Kategorie: Security & Resiliency

Die Bedrohungen durch Cyberangriffe wachsen immer weiter. Umso wichtiger ist es, die Mitarbeiterinnen und Mitarbeiter aufzuklären und zu wissen, wie man auf Cybersecurity-Bedrohungen abwehrt und im Krisenfall reagiert, widerstandsfähig im Sinne von Resiliency bleibt.

News KW3-2023: IT-Sicherheit als Chefsache, SAP, Cloud und Kyndryl im Mittelstand

Die CIOKurator.News für die Kalenderwoche 3. Unsere Themen: Die neue EU-Richtlinie zu IT-Sicherheit, bei SAP eine On-prem-Abap-Fraktion und eine Cloud-only-Fraktion, wie geht es weiter in der Reise in die Cloud nach „Lift and Shift“ sowie Kyndryl als Partner im deutschen Mittelstand. Viel Spaß bei der Lektüre.

Herzlich willkommen zu den CIOKurator.News für die Kalenderwoche 3. Unsere Themen: Die neue EU-Richtlinie zu IT-Sicherheit, bei SAP eine On-prem-Abap-Fraktion und eine Cloud-only-Fraktion, wie geht es weiter mit der Reise in die Cloud nach „Lift and Shift“ sowie Kyndryl als Partner im deutschen Mittelstand. Viel Spaß bei der Lektüre.

Neue Richtlinie: IT-Sicherheit muss überall Chefsache werden

Christof Kerkmann greift im Handelsblatt die neue Richtlinie NIS-2 der EU zu Cybersecurity auf, die Unternehmen mit mindestens 50 Mitarbeitern und zehn Millionen Euro Umsatz, also sehr viele Firmen, betrifft. Noch sei IT-Sicherheit in vielen Unternehmen keine Chefsache. Das werde sich in den nächsten Monaten ändern müssen. In der Umsetzung, so kommentieren Experten, werde es schwierig die Richtlinie bis Ende 2024 umzusetzen, denn in vielen Unternehmen fehle es an Kompetenz, die Maßnahmen selbst umzusetzen und Berater seien nicht in ausreichendem Maß vorhanden.

Die wohl zentrale Anforderung: IT-Sicherheit wird zum Teil der Unternehmenssteuerung. Organisationen müssen ein Risikomanagement und Notfallpläne einführen. Auch ein System für die zügige Meldung von Vorfällen an die Aufsichtsbehörden wird künftig verpflichtend. Ein großes, weil komplexes Thema ist die Absicherung der Lieferketten. Immer wieder dringen Kriminelle und Spione über Zulieferer in die Systeme anderer Unternehmen ein …

EU-Richtlinie für Cybersicherheit setzt Unternehmen unter Zeitdruck

SAP: On-prem-Abap-Fraktion und eine Cloud-only-Fraktion

Peter M. Färbinger, langjähriger intimer Kenner der SAP-Szene und Herausgeber von E-3, analysiert in seinem Beitrag die Herausforderung der SAP, die voll auf Cloud setzt, bei der aber viele Kunden gerade in Europa weiter im eigenen Rechenzentrum bleiben wollen. Könnte es gar ein Code Splitting und zwei Hauptproduktlinien geben? Schwer vorstellbar.

Code-Splitting würde demnach eine On-prem-Abap-Fraktion und eine Cloud-only-Fraktion hervorbringen. Wahrscheinlich wären beide Teile sehr erfolgreich, aber beide Teile würden sich auch mit Lichtgeschwindigkeit voneinander entfernen. 

SAP zerfällt – E-3 Magazin

Doch offensichtlich fordern viele Kunden auch wieder eine Konzentration auf das ursprüngliche SAP-Kerngeschäft, die Weiterentwicklung rund um ERP, und nicht so sehr auf die Cloud, so Färbinger.

Reise in die Cloud: „Lift and Shift“ ist gegessen- und nun?

