit auf technischer Ebene steht erst jetzt an. Die Ausgestaltung der Vorschriften ist von herausragender Bedeutung für den Wirtschaftsstandort Europa: Es bedarf klarer Vorgaben, die Unternehmen weitestgehende Rechtssicherheit gewähren, um Innovationen nicht im Keim zu ersticken. Dies gilt in besonderem Maße vor dem Hintergrund der im AI Act vorgesehenen Bußgelder.

Es bleibt zudem abzuwarten, ob die vereinbarten Ausnahmen für kleine und mittlere Unternehmen (KMUs) sowie Open-Source-Modelle ausreichend sind, um innerhalb des europäischen Binnenmarktes KI-Innovationen gedeihen zu lassen.“

Weitere Informationen zum Thema:

datensicherheit.de, 04.10.2022
KI: Bitkom kommentiert EU-Haftungsrichtlinie

Hacking als Anwendungsfall für ChatGPT

Von unserem Gastautor Thorben Jändling, Principal Solutions Architect in der Global Security Specialist Group bei Elastic

[datensicherheit.de, 07.12.2023] Während Künstliche Intelligenz (KI) und KI-Modelle einen immer größeren Einfluss auf die Welt der Technologie haben, wächst die Sorge, wie sie für betrügerische Zwecke genutzt werden können: für Cyberangriffe, Phishing, Desinformation, soziale Manipulation oder gefälschte Video- und Bilddateien. Denn die Technologie, mit der solche irreführenden Darstellungen von Personen erstellt werden können, ist mittlerweile weit verbreitet. Sie wird nicht nur von Unternehmen eingesetzt, um realistische Identitäten zu schaffen, sondern könnte auch von böswilligen Akteuren für ihre eigenen Zwecke missbraucht werden.

Thorben Jändling, Principal Solutions Architect in der Global Security Specialist Group bei Elastic, Bild: Elastic

Die Revolution der Künstlichen Intelligenz

Die Geschichte der Modelle mit Künstlicher Intelligenz (KI), auch als Artificial Intelligence (AI) bekannt, reicht bis in die 1950er Jahre zurück. Allein in den letzten fünf Jahren hat es rasante Fortschritte gegeben: Von Modellen mit einigen Millionen Parametern ist die Entwicklung heute beim neuesten Modell GPT-4 angelangt, bei dem die Zahl der Parameter auf mehr als 100 Billionen geschätzt wird. Zum Vergleich: Das menschliche Gehirn hat durchschnittlich 86 Milliarden Neuronen und 100 Billionen Synapsen. Mithilfe von KI-Beschleunigern erreichen Large-Language-Modelle (LLM) diese Größe, um beachtliche Mengen an Textdaten aus dem Internet verarbeiten zu können.

Angesichts dieser Entwicklung wächst die Besorgnis über die Auswirkungen der KI auf die Zukunft der Menschheit. Vor diesem Hintergrund haben Sicherheitsexperten begonnen, sich intensiv mit der Frage zu beschäftigen, wie sich Abwehrstrategien angesichts dieser fortgeschrittenen KI-Modelle entwickeln müssen, um Unternehmen vor möglichen Angriffen zu schützen. Noch spannender ist jedoch die Frage, inwieweit diese KI-Modelle, zum Beispiel ChatGPT, böswilligen Akteuren bei Angriffen helfen können.

Der „Golden Ticket“-Angriff und ChatGPT

Ein Beispiel für einen solchen komplexen Angriff ist der so genannte „Golden Ticket“-Angriff, bei dem Angreifer Schwachstellen im Kerberos-Identitätsauthentifizierungsprotokoll ausnutzen, das für den Zugriff auf das Active Directory (AD) verwendet wird. Dieser Angriff erfolgt in mehreren Phasen, beginnend mit dem Erstzugriff, der oft durch Phishing erreicht wird. Anschließend folgt die Erkundungsphase, in der Informationen über die Domäne gesammelt werden. Die nächsten Schritte zielen darauf ab, Zugriff auf Anmeldeinformationen zu erlangen und einen NTLM-Hash des Active Directory Key Distribution Service Accounts (KRBTGT) zu stehlen. In der Phase Privilege Escalation erhält der Angreifer mit dem KRBTGT-Passwort ein Kerberos Ticket Granting Ticket (TGT). Dieses gewährt ihm nahezu uneingeschränkten Zugang zu den Netzwerkressourcen.

Um zu testen, inwieweit KI-Modelle wie ChatGPT bei einem solchen Angriff helfen könnten, verwendeten die Sicherheitsexperten von Elastic ChatGPT (basierend auf GPT-4). Sie baten die KI, eine Phishing-E-Mail zu schreiben. Doch ChatGPT wies darauf hin, dass es als ethische und verantwortungsbewusste Technologie nicht dafür programmiert sei, bösartige Inhalte zu erstellen.

Bild: Elastic

Daraufhin versuchten die Experten, die KI zu täuschen, indem sie sie zu Trainingszwecken baten, eine Phishing-E-Mail zu verfassen. Die KI generierte zwar eine Antwort, allerdings ohne Inhalt oder Verlinkungen, die für böswillige Zwecke verwendet werden konnten. Dennoch zeigte sich, dass eine Änderung der Absicht oder eine harmlose Rechtfertigung das Modell schließlich dazu brachte, eine Phishing-E-Mail zu schreiben.

Bild: Elastic

Die Untersuchung ergab, dass generative KI-Modelle wie ChatGPT in der Lage sind, Inhalte auf der Grundlage von gelernten Mustern zu erstellen. Ihre Leistung variiert jedoch je nach Kontext. In einem Experiment testeten Sicherheitsexperten ChatGPT auf seine Fähigkeit, Schritte eines Golden-Ticket-Angriffs zu erklären, und fanden heraus, dass das Modell in einigen Fällen bestimmte Informationen als potenziell böswillig erkennen konnte, während es in anderen versagte.

Darüber hinaus fragten die Experten, ob ChatGPT bei der Verschleierung eines für den Angriff benötigten Werkzeugs behilflich sein könne. ChatGPT betonte jedoch, dass es nicht für bösartige Zwecke entwickelt wurde. Die Erstellung von Malware, Exploits oder Skripten war nicht möglich, selbst nach Deaktivierung der Schutzmaßnahmen. Das könnte sich jedoch in Zukunft aufgrund des technologischen Fortschritts ändern.

Bild: Elastic

Generative KI-Modelle wie GPT-4 haben das Potenzial, das Verständnis von Sicherheitsereignissen zu verbessern und sie zu erklären. Dazu greifen sie auf institutionelles Wissen zu und können bei verschiedenen Aufgaben helfen: zum Beispiel Analysten zu schulen, Reaktionsprozesse zu optimieren, zur Host-Trage anzuleiten und Ereignisabläufe zu interpretieren. Es gilt jedoch zu beachten, dass diese Modelle den menschlichen Teil der Sicherheitsgleichung nicht vollständig ersetzen können.

KI-Unterstützung und menschliche Verantwortung

Zusammenfassend zeigt das Experiment, dass aktuelle generative Modelle Angreifer in verschiedenen Szenarien unterstützen können. Es gibt jedoch mehrere Gründe, warum diese Modelle voraussichtlich nicht in der Lage sein werden, komplexe Angriffe von Anfang bis Ende durchzuführen. Dazu gehören ihre begrenzte Autonomie, das Fehlen eigener Absichten und Motivationen sowie ihr begrenzter Fokus.

Letztendlich ist KI eine unterstützende Technologie, und ihre Auswirkungen hängen davon ab, wie der Mensch sie verwendet. Es gibt bereits Präzedenzfälle für „Dual-Use“-Werkzeuge in der Sicherheitswelt, die sowohl von Verteidigern als auch von Angreifern genutzt werden können. Die Zukunft der KI und ihre Auswirkungen auf die Sicherheit werden von unseren Entscheidungen und Maßnahmen geprägt sein.

