Die Ironie von Zero Trust

Autorin: Kris Lovejoy, Kyndryl Global Security and Resilience Leader

„Zero Trust“ ist eines der am wenigsten verstandenen, aber dennoch in Mode gekommenen Schlagworte im Bereich der Cybersicherheit. Blickt man auf die letzten Jahre zurück, ist es leicht zu verstehen, warum: Vertrauen ist heute ein knappes Gut. Von der exponentiellen Zunahme von Ransomware- und Kryptojacking-Angriffen bis hin zu den derzeitigen geopolitischen Krisen – es sind unsichere und beunruhigende Zeiten. Auch, wenn es um die Führung eines Unternehmens geht. Daher ist es nicht verwunderlich, dass das Konzept und die damit einhergehenden Implikationen viele Unternehmen ansprechen.

Die Ironie dabei: Zero Trust selbst basiert grundsätzlich auf Vertrauen.

Was genau bedeutet also „Zero Trust“?

Die Triebkräfte des aktuellen Cybersecurity-Hypes mögen relativ neu sein – von einem Boom bei der Verteilung von Arbeitskräften bis hin zu einer Entwicklung hin zu hybriden Cloud-Infrastrukturen. Der Begriff „Zero Trust“ selbst ist jedoch nicht neu. Er wurde erstmals 1994 geprägt und später vom ehemaligen Forrester-Analysten John Kindervag zu einer ganzheitlichen Sicherheitsphilosophie weiterentwickelt, die unter dem Deckmantel der „Deny by Default“- oder „Never Trust, Always Verify“-Richtlinien in der Branche die Runde gemacht hat.

Einfach ausgedrückt: Es handelt sich um eine Sicherheitsstrategie. Im weiteren Sinne um eine unternehmensweite Sicherheitseinstellung, die alle Endpunkte und Konten als nicht vertrauenswürdig betrachtet. Während andere Sicherheitssysteme – wie die früher bevorzugte Perimeter-Philosophie – nur eine standortbasierte oder Zwei-Faktor-Authentifizierung erfordern, wird Benutzern und Anwendungen bei Zero Trust nur dann und dort Zugang gewährt, wo sie ihn benötigen.

Mit anderen Worten: Durch die standardmäßige Verweigerung des Zugriffs erzwingt ein Zero-Trust-Ansatz ein dynamisches und kontinuierliches Überprüfungssystem für Benutzer und ihre Geräte. In der heutigen Zeit, in der Datenschutzverletzungen nicht mehr eine Frage des „ob“, sondern des „wann“ sind, können Unternehmen mit einem Zero-Trust-Ansatz ihre Daten besser schützen und die potenziellen Auswirkungen eines Angriffs minimieren, während gleichzeitig eine lokalisierte, schnelle Reaktion möglich ist.

Eine Analogie: Das Zero-Trust-Hotel

Stellen Sie sich vor, das Netzwerk Ihres Unternehmens ist ein Hotel, in dem der Zugang zu den Zimmern über einen Kartenschlüssel geregelt ist. Wenn Besucher früher in dieses Hotel – nennen wir es Perimeter-Hotel – eincheckten, mussten sie einen kurzen Prozess der Identitätsprüfung durchlaufen, bevor sie ihren Kartenschlüssel erhielten. Mit dem Kartenschlüssel in der Hand hatten sie dann mehr oder weniger freien Zugang zu allen Zimmern des Hotels, mit Ausnahme derjenigen, die speziell verschlossen waren.

Wenn Besucher im Zero-Trust-Hotel einchecken, kehrt sich die Situation jedoch um. Selbst nach dem sehr viel gründlicheren Check-in-Verfahren des Hotels dient der Kartenschlüssel des Besuchers nicht mehr als Zugangskarte. Diesmal ist jede einzelne Tür für ihn verschlossen, mit Ausnahme derjenigen, die speziell aufgeschlossen wurden. Er kann zwar den Zutritt zu einigen dieser unverschlossenen Türen verlangen, doch wird ihm dieser nur dann gewährt, wenn er ihn unbedingt benötigt.