Und weiter geht es mit der Reise in die Cloud: Die tief hängenden Früchte haben viele Unternehmen bei ihrer Reise in die Cloud oft schon geerntet. Oft mit Lift und Shift wurden mit „Lift and Shift“ Anwendungen schnell migriert. Jetzt wird es schwieriger, denn es geht um komplexere, geschäftskritische Systeme und die können nach genanntem Prinzip eben nicht portiert werden, so eine Studie von Accenture, über die CIO.DE berichtet. Genau über das Thema Cloud-Migration haben auch einige Experten, unter anderem der Kyndryl CIO Stephan Hierl, gesprochen, nicht über das „Ob“ mehr, sondern nur noch die Frage des „Wie“. Hier geht es zum Beitrag auf Computerwoche.de.

In eigener Sache: Kyndryl als Partner der Hidden Champions und des Mittelstands

In den vergangenen Tagen sind Gespräche mit dem Geschäftsführer von Kyndryl Deutschland, Markus Koerner, in der FAZ und in der Computerwoche erschienen. Anlass für uns, einige Kernaussagen hier zu zitieren und beide Beiträge zu empfehlen. Kyndryl ist, so Koerner, ein idealer Partner für den deutschen Mittelstands, für viele weltweit tätige Hidden Champions, die oft noch ihre IT im Eigenbetrieb betreiben:

„Angesichts der heutigen Komplexität dieser Technik sind aber viele von ihnen überfordert. Mit mehr Komplexität steigen auch die Kosten.“

Markus Koerner laut FAZ (Link folgt)

Zudem kommt angesichts der aktuellen Situation mit Ukraine-Krieg, Inflation, gestörten Lieferketten und steigenden Energiekosten der Kostendruck im Mittelstand an:

Der Markt wendet sich wieder, interessanterweise besonders beim Mittelstand mit seinen energieintensiven Branchen wie Anlagen- und Maschinenbau. Diese versuchen nun, Kosten einzusparen, und da ist eines der großen Themen auch das IT-Sourcing.

Kyndryl-Deutschland-Chef im Interview: Trotz starker Pipeline könnte es schneller gehen – computerwoche.de

Diese Mittelständler kommen . Im Gespräch mit der Computerwoche empfehlen wir insbesondere den Abschnitt zu Service Management für und in der Cloud. Cloud sei kein Selbstläufer. Oft werde vergessen, dass auch Cloud-Kunden einen Partner für das Management der gesamten Infrastruktur brauchen.

Weitere Lesezeichen in aller Kürze

Hier noch einige Lesezeichen. Die Redaktion der Computerwoche beschäftigt sich mit einer Studie zum Thema SaaS, Software as a Service. Demnach haben die Hälfte der deutschen Unternehmen die konzernweit genutzten SaaS-Anwendungen nicht im Griff. Mehr dazu hier.

Hochinteressant ist auch der Beitrag auf FAZ.NET zum Thema Industrie 4.0 und vernetzte Fertigung. Stephan Finsterbusch und Uwe Marx betrachten den einmal definierten Anspruch und die gegenwärtige Umsetzung. Die Fortschritte, die man sich versprochen hatte, sind bisher nicht eingetreten. Aber wie kann es weitergehen? Der Beitrag befindet sicher hinter der Paywall.

News künftig zwei-wöchentlich

In eigener Sache: Wir planen, die CIOKurator.News ab der kommenden Ausgabe zweiwöchentlich zu versenden. Damit reagieren wir auf das Ergebnis einer Umfrage unserer Kyndryl-internen Leserschaft.

Unser CIOKurator-Newsletter ist umgezogen. Wir versenden ihn jetzt direkt aus WordPress heraus. Hier können Sie den Newsletter abonnieren.