Weitere Infromationen zum Thema:

datensicherheit.de, 07.12.2023
Künstliche Intelligenz – Trends im Jahr 2024

datensicherheit.de, 27.11.2023
KI – mehr als ein Hype

Was eine Kubernetes Bill of Materials ist und wie sie funktioniert

Ein Beitrag von unserem Gastautor Arne Jacobsen, Director of Sales EMEA bei Aqua Security

[datensicherheit.de, 29.11.2023] Um die Komponenten und Anhängigkeiten von Anwendungen abzubilden, werden SBOMs erstellt. Eine Software Bill of Materials hilft so die Risiken von Anwendungen besser zu verstehen. Darüber hinaus können Schwachstellen bewertet oder die Einhaltung von Lizenzen überprüft werden. Während die Erstellung von SBOM eine Standardpraxis für Anwendungen ist, gibt es eine weitere abzusichernde Infrastruktur, auf der moderne Anwendungen aufbauen: Kubernetes. Die Sicherheit der Kubernetes-Infrastruktur wird generell durch Sicherheitsscanner überprüft. Solche Scanner können ähnlich einer SBOM Schwachstellen für Kubernetes-Cluster bewerten, inklusive den Komponenten, aus denen sie bestehen. Analog wird das Ergebnis eines solchen Scans als KBOM bezeichnet.

Arne Jacobsen, Director of Sales EMEA bei Aqua Security, Bild: Aqua Security

KBOM – das Manifest aller wichtigen Komponenten

Kubernetes ist ein wichtiger Bestandteil zwischen vielen anderen grundlegenden Schichten wie Netzwerk, Container-Laufzeit, Cloud-Infrastruktur, Speicher und mehr. Dies macht Kubernetes zu einer wichtigen Komponente, die es abzusichern gilt. Dabei ist Kubernetes sehr komplex und hat viele bewegliche Bestandteile. Die Abbildung und Aufzeichnung der Zusammensetzung von Kubernetes-Clustern über eine KBOM ist somit ein sehr lohnendes Ziel. Ähnlich wie eine Software Bill of Materials (SBOM) ist eine KBOM (Kubernetes Bill of Materials) das Manifest aller wichtigen Komponenten, aus denen ein Kubernetes-Cluster besteht: Control-Plane-Komponenten, Node-Komponenten und Add-ons, einschließlich ihrer Versionen und Images. Anstatt einen bestehenden Cluster nachträglich zu analysieren, können Kubernetes-Installateure ihre Ergebnisse im KBOM-Format melden. Dies entspricht dem Unterschied zwischen der SBOM-Generierung mit SCA und der aus dem Quellcode.

Konzeptionelle Darstellung einer KBOM

Abbildung 1: Konzeptionelle Darstellung einer KBOM mit den wichtigsten Komponenten eines Kubernetes-Clusters: Control Plane, Node und Add-Ons, einschließlich ihrer Versionen und Images.

Vorteile einer KBOM

Eine KBOM gibt detaillierte Antworten auf Fragen wie: „Welche „api-server“-Version wird verwendet?“ „Welche Variante von „kubelet“ läuft auf jedem Knoten?“ oder „Welche Art von Netzwerk-Plugin wird derzeit verwendet?“ Eine KBOM hilft somit Sicherheitsprobleme zu erkennen und zu wissen, wann ein Upgrade der Clusterkomponenten erforderlich ist. Die durch die KBOM-Generierung und das Scannen von Komponenten auf Sicherheitslücken gewonnene Transparenz ist nicht nur für Unternehmen wichtig, die ihre eigenen Kubernetes-Umgebungen betreiben. Auch Unternehmen, die einen verwalteten Kubernetes-Service nutzen, benötigen dieses Maß an Transparenz und Sicherheit, um festzustellen, ob ihre Service-Provider anfällige Komponenten verwenden, die ein Risiko für sie darstellen könnten.

Erstellung einer KBOM

KBOMs können auf unterschiedliche Weise erstellt werden. Im Kubernetes-Ökosystem gibt es verschiedene Tools, die bei der Verwaltung und Verfolgung von Komponentenversionen helfen können. Die in der Community meistgenutzte Lösung ist der Open-Source-Schwachstellenscanner „Trivy“. Trivy beinhaltet seit Anfang 2023 die Generierung von KBOMs und verwendet die Kubernetes-API zur Erkennung des Clusters. Er wurde mit gängigen Kubernetes-Distributionen wie OpenShift, Rancher, minikube und kind getestet. Die Erstellung einer KBOM über ein entsprechendes Tool ist somit an sich nicht sonderlich schwierig. Wichtiger als das Wissen über die Komponenten selbst, ist zu wissen, ob es Schwachstellen gibt, die diese Komponenten betreffen. Denn viele Infrastrukturscanner können nur Fehlkonfigurationen erkennen und die Kubernetes-Komponenten nicht auf Schwachstellen hin analysieren. Die neueste Version von Trivy aus dem November 2023 bietet über die Generierung von KBOMs nun auch Schwachstellen-Scan für Kubernetes-Komponenten an. Nutzer können so einfach eine KBOM für ihre Kubernetes-Umgebung erstellen und diese gleichzeitig nach Schwachstellen scannen. So können sie die Sicherheitsrisiken ihrer Kubernetes-Cluster besser verstehen und das Risiko deutlich reduzieren.

Verwundbarkeiten jedes einzelnen Kubernetes-Clusters, Bild: Aqua Security

Abbildung 2: Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters

Fazit: KBOMs und Schwachstellen-Scans für Kubernetes erhöhen die Sicherheit

Viele Unternehmen machen sich zurecht Sorgen um die Sicherheit von Kubernetes – insbesondere um Schwachstellen und Fehlkonfigurationen. So wie SBOM für die Sicherheit von Anwendungen entscheidend ist, kann eine KBOM für die Sicherheit der Cloud-Infrastruktur entscheidend sein. Mit der Möglichkeit, neben Workloads und Images auch die eigentliche Kubernetes-Infrastruktur zu scannen, erhalten Nutzer nun neue Möglichkeiten, um zu verstehen, wie sich die Sicherheit ihres Clusters im Laufe der Zeit verändert. Die Branche arbeitet aktuell noch an einem vollständigen Kubernetes-Schwachstellen-Scanner. In der Zwischenzeit sollten Unternehmen über entsprechende Tools vollständige KBOMs ihrer Kubernetes-Infrastruktur erstellen und sie auf Schwachstellen scannen – und so das Sicherheitsrisiko ihrer Kubernetes-Cluster enorm reduzieren.

Weitere Informationen zum Thema:

datensicherheit.de, 23.03.2021
Digitalisierung: Sechs Bausteine für ein souveränes Europa

Architekturen im Wandel durch neue Serviceanforderungen

Von unserem Gastautor Nathan Howe, VP of Emerging Technology bei Zscaler

[datensicherheit.de, 28.11.2023] 5G und Edge Computing sind die Grundlage für die nächste Stufe der digitalen Transformation. Für die Sicherheit der Datenströme sorgt dabei das Prinzip Zero Trust. Während 5G die Verbindungsgeschwindigkeit erhöht und Daten zehnmal schneller als bislang möglich verarbeitet, verringert Edge Computing die Latenz, da das Computing nahe an den User oder das Endgerät rückt. Daten werden dort, wo sie generiert werden und damit dezentral am Rande des Netzwerks, auch verarbeitet. Diese leistungsstarke Symbiose könnte langfristig sogar die traditionellen Netzwerkstrukturen ersetzen.