Im Zero-Trust-Hotel hat der Kartenschlüssel sogar noch weniger Macht. Hier erhalten die Besucher Zugang, indem sie sich anhand vieler verschiedener Faktoren verifizieren, die alle wesentlich präziser sind als das kleine Rechteck aus Plastik, das so leicht verloren geht oder gestohlen werden kann. Das wiederum erspart dem Besucher die Zeit, in seinem Gepäck nach dem lästigen Kartenschlüssel zu suchen. Und es gibt ihm die Gewissheit, dass das Zimmer, das er betritt, genau das ist, das er betreten muss.

Der Hotelbesitzer kann beruhigt schlafen, denn er weiß, dass sein Haus so sicher wie möglich ist, während er gleichzeitig seinen Betrieb aufrechterhalten kann.

Die größte Ironie von Zero Trust

Damit eine Zero-Trust-Architektur funktioniert, muss ein Unternehmen absolutes Vertrauen in das System selbst setzen können. Mit anderen Worten: in das Sicherheits-Framework für die Überprüfung, Überwachung und Datenspeicherung, welche diesen umfassenden Ansatz ausmachen.

Bei Kyndryl betrachten wir Zero Trust als fünf integrierte Sicherheitssäulen: Identität, Gerät, Netzwerk, Anwendung und Daten. In den meisten Unternehmen sind die Cybersicherheitssysteme isoliert. Eine Abteilung kümmert sich um die Identitätsüberprüfung, eine andere um die Endpunktsicherheit, wieder eine andere um die Firewall und so weiter. Mit Zero Trust wird Sicherheit zu einem integrierten 360-Grad-System, bei dem die Kommunikation und Zusammenarbeit zwischen diesen Säulen oder Abteilungen entscheidend ist und Identitäten, Passwörter und Netzwerkressourcen in vertrauenswürdigen Repositories zentralisiert werden.

Nur in der Theorie einfach

Ein Teil der Schwierigkeit besteht darin, dass Zero Trust ein grundlegendes Umdenken im Bereich der Sicherheit auf organisatorischer Ebene erfordert. Der erste Schritt besteht darin, diesen Ansatz nicht mehr als eine Richtlinie oder als ein Produkt aus einer Hand zu betrachten. Stattdessen sollte es als ein dynamischer und sich entwickelnder Sicherheitsprozess ohne festen Endpunkt verstanden werden.

Dies ist eine der größten Herausforderungen für das System. Es ist aber auch einer der größten Vorteile von Zero Trust. Durch die Annahme dieser risikobasierten und anpassungsfähigen Politik sind Unternehmen in der Lage, eine Reihe von Sicherheitspraktiken zu entwickeln, die speziell auf ihre Bedürfnisse zugeschnitten sind.

Dieser Beitrag von Kris Lovejoy erschien zuerst auf Englisch auf LinkedIn.

CIOKurator.News #33: Green IT, Nachhaltigkeit, Energieeffizienz und Klima im Fokus des CIO

Die Ausgabe #33 der CIOKurator.News hat einen Schwerpunkt: Nachhaltigkeit, Energieeffizienz, Klima, Rechenzentren und all die Aspekte, die hier wichtig sind. Logischerweise spielen die verschiedenen Spielarten der Cloud dabei eine maßgebliche Rolle. Und diese ist oft noch eine Private Cloud, wie gerade eine Umfrage ergeben hat.

Weitere Themen: Das Biest Ransomware und die Zusammenarbeit zwischen dem Business und dem CIO, der IT. Wie bekommt man die Ziele am besten übereinander. Viel Spaß bei der Lektüre.

Jeden Freitag stellen wir für Sie die wichtigsten deutschsprachigen Nachrichten für CIOs und IT-Entscheider zusammen. Ein wöchentlicher Newsletter und Sie sind im Bilde.
Hier können Sie den Newsletter per E-Mail abonnieren.