Bild von Gerd Altmann auf Pixabay

News KW2-2023: ITK-Markt wächst, Unternehmen investieren etwa 2 bis 3 Prozent in ihre IT

Auch die zweite Kalenderwoche ist noch durch Beiträge zum neuen Jahr geprägt. So erwartet der Digitalverband Bitkom für die Unternehmen der IT, Telekommunikation und Unterhaltungselektronik in diesem Jahr ein Umsatzplus von 3,8 Prozent, die Umsätze werden demnach mit 203,4 Milliarden Euro erstmal über die 200-Milliarden-Euro-Marke klettern.

Bitkom-Prognose 2023: ITK-Markt knackt 200-Milliarden-Euro-Marke

Besonders deutlich wachsen dabei die Geschäfte mit Plattformen für Künstliche Intelligenz (+41,8 Prozent auf 1,1 Milliarden Euro), mit Collaborative Applications (+15,6 Prozent auf 1,6 Milliarden Euro) und Sicherheits-Software  (+11,4 Prozent auf 3,3 Milliarden Euro). Wer tiefer in die Prognosen des Bitkoms eintauchen will, kann sich hier die Pressemitteilung mit Daten zu den Wachstumsbereichen und hier die Präsentation anschauen. Die Computerwoche fasst die Pressekonferenz hier in ihrem Bericht zusammen.

Wie viel geben die 100 größten deutschen Unternehmen für IT aus?

Wie viel geben die 100 größten deutschen Unternehmen für IT aus? Im CIO-Jahrbuch veröffentlicht die Redaktion des CIO-Magazins jährlich die wichtigsten Kennzahlen der 100 größten Unternehmen Deutschlands. Die meisten Betriebe reservieren etwa zwei bis drei Prozent ihres Umsatzes für IT. In diesem Beitrag sind die Daten einiger Unternehmen zu finden.

ISG Research: Zeichen stehen auf digitaler Resilienz und Kostenoptimierung

Heiko Henkes,Director Research und Principal Analyst bei ISG Research, bewertet auf CIO.DE die IT-Trends 2023. Auch er sieht. dass die Zeichen damit fast überall auf (digitaler) Resilienz und Kostenoptimierung stehen.

Für CIOs bedeutet dies, dass die aktuellen IT-Trends eine Renaissance altbekannter Themen wie Green IT, Digital Twin oder Customer Experience darstellen. Denn zum einen müssen Unternehmen gerade im aktuellen makroökonomischen Kontext effizienter werden und Kosten sparen. Zum anderen rückt die Resilienz von Geschäftsmodellen, der Organisation und von Technologien in den Vordergrund. Dies beinhaltet vor allem die Vorbeugung und Abwehr der immer häufigeren und bedrohlicheren Cyberangriffe.

IT-Trends 2023: Resilienz und Effizienz stehen auf der CIO-Agenda – cio.de

Den Trend #1, den Henkes, anführt ist Digitale Nachhaltigkeit, ESG und Transformation der Lieferketten. Nachhaltigkeit sei zum Dauerbrenner für unterschiedliche Verantwortungsträger im Unternehmen geworden.

ESG-konforme Investments im Jahr 2022 ungefähr 40 Billionen Dollar – bis 2025 50 Billionen

Lünendonk greift mit einigen Partnern das Thema Environmental, Social, and Corporate Governance in einem eigenen Magazin auf. Jörg Hossenfelder, Geschäftsführender Gesellschafter der Lünendonk & Hossenfelder GmbH, führt wie folgt ein:

Nachhaltigkeit ist kein gänzlich neues Thema, doch gewinnt es gerade an Tragweite und Dynamik. So erheben Kunden Nachhaltigkeit vermehrt zum ausschlaggebenden Faktor im Einkaufsprozess und Investoren entdecken ihr Herz für nachhaltige Investments. Laut Bloomberg Intelligence beläuft sich das weltweite Volumen ESG-konformer Investments im Jahr 2022 auf ungefähr 40 Billionen Dollar und dürfte bis 2025 auf 50 Billionen anwachsen.

Wer sich zu den verschiedenen Aspekten informieren will, findet das Magazin gegen Registrierung hier.