Nathan Howe, VP of Emerging Technology bei Zscaler, Bild: Zscaler

Edge Computing – vom Konzept zum akzeptierten Modell entwickelt

Edge Computing hat in den letzten Jahren eine beeindruckende Transformation durchlaufen und sich von einem Konzept zu einem akzeptierten Modell entwickelt, für das erste Anwendungsfälle bestehen. Damit es so weit kommen konnte, war zuerst einmal ein Umdenken erforderlich, das für die Entstehung von Services an der Egde stattfinden musste. Die sichere Verarbeitung der Daten in der Nähe deren Entstehung steht im Mittelpunkt und geht derzeit auch mit einem weiteren Trend einher: Unternehmen achten nicht mehr nur auf Datenresilienz, sondern auch auf Daten-Residence.

Jüngste geopolitische Ereignisse verdeutlichen die Notwendigkeit von sicheren Diensten und verstärken den Wunsch nach lokaler Datenvorhaltung. Anstelle der Anforderung nach allgegenwärtiger Konnektivität über das Internet setzt derzeit ein gegenläufiger Trend nach garantierter Servicequalität ein, auch wenn das Internet nicht verfügbar sein sollte. Diese Trends nach geringer Latenz, Daten-Resilienz und -Residenz in Verbindung mit neuen Funktionsanforderungen führen zu einem Wandel technischer Architekturen und geben Edge Computing-Anwendungen Rückenwind.

Architekturen im Wandel durch neue Serviceanforderungen

Diese Revision geht mit einer Abkehr vom herkömmlichen zentralisierten Modell der Anwendungsvorhaltung hin zu verteilten Architekturen einher. Moderne Anforderungen führen zu einer grundlegenden Überarbeitung der technischen Infrastruktur, um den Übergang von monolithischen Anwendungen zu einem verteilten Modell zu ermöglichen. Die Cloud hat diesen Fortschritt eingeläutet, denn in einem ersten Schritt wurden Anwendungen aus dem Rechenzentrum in die Cloud verlagert. Im nächsten Schritt erfolgt der Sprung zu einem verteilten Modell, bei dem bestimmte Funktionalität ausschließlich an bestimmten Orten abgefragt und vorgehalten wird. Dafür ist eine neue Effizienz hinsichtlich der Ausfallsicherheit, die Datenverfügbarkeit und insbesondere geringere Latenzzeiten erforderlich, die durch die performante Funkdatenübertragung per 5G ermöglicht wird.

Nachdruck erhält die Edge-Diskussion ebenfalls durch eine verstärkte Nachfrage nach Services. Unternehmen rücken von der Vorhaltung eigener Infrastrukturen ab und sind zu Gunsten einer gesteigerten Agilität und Flexibilität bereit, mehr Dienstleistungen zu beziehen. Ein Beispiel dafür: Anstelle des eigenen WiFi-Netzwerks kann ein Service für die Datenübertragung genutzt werden, der über 4G- oder 5G-Konnektivität bereitgestellt wird und bei dem die Anbindung zum Internet über ein öffentliches Netz anstelle des privaten Netzwerks tritt. Wird über einen solchen Service nachgedacht, müssen sich die Verantwortlichen ebenfalls Gedanken über die Absicherung der Datenströme machen.

Zero Trust macht die sichere Kommunikation möglich

Laut dem National Institute of Standards and Technology (NIST) basiert das zugrundeliegende Prinzip von Zero Trust darauf, kein implizites Vertrauen aufgrund von Netzwerkelementen oder Benutzerkonten allein aufgrund ihres physischen oder ihres Standorts im Netzwerk oder aufgrund des Besitzes eines Endgeräts zu gewähren. Bei diesem Ansatz wird die gesamte Kommunikation erst einmal als unsicher oder feindlich erachtet. Sie wird so lange nicht erlaubt, bis sie durch Identitäts-basierte Richtlinien überprüft werden konnte. Auf diese Weise kann unerlaubter Zugang auf Applikationen, Workloads oder laterale Bewegungen von Angreifern unterbunden werden.

Der Übergang zu verteilten Architekturen mit Edge Computing als Kernstück erfordert die Integration von Zero Trust-Prinzipien zur Sicherheit. Das Zero Trust-Konzept bietet sich aufgrund seiner Netzwerk-Agnostik an, auch auf Trägerbereichen wie 5G und 4G eingesetzt zu werden, um einen sicheren Betrieb zu gewährleisten. Workloads können auf diese Weise an der Edge operieren, ohne dem gesamten Internet ausgesetzt zu werden. Lediglich autorisierte und verifizierte Entitäten können für den Datenaustausch miteinander in Verbindung treten, wenn ein Zero Trust-Sicherheitsbroker zwischengeschaltet wird, der für die Umsetzung der definierten Zugriffsrichtlinien Sorge trägt.

Am Wendepunkt zum Infrastruktur-losen Betrieb

Unternehmen sehen sich heute einerseits der Forderung nach neuer verteilter Funktionalität ausgesetzt. Andererseits müssen sie Regularien und Compliance-Auflagen in Punkto Sicherheit in Einklang bringen. Es besteht der Auftrag, moderne Infrastrukturen resilient gegen Ausfälle und Datenverlust aufzubauen. Der technologische Fortschritt von 5G im Schulterschluss mit dem Zero Trust-Sicherheitsrahmen ermöglicht die Umsetzung von Edge Computing und gibt einen Ausblick auf zukünftige Szenarien.

Von der Inanspruchnahme von Services und Dienstleistungen ist es dann nur ein kleiner Sprung zum völlig Infrastruktur-losen Betrieb. Das könnte in absehbarer Zeit eine Abkehr von den traditionellen Infrastrukturabhängigkeiten bedeuten. In einem Infrastruktur-losen Betrieb würden User von verschiedenen Geräten aus nahtlos auf Dienste zugreifen, ohne an bestimmte Netzwerke oder dedizierte Infrastrukturen gebunden zu sein. Dazu setzen sie auf öffentliche Netzwerke für die Konnektivität und verlassen sich auf Zero Trust-Sicherheit für die Integrität der Datenströme.

Dieser Paradigmenwechsel umfasst nicht nur technologische Fortschritte, sondern markiert auch ein grundlegendes Umdenken in der Art und Weise, wie Unternehmen zukünftig ihr Angebot zur Verfügung stellen. Alle nicht zum Kerngeschäft gehörenden Funktionen werden ausgelagert an Dienstleister – von der Konnektivität bis hin zur Produktion. Durch den Fokus auf die Geschäftsziele anstatt Technologie-zentrierter Perspektiven können Unternehmen technologische Fortschritte auf ihre Geschäftsziele abstimmen und effektiv nutzen. Dieser Perspektivenwechsel ist in absehbarer Zeit in Sicht.

Weitere Informationen zum Thema:

datensicherheit.de, 25.11.2019
Zero Trust: Warum die Zeit gerade jetzt dafür reif ist

Warum Unternehmen die Entwicklungen nicht verpassen sollten

Ein Kommentar von unserem Gastautor Maximilian Modl, CEO bei Brevo Deutschland,

[datensicherheit.de, 27.11.2023] OpenAI hat schon mit der Veröffentlichung von ChatGPT vor gut einem Jahr einen wahren KI-Hype ausgelöst. Aber erst kürzlich hat das Unternehmen bei seiner ersten Entwicklerkonferenz das wahre Potenzial seiner Technologie aufgezeigt: Ein GPT-Ökosystem, dessen Anwendungen miteinander verknüpft sind und aufeinander aufbauen. Künstliche Intelligenz wird unser Leben mindestens so stark verändern wie das Internet, ist Maximilian Modl, CEO bei Brevo Deutschland, überzeugt. Unternehmen sollten sich diese Chance nicht entgehen lassen, damit sie auch in Zukunft erfolgreich bleiben.