CIOKuratorNews #32: Gartner verkündet Cloud-Marktanteile für IaaS – Was wird mit Gaia-X (und mehr)

Und wieder ein bunter Mix an Themen: Gartner veröffentlicht seine Zahlen für Infrastructure as a Service, AWS konferiert in Berlin und meine Kollege Christian Peckart stellt vor, wie VMWare und Kyndryl License as a Service anbieten, um Kosten zu sparen. Weitere Themen: die europäische Cloud-Initiative Gaia-X, Mainframes und Anwendungsmodernisierung sowie zwei Beiträge, wie man mit Beratern umgeht. Security-Themen und Informationen zu Whistleblowern ergänzen unsere Auswahl. Und natürlich darf ein Bericht über Apples Entwicklerkonferenz WWDC2022 nicht fehlen, auch wenn Apple in Unternehmen wohl nicht die dominierende Rolle spielt.Viel Spaß beim Lesen!
Jeden Freitag stellen wir für Sie die wichtigsten deutschsprachigen Nachrichten für CIOs und IT-Entscheider zusammen. Ein wöchentlicher Newsletter und Sie sind im Bilde.
Hier können Sie den Newsletter per E-Mail abonnieren.

License as a Service: Für eine bessere und schnellere Umsetzung einer Cloud-Strategie

Der Weg von Unternehmen in die Cloud ist ohne hybride Cloud-Modelle und Multi-Cloud-Umgebungen kaum vorstellbar. Unterschiedliche Plattformen und digitale Geschäftsmodelle stellen die bisher üblichen Lizensierungsmodelle jedoch vor große Herausforderungen.

Deswegen haben Kyndryl und VMware auf Basis ihrer 2021 geschlossenen Partnerschaft das flexible Lizenz-Modell „License as a Service“ (LaaS) geschaffen. Es ist die nächste Evolutionsstufe des Enterprise-License-Agreement-Modells und ermöglicht es Unternehmen, ihre geschäftskritischen Anwendungen schneller und günstiger in die Cloud zu verlagern.

Für jede Anwendung – jede Cloud – jedes Gerät

Kern des neuen Modells: Die Kunden erhalten mit einem flexiblen Bezahlmodell Zugang zum marktführenden VMware-Produktportfolio. Unabhängig von der eingesetzten Cloud-Plattform können Kunden VMware-Lizenzen nutzungsabhängig („Pay per Use“) einsetzen. Laas funktioniert für jede Anwendung auf jeder Cloud und auf jedem Gerät.

Maßgeschneiderte Lizensierung

Die Bereitstellung von Lizenzen in einem Servicemodell flexibilisiert die Nutzung von Lizenzen im Vergleich zu bisherigen Modellen. Mit der maßgeschneiderten Lizensierung nach Verbrauch können Unternehmen ihre Cloud-Reise so gestalten, wie es für ihre Geschäftssituation am sinnvollsten ist.

Eine Verlagerung von Arbeitslast in die Cloud bringt unmittelbare Ersparnisse im Lizenzverbrauch der on-premise Umgebung. Gleichzeitig wird die Abhängigkeit von Cloud-Anbietern reduziert. Die on-demand Bereitstellung der Lizenzen ist sehr leicht skalierbar. Das gilt auch bei der Harmonisierung mehrerer Verträge innerhalb einer Konzerngruppe und der Integration oder Abspaltung von Unternehmensteilen.

Schneller und günstiger Zugriff auf neue Technologien

VMware bietet seinen Kunden regelmäßig innovative Technologien und neue Mehrwerte an. In dem flexiblen Pay-per-Use-Modell können Unternehmen diese Vorteile ohne Zeitverlust einsetzen und kommerzielle Vorteile nutzen. Ein Umstieg auf eine neue Lösung führt nicht zu einer Doppellizensierung während der Migration. Sowohl das neue Produkt als auch die Vorgängerversion werden nach Verbrauch lizensiert.

Lizenzsicherheit

Ein weiterer Vorteil des nutzungsbasierten Abrechnungsmodells ist die passgenaue Lizensierung in allen Bereichen. Das Risiko einer Über- oder Unter-Lizensierung wird ausgeschlossen.

Zur genauen Vermessung des Lizenzbedarfs wird das „VMware Cloud Usage Meter“ eingesetzt. Dies ist der plattform-übergreifende und erprobte Standard. Das Tool sammelt alle relevanten Daten und ermöglicht somit ein pro-aktives Monitoring und eine Kapazitätsplanung.