Hacking Trends 2023 in der Wirtschaftswoche

Das Thema Cybersecurity und Hacking ist schon lange auch in der Business-Presse angekommen. Auch Thomas Kuhn greift die die gefährlichsten Hacking-Trends 2023 in seinem Artikel auf Wirtschaftswoche Online (wiwo.de) auf und hat verschiedene Experten zu Sicherheitsaspekten von Homeoffice, Lieferketten, Attacken auf Behörden bis zu Angriffen über Teams, Slack und Zoom befragt. Künstliche Intelligenz, die sowohl Hacker wie auch Unternehmen zur Abwehr einsetzen, spielt dabei eine immer wichtigere Rolle im Katze- und Mausspiel.

Investiert Microsoft 10 Milliarden in Open AI?

Dies führt uns zu einem Thema, das wir vergangene Woche bereits in unsere News aufgenommen haben. ChatGPT, der Chatbot von Open AI, wird auch eingesetzt, um Malware schreiben zu lassen. Also auch hier erhöhte Obacht. Jenseits dieses Aspekts ist viel Bewegung rund um ChatGPT. So berichten diverse Medien- u.a. das Handelsblatt -, dass Microsoft weitere 10 Milliarden in Open AI investieren wolle und auch plane ChatGPT in die Office-Suite zu integrieren. Auch wenn das sicher nicht morgen der Fall sein wird, können wir davon ausgehen, dass uns das Thema intensiv weiter beschäftigen wird. Ein Firmenprofil von Open AI ist übrigens hier bei der Wirtschaftswoche zu finden.

In diesem Sinne viele Grüße

André, Roland & Stefan

Bild von fancycrave1 auf Pixabay

Unser CIOKurator-Newsletter ist umgezogen. Wir versenden ihn jetzt direkt aus WordPress heraus. Hier können Sie den Newsletter abonnieren.

An Zero Trust führt kein Weg vorbei – Simon Taylor (Microsoft) und Dominik Bredel (Kyndryl) im Gespräch

Die aktuellen weltpolitischen Geschehnisse zwingen nicht nur Staaten, sondern auch Unternehmen jeder Größe dazu sich mit der Sicherheit seiner IT auseinander zu setzen. Hierbei wird immer wieder das Konzept „Zero Trust“ angesprochen. Doch was genau ist „Zero Trust“. In folgenden Kyndryl Talk erklären Dominik Bredel – Associate Partner bei Kyndryl und Simon Taylor – Cloud Security Architekt bei Microsoft das Konzept Zero Trust.

Viel Spaß beim Anschauen:

Die IT-Welt hat sich in den letzten Jahrzenten stark verändert. Im vergangenen Zeitalter der Großrechner wurden Daten von many-to-one transportiert. Heute in Zeiten von Hybrit- und Multicloud werden Daten an unzählbaren Punkten gesammelt und weiter transportiert (many-to-many). Diese Daten, die überall entstehen müssen, geschützt werden. Hier kommt das Konzept von Zero Trust ins Bild. Eine Umfrage des Cyber-Security Insider zeigt, das Zero Trust kein Buzzword ist, sondern eine Security Konzept, für modernen IT-Landschaften.

Zero Trust ist ein Security Konzept in 5 Domänen – Identitäten, Geräten, Netzwerken, Anwendungen und Daten. Diese beschreiben, welche Mechanismen und Methoden wo eingesetzt werden müssen, um einen moderne IT-Landschaft zu betreiben. Dabei sind drei Leitlinien zu betrachten, welchen in den Kernen des Konzeptes Zero Trust stehen:

  1. Verify explicitly – Das Einbeziehen aller verfügbaren Datenpunkte bei der Autorisierung und Authentifikation.
  2. Least privilege access – Die Einschränkung der Nutzerzugängen auf das geringste Minimum.
  3. Assume breach – Die Annahme, dass es einen Security Breach geben wird. Sodass alle Systeme nach der Minimierung der Ausbreitung des Schadens aufgestellt werden können (Segmentierung).