Maximilian Modl, CEO bei Brevo Deutschland, Bild: Brevo Deutschland

Jedes Jahr tauchen neue Technologien auf, die urplötzlich in aller Munde sind und vermeintlich das Potenzial haben, die Welt grundlegend zu verändern. Krypto, Blockchains oder das Metaverse sind nur einige Beispiele der jüngsten Vergangenheit. Aber konkrete Ergebnisse lassen weiter auf sich warten. Und auch mit Blick auf KI gibt es einige Kritiker, die den aktuellen Buzz übertrieben finden.

Erst am Anfang der KI-Revolution

Aber – bei allen Fehlern und Halluzinationen, die natürlich nicht wegzudiskutieren sind – beeindrucken die Fähigkeiten von ChatGPT und anderen KI-Tools doch. Und das, obwohl wir noch ganz am Anfang dieser KI-Revolution stehen. Wir können uns wahrscheinlich noch nicht einmal vorstellen, in welchem Maße wir uns in fünf oder zehn Jahren auf KI verlassen werden. Und zwar in (nahezu) allen Lebens- und natürlich auch Arbeitsbereichen.

Microsoft und Google haben KI-Funktionen schnell integriert

Es ist kein Wunder, dass Unternehmen wie Microsoft und Google KI-Funktionen sehr schnell in ihre Arbeitssoftware integriert haben. Nicht nur profitieren potenziell Milliarden Nutzer weltweit davon, es gibt auch bei der Arbeit viele Aufgaben und Abläufe, die dank KI deutlich effizienter und effektiver erledigt werden können. Im Marketing ist beispielsweise Hyperpersonalisierung schon lange ein Buzzword – und jedes Jahr wird ihr aufs Neue der endgültige Durchbruch vorhergesagt, der dann aber immer und immer wieder ausbleibt. Das Problem ist ein ganz einfaches: Hyperpersonalisierung ist mit extrem hohem manuellem Aufwand verbunden, der im Grunde von Marketing-Abteilungen ressourcentechnisch gar nicht zu leisten ist.

Natürlich verfügen Unternehmen in der Regel schon über die Daten, mit denen sie ihre Kunden  theoretisch auf persönlicher Ebene basierend auf ihren Interessen, Bedürfnissen, besonderen Vorkommnissen wie Geburtstagen und getätigten – oder auch nicht getätigten – Käufe ansprechen können. Aber das wird zu komplex. Man müsste unendlich viele Kampagnenszenarien und Workflows definieren, um jede Kundin, jeden Kunden individuell abzudecken. Diese Ressourcen haben Marketing-Abteilungen nicht und irgendwann verliert man auch einfach den Überblick. An dieser Stelle kann aber KI ansetzen – vorausgesetzt die Unternehmen sind bereit sich auf die Datenwelt einzulassen. KI funktioniert am besten, wenn sie mit scharfen und konsolidierten Daten arbeitet. Dann kann sie vorhandene Datenmengen analysieren, Mustern und Zielgruppen auf granularer Ebene erkennen und entsprechende Szenarien für die Kundenansprache definieren. Der Mensch muss das Ganze dann nur noch auf der Metaebene überblicken und steuern. Allerdings kämpfen derzeit viele Unternehmen damit, solche Daten effektiv zu sammeln und zu organisieren. KI hat zwar das Potenzial, die Branche zu revolutionieren, setzt aber voraus, dass Unternehmen sich die Mühe machen und in die effektive Verwaltung ihrer Daten investieren. Ohne eine solide Datengrundlage bleibt die KI eher ein Wunschtraum als eine praktische Realität.

Enorme Chancen

Die Chancen, die sich Unternehmen allein in diesem Beispiel bieten, sind riesig. Was nicht heißt, dass sie jetzt auf Biegen und Brechen KI in alle Unternehmensabteilungen integrieren müssen. Aber so langsam sind eine Annäherung und ein kritischer Blick auf die eigene Organisation notwendig. Dadurch lassen sich die Bereiche identifizieren, in denen KI-Funktionen tatsächlich Sinn ergeben und einen Mehrwert bringen. Denn sie können davon ausgehen, dass ihre Wettbewerber derzeit genau das tun. Dabei geht es nicht darum, als erster irgendwelche KI-Tools zu implementieren. Sondern darum, zeitnah zu evaluieren, wie die betriebliche Effizienz und Umsätze gesteigert und Kosten gesenkt werden können.

Dabei helfen schon kleine Schritte: Bei Brevo gibt es beispielsweise einen KI-Assistenten, mit dem man prägnante, spannende Betreffzeilen generieren kann oder auch das Tool “Versandzeitoptimierung”, womit die beste Versandzeit für jeden Empfänger individuell berechnet und für die beste Öffnungsrate optimiert wird. Für uns ist das erst der Anfang dessen, was wir mit KI in unseren Produkten planen – hilft aber Mitarbeitern, sich langsam an den Umgang damit zu gewöhnen und den praktischen Nutzen zu erfahren. Umso leichter wird es dann, wenn sie größere Aufgaben mithilfe von KI bewältigen wollen oder sollen. Wir planen schon bald, KI auch in der kompletten Newsletter-Erstellung oder in Workflows zu integrieren. Wer sich da schon ein bisschen auskennt, ist natürlich im Vorteil. Daher dürfen Unternehmen sich dem KI-Wettbewerb nicht verschließen. Tun sie es doch, werden sie eher früher als später den Anschluss an ihre Konkurrenz verlieren.

Weitere Informationen zum Thema:

datensicherheit.de, 31.10.2023
Ambivalente Künstliche Intelligenz – KI als Fluch oder Segen für die Cyber-Sicherheit

Wie zurückgelassene Dateien ehemaliger Mitarbeiter Unternehmen schädigen können.

Von unserem Gastautor Sascha Hempe, Regional Sales Manager, DACH bei Datadobi

[datensicherheit.de, 21.11.2023] Verwaiste Daten, im Englischen „Orphaned Data“, sind Daten, die innerhalb eines Unternehmens keinen Owner haben. Beispielsweise, weil die für die Erstellung und Speicherung der Daten verantwortliche Person das Unternehmen verlassen hat, ohne das Eigentum oder das Wissen über die Daten an eine andere Person oder Abteilung zu übertragen. Solche „verwaiste Daten“ können für Organisationen zahlreiche Probleme darstellen.

Sascha Hempe von Datadobi, Bild: Datadobi

„Es keine Option, die Risiken verwaister Daten einfach zu ignorieren. Wenn man keine Maßnahmen zur effektiven Verwaltung von Daten ergreift, können die Sicherheit, der Ruf und die finanzielle Stabilität des Unternehmens auf dem Spiel stehen.“

Wie  sich Orphaned Data ansammeln

Angestellte in modernen Büroumgebungen produzieren während der Arbeit naturgemäß Daten, wie etwa E-Mails, Word-Dokumente, Excel-Tabellen, PowerPoint-Präsentationen oder Datenbanken. Je nach Branche und Funktion sind die Menge und die Art der erzeugten Daten unterschiedlich. Die absolute Mehrheit dieser von Menschenhand erzeugten unstrukturierten Daten sind weitgehend harmlos. Der Nutzen dieser Daten für das Unternehmen ist im Allgemeinen jedoch eher gering. Auch harmlos, wenn auch lästig, sind private Daten, die Mitarbeiter auf ihren Geräten und in Folge auf der Speicherinfrastruktur hinterlassen. Speichert ein Mitarbeiter beispielsweise seine Urlaubsfotos auf dem Dienstcomputer, so ist dies auf den ersten Blick kein großes Problem – der Rechner wird nach dem Ende des Arbeitsverhältnisses ohnehin meist neu formatiert. Doch Unternehmen fertigen von allen Daten Backups an, meist nach dem 3-2-1-Prinzip. Das bedeutet, dass die private Urlaubsfotosammlung nicht nur auf dem Rechner des ehemaligen Mitarbeiters gespeichert ist, sondern wahrscheinlich auch auf dem Backupspeicher und dem zweiten Air-Gap- oder Cloud-Backup-Speicher. Und dort können die Daten deutlich schwieriger als nutzlos identifiziert und gelöscht werden.