Die Rolle von Kyndryl und VMware

Das Kerngeschäft von Kyndryl ist der Betrieb von geschäftskritischen Anwendungen. Dafür stellt Kyndryl seinen Kunden eine passgenaue, maßgeschneiderte IT-as-a-Service bereit. Unsere Berater unterstützen Kunden dabei ihre VMware-Umgebung so zu gestalten, dass künftige Änderungen oder Modernisierungen bereits mitgedacht werden. Die Consultants bringen Know-How aus einer Vielzahl von VMware-Zertifizierungen mit und greifen auf jahrelange praktische Erfahrung zurück. Aus der Partnerschaft von Kyndryl und VMware werden kontinuierlich neue innovative Services entwickelt, um die digitale Transformation von Unternehmen zu unterstützen und ihren Weg in die Cloud so einfach wie möglich zu machen.

Christian Peckart
Christian Peckart

Sales Representative Hybrid Cloud bei Kyndryl Deutschland

CIOKurator.News #31: Outsourcing-Trends, Smart Factory, Industrie 4.0 und mehr

Zur Einstimmung in das Pfingstwochenende versorgen wir Sie wieder mit dem Wichtigsten aus der IT-Welt. Wir starten mit dem Thema Outsourcing mit einer Einschätzung, bei welchen Themen das mehr Sinn macht. Lünendonk hat seine bekannte Liste der IT-Dienstleister veröffentlicht. Kyndryl ist logischerweise erstmals dabei und wird bei den IT-Service-Unternehmen auf Platz 4 in Deutschland geführt.

Während sich in Hannover das Who ist Who der Industrie die Hand gibt, stellen wir uns die Frage “Wie digital sind wir in Deutschland eigentlich?” Und ist diese digitale Umgebung ausreichend vor Cyberangriffen geschützt? Zu Letzterem spricht unser Kollege Dominik Bredel im aktuellen “heise meets … Der Entscheider-Talk” – Podcast. Reinhören lohnt sich!

Weitere Themen diese Woche: Wie verhält sich Russland mit dem Rücken zur Wand? Stehen Hackerangriffe aus Russland auf unsere kritische Infrastruktur bevor? Microsoft pusht Multi-Faktor-Authentifizierung – Nervig oder sehr sicher? Exponierte MySQL Server und ein globaler Blick auf den Markt für Rechenzentren.

Happy Pride Month.

CIOKuratorNews #30: „Microsoft will Streit mit Kartellbehörden vermeiden“

Herzlich willkommen zum Nach-Vatertags-Newsletter. Unser heutiger Fokus liegt auf Microsoft und Cloud Computing, insbesondere mit Blick auf Marktanteile und den Auseinandersetzungen mit europäischen Wettbewerbern. Data Privacy und die DSGVO sind Dauerbrenner für jeden IT-Entscheider. Der Bitkom fordert Nachbesserungen und Unternehmen wie – schon wieder – Microsoft, müssen sich den Herausforderungen stellen.Weitere Themen diese Woche: Nachhaltigkeit, mit der sich auch CIOs immer mehr beschäftigen und das nicht nur im Rechenzentrum. Außerdem Security: Hier ist es wichtig, dass sich die Mitarbeiterinnen und Mitarbeiter an die Abläufe halten. Doch das ist nicht immer so…
Und zum Abschluss etwas zum Schmunzeln. Viel Spaß!
Jeden Freitag stellen wir für Sie die wichtigsten deutschsprachigen Nachrichten für CIOs und IT-Entscheider zusammen. Ein wöchentlicher Newsletter und Sie sind im Bilde.
Hier können Sie den Newsletter per E-Mail abonnieren.

CIOKurator.News #29: Migration von Lösungen in die Cloud bleibt heißes Thema, gerade auch für SAP

Die Migration von immer mehr Lösungen in die Cloud steht weiterhin für CIOs ganz oben auf der Agenda. Ob es darum geht, SAP in der Cloud zu betreiben, oder ob sensible Branchen wie Banken daran denken, immer mehr in die Cloud zu gehen. Und auch der “Digital Workplace” ist immer häufiger ein Arbeitsplatz in und aus der Cloud.

Weitere Themen unseres Newsletters diese Woche:

  1. Rechenzentren: Wo stehen sie am besten und wie energieeffizient und umweltfreundlich sind sie?
  2. Und, natürlich, Cybersicherheit: Die Verletzlichkeit von IT-Unternehmen und die Folgen von Ransomware-Attacken.

Viel Spaß bei der Lektüre.

