Zero-Trust: Vertrauen, aber überprüfen – Cybersicherheit für IKT-Unternehmen

das Leben unserer Lieben ist. Aber wir verlassen uns darauf, dass die gesamte Technik so funktioniert, wie sie sollte, und wir sicher nach Hause zurückkehren. Dasselbe gilt für andere menschliche Aktivitäten, IT und Telekom - munikation nicht ausgeschlossen. Es ist für Nutzer von entscheidender Bedeutung, darauf zu vertrauen, dass ihre Daten sicher sind. Damit es in Zukunft so bleibt, sollte von IKT-Unternehmen und ihren Kunden das Konzept des „Zero-Trust“ praktiziert werden. Vertrauen, aber überprüfen Egal, ob es sich um einen großen multinationalen Anbieter von IKT-Lösungen oder einen kleinen lokalen Internet - dienstanbieter handelt, Sie kennen ihre Lieferanten. Wahrscheinlich für lange Zeit und oft persönlich. Aber auch ein so langjähriger und zuverlässiger Partner kann, unabhängig von seinen Geräten oder seiner Software, Angriffen ausgesetzt sein oder einfach intern einen Fehler machen. Wie also damit umgehen? Es ist wichtig, jede Lösung, jedes Gerät, das uns der Lieferant anbietet oder das wir bereits verwenden, gründlich zu prüfen. Suchen Sie nach Schwachstellen, verfügbaren Informationen. Selbst der IKT-Sektor ist ein Geschäft wie jedes andere. Verlassen Sie sich nicht nur auf die Behauptungen des Lieferanten, sondern versuchen Sie, verifizierte objektive Informa - tionen zu erhalten. Nur den Lieferanten als Quelle zu verwenden, ist nicht der sinnvollste Ansatz. Behandeln Sie Hardware oder Software, selbst von einem bewährten Lieferanten, so als ob sie von einem Unter - nehmen stammt, das Sie nicht kennen. Das wird Sie umso vorsichtiger machen. Aber wie stellen Sie eine gründliche Prüfung sicher? Es ist nicht immer möglich, einzelne Komponenten intern zu überprüfen, sei es aufgrund von Personal- oder Ressourcenknappheit oder aus Zeit - mangel. Die Überprüfung durch Dritte ist die ideale Option. Über ein Unternehmen, das weder mit dem Liefe - ranten noch mit dem Kunden verbunden ist und über echtes Fachwissen in der technischen und Sicherheits - analyse und ausreichende Reputation in diesem Bereich verfügt. Es gibt auch Vorschläge, dass sich der Staat darum kümmern könnte, was nach Meinung von Vertretern des IKT-Sektors eine sehr „ernste“ Idee ist. Die Verifizierung vor der Bereitstellung ist jedoch keineswegs das Ende des Prozesses, sie ist nur der erste Schritt. Wenn Sie ein Produkt in das System einführen, richten Sie Mecha - nismen ein, damit es immer zweifelsfrei authentifiziert werden kann. Es ist eine gute Idee, zu prüfen, ob der neue Teil der Systemlösung seine Aufgaben erledigt. Aber es ist genauso wichtig zu wissen, dass es im normalen Betrieb nichts tut, was es nicht tun sollte. Weniger ist mehr An dieser Stelle geht es nicht um die Überprüfungs- und Kontrollmechanismen, sondern vor allem um den Endbenutzer. Es heißt, dass das größte Sicherheitsrisiko zwischen dem Stuhl und der Tastatur besteht. Dies ist normalerweise das Tor für Angreifer, um auf Systeme, Daten, Informationen zuzugreifen. Deshalb ist es auch ratsam, den Nutzern nur die grundlegenden Rechte zu geben, die sie für ihre Arbeit benötigen. Dadurch wird das Risiko minimiert. Dann können Sie dieselbe Logik auf andere Teile des Systems anwenden, auch wenn Sie diese bereits authentifiziert haben. Lasst uns alles überwachen Security Information and Event Management (SIEM) ist bereits Bestandteil fast aller wichtigen Systeme, deren Eigentümer sich um sie kümmern. Es wird jedoch nicht immer alles überwacht – aus Kapazitätsgründen wie Technologie, Mangel an Experten und mangelnde Bereit - schaft, in die Gesamtentwicklung zu investieren. Damit muss Schluss sein und die Überwachung von Sicherheits - ereignissen, ihre Bewertung sowie die anschließende Verarbeitung von Sicherheitsvorfällen sind weitere notwendige Schritte, um die Sicherheit des gesamten Systems zu gewährleisten. Das Schlimmste annehmen Selbst wenn alle möglichen Sicherheitsmaßnahmen getroffen wurden, kann es zu einem Sicherheitsvorfall kommen. Für solche Situationen sollten Prozesse für das Management von Sicherheitsvorfällen eingerichtet sein. Sie sollten ein Business Continuity- und Krisenma - nagement-System implementieren. Die beste Lösung So wie wir in ein Auto einer bewährten Marke steigen und automatisch glauben, dass es uns sicher von A nach B bringt, nutzen wir auch andere Dienstleistungen und Produkte, von denen wir unumstößlich annehmen, dass sie das höchste Maß an Sicherheit bieten. Niemand von uns wird wahrscheinlich ein Auto fahren wollen, das gemeinhin mit Problemen in Verbindung gebracht wird, in einem unsicheren Online-Shop einkaufen oder die Dienste eines Betreibers in Anspruch zu nehmen, der Mängel in der IT-Sicherheit aufweist und nicht nur seine Infrastruktur, sondern auch die Daten seiner Kunden schützen kann. Das Reparieren von Schäden ist ein fragiles Thema und selbst der kleinste fahrlässige Zwischenfall kann Schaden anrichten, der jahrelang nachwirkt. Je eher wir die Prinzipien des „Zero-Trust“ übernehmen und uns an die Tatsache gewöhnen, dass es in einer so komplexen Welt derzeit keine bessere Lösung als diese gibt, desto schneller wird unser digitales Ökosystem sicherer sein. Das sorgt nicht nur für mehr Vertrauen bei den Spezia - listen, die unter seine Haube sehen können, sondern auch bei den normalen Nutzern. Nicht zu vertrauen ist modern f eiy Un c hen Stellen Sie sich ein selbstfahrendes Auto vor, dessen künstliche Intelligenz (KI) eine riesige Menge an Daten enthält, auf deren Grundlage es Entscheidungen treffen kann, denen wir mehr als nur unser Leben anvertrauen. Für ihre Entscheidungsfindung benötigt die KI ein robustes Modell, das gute Daten auswertet. Ungenauig - keiten, ob absichtlich oder unabsichtlich in das Modell oder die Daten eingebracht, können eine Reihe von Situa - tionen verursachen, die in einer Tragödie enden. Als Fahrer kennen wir die Marke des Autoherstellers. Wer jedoch an seiner Herstellung beteiligt ist, wer für die Sicherheitsträumer verantwortlich ist, deren Abteilung für die Auswertung aller Informationen verantwortlich ist, ist nichts, das wir normalerweise herausfinden wollen. Obwohl uns nichts wichtiger als unser Leben und „Vertraue niemandem über dreißig“, sagte Jack Weinberg vor fast sechzig Jahren. Heute sollten IKT-Unternehmer und ihre Kunden noch viel strenger sein: „Vertraue niemandem!“