Neben diesen lästigen und Speicher belegenden harmlosen Daten, gibt es auch Orphaned Data der gefährlichen Art: Denn viele Mitarbeiter, die ihre Geräte auch für private Zwecke nutzen, speichern oft zahlreiche Daten auf ihre Rechner, die dort nicht hingehören. Dazu können urheberrechtlich geschützte Dateien wie Videos, Filme, Serien, Musik, Bilder und Softwares zählen, oder auch Torrents, die zum Download von Dateien genutzt werden. Oft wurden diese Dateien aus irgendeiner Quelle aus dem Internet lokal auf den Rechner heruntergeladen. Solche Daten können hohe Risiken bergen, beispielsweise durch die Verbreitung von Viren und Malware. Oder schlicht, weil sie illegal kopiert wurden und innerhalb der Infrastruktur eines Unternehmens gespeichert sind. Im schlimmsten Fall kann es sich um tatsächliche „illegale Daten“ handeln, deren alleiniger Besitz strafbar ist. Auch können sich auf Rechnern ehemaliger Mitarbeiter sensible oder vertrauliche Informationen befinden, die aus Compliance-Gründen nicht mehr gespeichert werden dürfen.

Doch ob harmlos, mehr oder weniger gefährlich oder gar illegal, alle Arten von Orphaned Data können zahlreiche Risiken bergen:

• Operative Risiken: Orphaned Data können für Unternehmen auf der operativen Ebene eine enorme finanzielle Belastung darstellen. Sie belegen teuren Speicherplatz und müssen aktiv und kontinuierlich verwaltet werden. Sie belasten die IT-Infrastruktur unnötig und mindern dadurch die Systemleistung. Auch führen die unnötigen Daten zu längeren Backup-Intervallen. Die Kosten für die Speicherung und Pflege dieser Daten können sich schnell aufsummieren, insbesondere wenn eine große Menge Mitarbeiter in einer Organisation arbeitet, und diese eine hohe Fluktuation aufweist.
• Sicherheitsrisiken: Wenn verwaiste Daten sensible oder vertrauliche Informationen enthalten, können sie eine Goldgrube für Cyberkriminelle sein. Geraten die Informationen in die falschen Hände, kann dies verheerende Folgen haben, wie Identitätsdiebstahl, Finanzbetrug oder Unternehmensspionage. Auch können von Mitarbeitern illegal heruntergeladene Dateien Malware in die IT-Infrastruktur einschleusen, die nur darauf wartet, aktiviert zu werden.
• Compliance-Risiken: Wenn ein Unternehmen verwaiste Daten nicht ordnungsgemäß verwaltet, können sich diese im Laufe der Zeit ansammeln und zur Nichteinhaltung von Vorschriften wie DSGVO, SOX, HIPAA und FISMA führen. Die Nichteinhaltung von Branchenvorschriften kann für Unternehmen ein Albtraumszenario sein. Die potenziellen rechtlichen und finanziellen Strafen können ruinös sein und zu hohen Geldstrafen, Gerichtsverfahren und sogar zur Schließung des Unternehmens führen.
• Reputationsrisiken: Der Verlust sensibler oder vertraulicher Daten aufgrund von Nachlässigkeiten bei der Datenverwaltung ist für viele Unternehmen ein weiteres Schreckensszenario. Dies könnte ein fataler Schlag für den Ruf des Unternehmens und das Vertrauen der Kunden sein. Der Schaden, der durch einen solchen Vorfall entsteht, kann unermesslich sein, und es kann Jahre dauern, bis man sich von dem Verlust des Vertrauens und der Loyalität der Kunden erholt hat. Ganz zu schweigen von den Kosten, die durch mögliche Klagen und Vergleiche entstehen.

Die Einführung von Richtlinien und Verfahren zur Datenverwaltung

Offenbar belegen verwaiste Daten nicht nur unnütz Speicherplatz, sie können Unternehmen auf zahlreiche Art und Weise schädigen. Es ist für Unternehmen also von großem Interesse, das Problem verwaister Daten dauerhaft zu lösen. Dies bedeutet in der Theorie, bestehende verwaiste Daten entweder wieder einem neuen Owner zuzuordnen oder sie zu löschen, wenn nicht mehr benötigt werden. Was einfach klingt, kann in der Praxis unendlich schwieriger sein. Denn ein Unternehmen, das unbekannte Mengen verwaister Daten hat, hat offenbar keine festgelegten Richtlinien für die Erstellung und Speicherung von Daten – und sehr wahrscheinlich auch keine technische Lösung, um verwaiste Daten zu identifizieren und zu löschen. Um sicherzustellen, dass alle Daten ordnungsgemäß dokumentiert, gespeichert und gepflegt werden, müssen Unternehmen zuerst einmal Richtlinien und Verfahren zur Datenverwaltung einführen. Dies kann die Durchführung regelmäßiger Datenaudits, die Zuweisung klarer Eigentumsrechte und Verantwortlichkeiten für Daten sowie die Festlegung von Richtlinien für die Erstellung und Speicherung von Daten beinhalten.

Herstellerunabhängige Lösungen für die Verwaltung unstrukturierter Daten

Dies gelingt am einfachsten mit einer herstellerunabhängigen Lösung für die Verwaltung unstrukturierter Daten. Die Lösung muss herstellerunabhängig sein, damit sie alle auf zahlreichen unterschiedlichen Datenspeichern abgelegten Daten zugreifen kann. Mitgelieferte proprietäre Lösungen für das Datenmanagement von Speicherherstellern tun sich schwer damit, Daten auf Speichern anderer Hersteller zu verwalten. Darüber hinaus ist die Verwaltung aller unstrukturierter Daten deutlich einfacher, wenn man dies aus nur einer einzigen Lösung und Oberfläche tun kann. Solche Lösungen ermöglichen es, verwaiste Daten zu identifizieren und zu verwalten, indem sie Einblick in unstrukturierte Daten gewährt, die im gesamten Unternehmensbestand gespeichert sind. Durch den Vergleich der Liste der aktuellen Mitarbeiter mit den Daten, die sich auf dem Speicher befinden, können so alle Daten identifiziert werden, die keinen eindeutigen Eigentümer haben. Anschließend können aus der Lösung selbst Maßnahmen ergriffen werden. Dies kann unter anderem das Löschen, die Übertragung des Eigentums oder die Verlagerung in eine geeignetere Umgebung umfassen.

Fazit: Aktives Datenmanagement reduziert das Risiko

Unter dem Strich ist es keine Option, die Risiken verwaister Daten einfach zu ignorieren. Wenn man keine Maßnahmen zur effektiven Verwaltung von Daten ergreift, können die Sicherheit, der Ruf und die finanzielle Stabilität des Unternehmens auf dem Spiel stehen. Um alle Daten ordnungsgemäß zu dokumentieren, zu speichern und zu verwalten, müssen Unternehmen Richtlinien und Verfahren zur Datenverwaltung einführen und diese mit der Nutzung einer geeigneten Lösung für das Management unstrukturierter Daten umsetzen. So wird das Risiko verwaister Daten erheblich reduziert.