Jeden Freitag stellen wir für Sie die wichtigsten deutschsprachigen Nachrichten für CIOs und IT-Entscheider zusammen. Ein wöchentlicher Newsletter und Sie sind im Bilde.
Hier können Sie den Newsletter per E-Mail abonnieren.

Managed SAP – Welche Unterstützung benötigen Unternehmen auf dem Weg in die Cloud?

Unternehmen in Deutschland beschäftigen sich mit der Frage der Migration von SAP-Anwendungen in die Cloud. Eine gewisse Skepsis und einige Hürden sind vorhanden, auch wenn die Vorteile eines Wegs in die Cloud vielfältig sind, wie wir in einem ersten Beitrag zum Thema Managed SAP in der Cloud behandelt haben.

In diesem zweiten Gespräch steigt Stefan Pfeiffer tiefer in Angebote, Fähigkeiten und Assets von Kyndryl ein. Er spricht dazu mit dem Experten Christian Markus, Senior Managing Consultant und Technical Presales Architect bei Kyndryl in Deutschland:

Managed SAP bei Kyndryl Deutschland

  • Wie unterstützt Kyndryl seine Kunden bei dem großen Projekt, mit SAP und anderen Anwendungen in die Cloud zu ziehen?
  • Was macht Kyndryl besonders? Warum sollten Unternehmen mit Kyndryl den Weg in die Cloud gehen?
  • Wie stellt Kyndryl die Service-Qualität sicher?
  • Wie unterstützt Kyndryl seine Kunden bei der Migration von SAP-Anwendungen in die Cloud?

Das Fazit lautet: Unternehmen sollten die Option überprüfen, den SAP-Betrieb und gegebenenfalls auch die Bereitstellung der Infrastruktur an einen externen Partner abzugeben, um sich und die eigenen Mitarbeiter auf die anstehende S4/HANA-Migration zu fokussieren.

Christian Markus
Christian Markus

Christian Markus ist Senior Managing Consultant for Managed Cloud, SAP und Oracle bei Kyndryl Deutschland.

CIOKurator.News #28: Was CIOs umtreibt, SAP & Cloud, einige Security-Themen und … Wodka

Auf was sollte sich der CIO konzentrieren? Diese Frage wird in jedem Jahr gestellt und Berater geben Empfehlungen ab, in unserem Fall Cap Gemini. Wie viele Anbieter, will oder muss SAP mit seinen Lösungen in die Cloud. Doch das funktioniert noch nicht wie gewünscht. Und viele CIOs kennen den Schmerz: Man findet einfach nicht genug Experten. Zwei Artikel geben einen Überblick.

Schließlich ist Security immer wieder ein Thema, vom Endpoint Management bis zu Hackerangriffen, die in Russland die Wodka-Zufuhr unterbrochen haben. Wir konnten uns nicht verkneifen, den letzteren Beitrag ebenfalls zu verlinken.

Besonders möchten wir auch auf den Beitrag unseres Kyndryl-Kollegen Dominik Brendel aufmerksam machen.

Viel Spaß bei der Lektüre!
Jeden Freitag stellen wir für Sie die wichtigsten deutschsprachigen Nachrichten für CIOs und IT-Entscheider zusammen. Ein wöchentlicher Newsletter und Sie sind im Bilde.
Hier können Sie den Newsletter per E-Mail abonnieren.

CIOKurator.News #27: IoT und Cloud oder Google und Amazon – und vieles mehr

In dieser Woche haben wir ein buntes Potpourri an Themen kuratiert. Im Zentrum steht einmal mehr das Thema Cloud unter den Aspekten IoT und Cloud oder Google und Amazon. Und auch der Mainframe soll eine wichtige Rolle in Cloud-Umgebungen spielen. Doch der CIO von heute muss sich noch mit anderen Themen befassen. Dazu gehört der Fachkräftemangel ebenso wie die steigenden Anforderungen im ESG-Bereich (Environment, Social, Governance).

Viel Spaß bei der Lektüre.

Und natürlich freuen wir uns über Kommentare.
Jeden Freitag stellen wir für Sie die wichtigsten deutschsprachigen Nachrichten für CIOs und IT-Entscheider zusammen. Ein wöchentlicher Newsletter und Sie sind im Bilde.
Hier können Sie den Newsletter per E-Mail abonnieren.