Weitere Informationen zum Thema:

datensicherheit.de, 28.05.2021
Datenmanagement und Datensicherheit mit Backup & Replication

Besonders drastisches Besipiel bei einem Autohersteller

[datensicherheit.de, 16.11.2023] IT und OT verschmelzen immer mehr, mit dem Effekt, dass auch Produktionsumgebungen direkt von Cyberangriffen betroffen sein können und somit Datensicherheit Relevanz besitzt. Ein besonders drastisches Beispiel ereignete sich im letzten Jahr, als Hacker die gesamte Fertigung von Toyota lahmlegten. Nils Gerhardt, Chief Technology Officer von Utimaco zeigt fünf Grundsätze auf, die Unternehmen beachten sollten, um ihre Produktion bestmöglich abzusichern.

Nils Gerhardt, Chief Technology Officer von Utimaco, Bild: Utimaco

1. Sensible Daten verschlüsseln

Softwarebasierte Daten- und Ordnerverschlüsselung sorgt dafür, dass Kriminelle im Zweifelsfall mit erbeuteten Daten nichts anfangen können. So bleiben Geschäftsgeheimsinne auch dann gewahrt, wenn ein Unternehmen Opfer eines Hackerangriffs geworden sein sollte. Effektive Verschlüsselung mit rollenbasierter Zugriffkontrolle trägt zudem dazu bei, Datenschutzbestimmungen wie die DSGVO zu erfüllen.

Bei der Suche nach einer geeigneten Lösung sollten Industrieunternehmen einige Punkte beachten: Zunächst gilt es zu prüfen, ob ein Anbieter geeignete Nachweise zur Erfüllung lokaler Compliance-Vorschriften liefern kann. Der Verschlüsselungsvorgang sollte zudem so vonstatten gehen, dass er möglichst Transparent abläuft, das heißt, wenig Auswirkungen auf Mitarbeiter hat. Gerade im Produktionsumfeld ist wichtig, dass eine Lösung auf verschiedenen Geräten und Plattformen lauffähig ist. Sie sollte außerdem Daten nicht nur im Ruhezustand, sondern auch in Bewegung schützen und vor allem die Arbeit in der Cloud unterstützen.

2. Schlüssel sicher verwalten

Ein Safe ist nur sicher, solange der zugehörige Schlüssel nicht in falsche Hände gerät. Ähnlich verhält es sich auch im digitalen Raum. Die geschützte Verwahrung kryptografischer Schlüssel ist ein Grundpfeiler jeglicher Datensicherheit. Verlust oder Kompromittierung eines Schlüssels machen Datensicherheitsprotokolle von Unternehmen mit einem Schlag zunichte. Daher muss an dieser Stelle besondere Wachsamkeit gelten. Im besten Fall nutzen Unternehmen zur Erzeugung und Verwaltung der Schlüssel Hardware-Sicherheitsmodule. Gegenüber softwarebasierten Lösungen haben diese den Vorteil, dass sie praktisch nicht aus der Ferne attackiert werden können, da die Schlüssel selbst nie in den Hauptspeicher eines Rechners eingelesen werden.

3. Daten sicher teilen

In Branchen, in denen sich die Fertigungstiefe teilweise auf weit unter 50 Prozent beläuft, ist das Teilen von Daten mit vor- oder nachgelagerten Akteuren innerhalb der Wertschöpfungskette elementar. Leider ist der Datenaustausch oft noch eine Schwachstelle in den Sicherheitsstrategien von Unternehmen. Sie sollten daher darauf achten, dass Lösungen zur Datenverschlüsselung auch die sichere Freigabe ermöglichen – ohne Mitarbeiter oder Partner dabei zu überfordern.

Im Zeitalter des IoT kommt auch dem automatischen Datenaustausch zwischen Geräten eine immer größere Bedeutung zu. Für diesen Fall kann man sich Tokenisierung zunutze machen. Bei diesem Verfahren werden sensible Daten für die Übertragung durch an sich wertlose Tokens ersetzt. Dadurch wird ein Angriff auf Kommunikationskanäle und das Abfangen der dort übertragenen Daten nutzlos.

4. Digitale Kommunikation elektronisch signieren

Einer der wichtigsten Angriffsvektoren ist und bleibt Phishing. Angreifer geben sich dabei mitunter als Angehörige des Unternehmens aus, um so an Zugangsdaten von Mitarbeitern zu gelangen oder diese zu bestimmten Handlungen zu bewegen. In großen Unternehmen und/ oder wenn ein größerer Teil der Belegschaft im Homeoffice arbeitet, kann es durchaus schwerfallen, die Authentizität einer E-Mail zu beurteilen. Elektronische Signaturen können hier ein wirksames Mittel sein, um gegen diese Form des Identitätsdiebstahls vorzugehen.

5. Up to date bleiben

Quantencomputer mögen zunächst nach Science-Fiction klingen, doch die Technologie macht sukzessive Fortschritte und es ist davon auszugehen, dass sie binnen absehbarer Zeit zur praktischen Nutzung gelangt. Ab diesem Zeitpunkt wird es leider auch nicht mehr weit sein, bis sie in die falschen Hände gerät.

Mit der überlegenen Rechenleistung von Quantencomputern könnten böswillige Akteure konventionelle Verschlüsselungen knacken, die bisher als sehr sicher galten. Im Bereich der Industriespionage ist immer auch mit staatlichen Akteuren zu rechnen, denen ganz andere Ressourcen zur Verfügung stehen als profitorientierten Hackergruppierungen. Unternehmen deren Geschäftsmodelle auf geistigem Eigentum gründen, sollten sich daher bereits heute mit dieser drohenden Gefahr befassen. Ihre Sicherheitslösungen sollten „Quantum-ready“ sein, was bedeutet, dass sie bei Bedarf mit neuen, auch gegen Quantenrechner gesicherten Algorithmen aktualisiert werden können.

Weitere Informationen zum Thema:

datensicherheit.de, 17.10.2019
Produktionsstillstand in deutschen Industrieunternehmen

Wie Führungskräfte eine zukunftssichere Identitätsstrategie auf die Beine stellen können

Ein Kommentar von unserem Gastautor Martin Kuhlmann, VP Global Presales bei Omada

[datensicherheit.de, 16.11.2023] Der Grund für den Hype um das „Metaversum“ liegt sicherlich vor allem in der Emotionalität rund um die Themen „Virtual Reality“ und „Augmented Reality“. Wie auch immer die damit verbundenen Vorstellungen letztlich Realität werden, kennzeichnet die „Metaversum“-Diskussion den klaren weiteren Trend, dass die Art und Weise, wie wir mit anderen interagieren, sich verändert, und dass unser individueller digitaler Fußabdruck sich vergrößert. Prognosen zufolge wird das „Metaversum“ in seinen unterschiedlichen Facetten bis zum Jahr 2030 ein Marktvolumen von über 1,6 Billionen US-Dollar erreichen – viele Unternehmen wollen an dieser Entwicklung mitwirken.

Martin Kuhlmann, VP Global Presales bei Omada, Bild: Omada

Dies wird auch weitere Auswirkungen auf die Nutzung digitaler Identitäten haben. Es wird viel über die Auswirkungen auf die digitale Identität und das Konzept, dem Einzelnen mehr Eigenverantwortung in Form einer universellen digitalen Identität zu geben, diskutiert. Während sich die meisten Diskussionen über das „Metaversum“ und digitale Identitäten auf die Business-to-Consumer-Seite konzentrieren, müssen sich Unternehmen auch darüber im Klaren sein, wie sich das Metaversum auf ihre Strategie in Bezug auf digitale Identitäten von Mitarbeitern, Auftragnehmern und Geschäftspartnern auswirken wird.

Die Situation entwickelt sich rasant und erfordert ein umfassendes Identitätsmanagement-Programm, um potenzielle Datensicherheitsprobleme zu lösen.

Digitale Identitäten erweitern

Verbraucher legen ständig neue digitale Identitäten an und verwenden zahlreiche Login-Informationen. Auch wenn die Verbreitung von Identitätsdaten technisch kein Problem ist, weil die gängigen Standards entsprechende Funktionen wie zum Beispiel „Consent Management“ bieten, erheben und sammeln Unternehmen in der Praxis alle möglichen Daten über ihre Nutzer.

Unternehmen erstellen und pflegen in der Regel eigene Identitäten für ihre Mitarbeiter und nach wie vor oft auch für ihre Geschäftspartner. Teilweise vertrauen sie Dritten, wie etwa bei der Nutzung von Gästekonten in Microsoft Entra ID (früher Azure AD) im Rahmen der B2B-Zusammenarbeit, oder bei föderierten Ansätzen im Rahmen von landesweit einheitlichen „Edu-IDs“ für Studenten in einigen Ländern. Jedoch müssen viele Unternehmen ihre Governance-Strategie noch an die Tatsache anpassen, dass insbesondere die Anzahl der externen Identitäten steigt.

In der Vision vom „Metaversum“ verläuft der Wechsel zwischen digitalen Plattformen viel nahtloser als heute. Das erfordert eine bessere Portabilität von Identitäten und Authentifizierungen, wie von der Analystenfirma Gartner in ihrer Beschreibung der „Identity Trust Fabric“ (ITF) dargelegt. Für den Einzelnen wird es eine Herausforderung sein, seinen „digitalen Zwilling“ und die damit verbundenen Informationen zu kontrollieren und zu schützen.

Für Unternehmen stellt sich hier die Frage nach dem geeigneten Governance-Konzept:

• In welchem Maße und unter welchen Bedingungen werden „universelle“ oder externe Identitäten als vertrauenswürdig eingestuft?
• Wie weit vertraut ein Unternehmen Dritten, zum Beispiel Identity Providern, personenbezogene Informationen vertraulich zu halten, und wie kann das ggf. sichergestellt werden?
• Welche Governance-Aspekte für Identitäten müssen innerhalb einer Organisation für die Verwaltung von Identitäten neu überdacht werden? Dazu gehören die Risiken, die durch „externe“ Authentifizierung entstehen, Risiken durch Informationen, die Dritten zugänglich sind, und Risiken bezogen auf Zugriffsrechte innerhalb der Organisation.
• Wie kann ein Gesamtrisikoprofil für eine Identität erstellt und gepflegt werden und worin bestehen mögliche Datenschutzkonflikte?

Wenn Unternehmen ihren Mitarbeitern erlauben, in hohem Maße Plattformen von Drittanbietern zu nutzen, muss sichergestellt werden, dass der Austausch von Nutzerdaten – oder die Möglichkeit, das Nutzerverhalten zu verfolgen – nicht gegen den Datenschutz verstößt oder vertrauliche Unternehmensinformationen preisgegeben werden.

Identitätsstrategie solide und langfristig anlegen

Heutzutage steht die Identität im Mittelpunkt der Sicherheitsstrategie vieler Unternehmen – und das aus gutem Grund. Die von der Identity Defined Security Alliance durchgeführte Studie 2022 Trends in Securing Digital Identities zeigt, dass 79 Prozent der Befragten in den letzten zwei Jahren mit Sicherheitsvorfällen konfrontiert waren, bei denen digitale Identitäten eine Rolle spielten. Der Imageschaden und die finanziellen Folgen solcher Vorfälle können hoch sein. Der Studie zufolge gaben 78 Prozent der Befragten, die einen identitätsbezogenen Sicherheitsvorfall erlebt haben, an, dass dieser eine direkte Auswirkung auf das Unternehmen hatte.

Um die Sicherheit zu gewährleisten und Vorschriften einzuhalten, benötigen Unternehmen vollständige Transparenz darüber, wer auf ihre Anwendungen, Infrastruktur und Daten zugreift. Informationen über Identitäten müssen zuverlässig und korrekt sein. Es muss klar sein, wer warum und wann Zugriff benötigt und wie dieser genutzt wird. Dies sind die wesentlichen Komponenten einer Strategie für Identity Governance und Administration von Zugriffsrechten (IGA).

Mit der steigenden Anzahl von Identitäten und deren Nutzung wird Identity Governance zukünftig noch wichtiger werden. Unternehmen müssen in der Lage sein, nachzuweisen, dass jede Identität innerhalb der Organisation nur über die notwendigen Zugriffsrechte verfügt und dass der Zugriff gesichert ist – ohne die normalen Geschäftsaktivitäten zu beeinträchtigen. IGA stellt sicher, dass Personen immer den richtigen Zugang haben, den sie benötigen: Zur richtigen Zeit, aus den richtigen Gründen und nur so lange, wie sie ihn benötigen.

Identity Governance zukunftssicher gestalten

Viele Unternehmen haben immer noch keine richtige IGA-Strategie – und selbst wenn sie eine Strategie haben, ist es wichtig, diese zukunftsfähig zu gestalten. Teil dieser Strategie ist eine Automatisierung der Goverance-Aktivitäten.

Ein integrierter IGA-Ansatz für unternehmensinterne und B2B-Aktivitäten ist die Grundlage, um auf Entwicklungen wie das Metaversum und ein „Identity Trust Fabric“ reagieren zu können. Dazu braucht man dann auch die entsprechenden Werkzeuge, um Identitäten aus den verschiedenen Quellen im Griff zu behalten. Wenn sich neue Trust-Architekturen herausbilden, sollten man darauf vorbereitet sein.

Ein konkretes Beispiel für Identity Governance ist die Durchführung von Rezertifizierungen, also die regelmäßige Überprüfung der Zugriffsrechte in Systemen. Viele Unternehmen sind aus Gründen der Compliance und des Sicherheitsrisikomanagements bereits dazu verpflichtet. Aber auch neue Fragen müssen geklärt werden: Unternehmen müssen festlegen, wie sicher sie eine Identität einschätzen, wie vertrauenswürdig die von Dritten erhaltenen Identitätsinformationen sind, und inwieweit das „digitale Verhalten“ der Identität den Sicherheitsbedürfnissen des Unternehmens entspricht – ohne die Freiheit des Einzelnen zu beeinträchtigen.

Blick in die Zukunft

Das Metaversum eröffnet spannende Möglichkeiten für Unternehmen und stellt gleichzeitig eine Herausforderung für Sicherheit und Identitätsverwaltung dar. Das Identitätsmanagement wird immer komplexer, je mehr digitale Identitäten für unterschiedlichste Zwecke genutzt werden. Dadurch können Unternehmenswerte gefährdet werden. Identitätsmanager benötigen eine umfassende Strategie, um sicherzustellen, dass alle Personen und Geräte, die Zugang zum Netzwerk benötigen, die sind, für die sie sich ausgeben. Wer die genannten Herausforderungen und Risiken im Blick hat, ist gut aufgestellt für eine zukunftssichere Identitätsstrategie, die sich mit dem Metaversum gemeinsam entwickelt.

Weitere Informationen zum Thema:

datensicherheit.de, 10.03.2023
Identity Lifecycle Management – das A und O der IT-Sicherheit

Massives Datenwachstum, steigende Kosten für Cloud-Dienste und der Wunsch nach mehr Flexibilität geben dem Hosting von Daten und Workloads vor Ort neuen Auftrieb

Von unserer Gastautorin Ines Wolf, Manager Presales Central Europe bei Quantum

[datensicherheit.de, 13.09.2023] Die Vorteile von Cloud Computing sind unbestritten. Die Akzeptanz hat innerhalb des letzten Jahrzehnts rapide zugenommen. Einen großen Schub gab es in den vergangenen drei Jahren, als IT-Modernisierung und Remote-Arbeit viele Unternehmen regelrecht in die Cloud trieb. Während einige Workloads in der Cloud gut aufgehoben sind, stellen viele Unternehmen nun fest, dass ihre Daten und Workloads teilweise im eigenen Rechenzentrum besser aufgehoben wären. Folgerichtig setzen viele Unternehmen heute auf einen hybriden oder Multi-Cloud-Ansatz. Vor diesem Hintergrund hat sich die Rückverlagerung von Daten aus der Cloud in jüngster Vergangenheit zu einem wachsenden Trend entwickelt.

Ines Wolf, Manager Presales Central Europe, Quantum, Bild: Quantum

Die Kosten für Cloud-Computing steigen

Während die Public Cloud für bestimmte Anwendungsfälle kosteneffizient sein kann, hat sie im Allgemeinen zu höheren Kosten für Unternehmen geführt, die Daten und Workloads in die Public Cloud verlagert haben. Es gibt viele gute Gründe, warum Cloud-Dienste teurer geworden sind. Steigende Kosten, höhere Nachfrage oder wachsende Komplexität sind allesamt verständliche Gründe. Ein Hauptgrund, für die enorm gestiegenen Cloud-Budgets liegt jedoch darin, dass die Kosten für die Speicherung in einer Public Cloud aufgrund von Ausstiegs- oder anderen Servicegebühren unvorhersehbar geworden sind. Am Ende zahlen viele Unternehmen viel mehr für ihre Cloud-Dienste, als sie erwartet oder veranschlagt hatten. Um die Kosten zu senken und besser planbar zu gestalten, sehen sich die Unternehmen nach anderen Optionen um.

Unternehmen brauchen mehr Flexibilität in der Cloud

In einer perfekten Cloud-Welt könnten die Kunden ihre ideale Konfiguration einfach auswählen und ihre Daten und Workloads flexibel zwischen den Ebenen des von ihnen gewählten Multi-Cloud-Ökosystems verschieben. Das ist jedoch alles andere als einfach. Zum einen haben die Anbieter von Public Clouds die Kunden und ihre Daten erfolgreich an ihre Plattformen gebunden. Die Preislisten der Anbieter sind so strukturiert, dass es günstig ist, Daten in die Cloud hochzuladen, aber unvergleichlich teurer, sie wieder herunterzuladen. Da die Datenmengen immer weiter anwachsen, vor allem bei immer größeren Dateien unstrukturierter Daten, ist die Speicherung und Verarbeitung in der Cloud sehr teuer geworden. Zum anderen zwingt das Phänomen der „Data Gravity“ Unternehmen dazu, ihre Daten und Workloads in der Nähe zu halten. Und es kristallisiert sich heraus, dass ein Teil der Daten eines Unternehmens im Rechenzentrum verbleiben und nicht in die Cloud verlagert werden sollte, da es Bedenken hinsichtlich der Implementierung von Cloud-Speicher, der Datenhoheit und der Sicherheit gibt. Um diese Probleme zu lösen und ihre Cloud-Einrichtung zu verbessern, vergleichen Unternehmen alle Optionen, wo ihre Daten und Workloads idealerweise untergebracht werden könnten. Dabei kommen sie unweigerlich zu dem Schluss, dass ein Teil ihrer Cloud-Workloads wieder lokal angesiedelt werden sollte, da dies einen höheren ROI verspricht.

Eine vollständige Rückführung aus der Cloud ist wenig sinnvoll

Mehrere Faktoren beeinflussen die Entscheidung für eine Rückverlagerung aus der Cloud ins eigene Rechenzentrum. Auf der Speicherebene bietet das Aufkommen der Objektspeicherung auf preiswerten Bändern den Unternehmen ein verlockendes Argument für die Rückverlagerung geeigneter Daten auf ihre eigene Hardware. Die Renaissance des Bandspeichers kommt zu einer Zeit, in der sich die Speicherlandschaft von der Plattenspeicherung hin zu einer Speicherstrategie mit zwei Hauptebenen entwickelt: einer schnellen Flash-Ebene für Hochleistungs-Workloads und einer Bandebene als kostengünstiger Massenspeicher. Eine vollständige Rückführung von Daten und Workloads aus der Public Cloud ist für die meisten Unternehmen jedoch wenig sinnvoll, ebenso wie eine reine Cloud-Strategie weder wirtschaftlich noch praktikabel ist. In der Vergangenheit entschieden sich Unternehmen bewusst dafür, die zusätzlichen Kosten für den Betrieb von Anwendungen in Public Clouds in Kauf zu nehmen, um Flexibilität und Skalierbarkeit zu erhalten. Unternehmen, die aktiv nach Möglichkeiten einer besseren Datenportabilität suchen, sehen die Beweglichkeit sowohl auf der Hardware- als auch auf der Softwareebene als essentielle Komponente an. Nur mit einem flexiblen Gesamtsystem werden sie in der Lage sein, den optimalen Infrastruktur-Mix zu finden, einschließlich der Rückführung von Daten und Workloads zurück auf lokale Hardware, was einen „Nettogewinn“ an ROI brächte.

Workloads und Daten sinnvoll platzieren

Für einen höheren ROI brauchen Unternehmen mehr Flexibilität im Rechenzentrum. Der Aufbau von Hybrid- und Multi-Cloud-Umgebungen ermöglicht es Ihnen, ihre Workloads und Daten dort zu platzieren, wo es den meisten Sinn ergibt. Für einige Daten und Workloads bedeutet dies, dass sie aus der Public Cloud zurück ins Rechenzentrum verlagert werden, wo sie sich wesentlich kostengünstiger speichern lassen. Die Verfügbarkeit von NVMe als performante Flash-Speicher für Hochleistungs-Workloads bietet eine weitere Ebene der Flexibilität. Und für spezielle Anwendungsfälle, wie PaaS-Lösungen, eignet sich die Plattform eines Hyperscalers möglicherweise am besten.

Fazit: Unternehmen wählen Cloud-Flexibilität

Um von den Vorteilen des Cloud-Computings zu profitieren, benötigen Unternehmen heute ein Höchstmaß an Flexibilität, um für jeden Anwendungsfall die am besten geeignete Infrastruktur zu nutzen. Moderne Technologien wie softwaredefinierte Datenverwaltungslösungen helfen Unternehmen dabei, diese Flexibilität zu erreichen, während die Kombination von schnellem NVMe und preiswertem Bandspeicher Optionen zur Identifizierung des idealen Speicherorten für Daten und Workloads bietet. Es geht also längst nicht mehr um die Frage, ob man auf „Cloud-only“ oder „Nur vor Ort“ setzt, sondern um eine Kombination aus beidem. Flexibilität, Daten und Workloads bei Bedarf anzupassen, zu verschieben und zu migrieren sind weitere Vorteile.

Über die Autorin

Als Manager Presales Central Europe leitet Ines Wolf seit 2017 das Quantum Presales Team in Zentraleuropa. Als Expertin für die Organisation und Speicherung von Unternehmensdaten berät und unterstützt Ines Wolf Kunden seit 17 Jahren dabei, moderne und effiziente Storagestrategien zu entwickeln. Vor ihrem Wechsel zu Quantum 2005 war Ines Wolf als Presales System Engineer bei Sony und Project Engineer bei Sun Microsystems tätig.

Weitere Informationen zum Thema:

datensicherheit.de, 29.06.2022
Cloud-Security laut Delinea-Umfrage Hauptsorge der Cyber-Sicherheitsexperten