Abschließen erläutern die Experten, welche Maßnahmen jedes Unternehmen umsetzen kann, um mit der Implementierung des Konzeptes Zero Trust zu starten:

  1. Stärkung der Credentials: Verwenden Sie starke Credentials in Verbindung mit Multi-Faktor-Authentifizierung
  2. Reduzierung der Angriffsflächen: Implementieren Sie ein conditional access, welches Zugriffe erlaubt/ limitiert nach Usern, Geräten, Anwendungen um Lokationen.
  3. Setzen Sie SSO und Self-services Portale ein, um den Aufwand der User bei der Nutzung des Zero Trust Konzeptes zu minimieren.

Wenn Sie noch weitere Fragen haben, können Sie sich gerne an Simon oder Dominik wenden:

CIOKurator.News #55: FinOps und Public Cloud, Automatisierung und Cloud-Architekten und vieles mehr

Auch in dieser Woche kursieren wir wieder die aktuellen Meldungen der deutschen IT-Presse. Unser Kollege Viktor Greve bewertet FinOps als Mittel, die Kosten der Public Cloud im Griff zu behalten. Viktor wird als IT Architekt sicher auch das Thema Automatisierung und Cloud-Architektur interessieren. Das Handelsblatt und die Computerwoche berichten über die Initiative von SAP, mit No Code und Low Code Software durch Anwender entwickeln zu lassen. Weiterhin blicken wir einmal mehr auf Künstliche Intelligenz, verschiedene Aspekte von Cybersecurity und unseren Kunden Symrise, der seine digitalen Arbeitsplätze durch Kyndryl modernisieren und betreiben lässt.

Abenteuer in Click-Bait County und warum Zero-Trust Architekturen nur ein Teil der Lösung sind 

Ich halte mich für einen security-affinen Menschen. Meine Systeme (IT/IoT) zu Hause halte ich auf dem aktuellen Firmware- und Patch-Level. Geräte, die von den Herstellern nicht mehr unterstützt werden, müssen gehen. Mein Heimnetzwerk besteht aus mehreren Segmenten (VLANs) und WLANs (SSIDs) um verschiedene Nutzer und Geräte Gruppen halbwegs voneinander getrennt zu halten. Mindestens einmal im Jahr testet unser Arbeitgeber unsere Reaktion in einer Phishing Simulationen. Und ich habe schweren Herzens mein privates Antivirus Abonnement des bekannten schweizerisch/russischen Anbieters nicht verlängert. 

Aber die Zeiten ändern sich. In den letzten Wochen und Monaten hat sich die Sicherheitslage nicht nur offiziell eingetrübt (z.B. Cyber Sicherheitslagebild Ukraine des BSI, Cyber Threat Reports des NCSC oder die ShieldsUp initiative des CISA, Avasant Radarview). Ich bin bei meinen privaten Streifzügen durch das Internet vermehrt in un-eindeutigen Situationen gelandet. 

Gerade diese Woche irritierten mich Emails eines großen Paketdienstes in meiner Firmen-E-Mail, in denen ein Paket aus England angekündigt wurde, das ich nicht erwartet habe. Dann war da die sehr ähnliche E-Mail in meinem privaten Postfach desselben Paketdienstes, die sich dann aber nach 2x hinschauen doch als Phishing Versuch herausgestellt hat. Zuletzt kam auf meiner präferierten News Seite die Werbeeinblendung eines bekanntermaßen seriösen Shops für das eine e-Bike das ich seit einigen Wochen recherchiere und das leider ausverkauft ist.  Hier ging es allerdings nicht zu dem Shop, sondern zu einer der Gewinnspiel Seiten zweifelhaften Rufes – das e-Bike wird warten müssen. 

Alle drei Vorfälle sind mir im Gedächtnis geblieben, weil sie mich Zeit gekostet haben, weil trotz der ganzen technischen Absicherungen meiner E-Mail-Dienste und Arbeitsgeräte doch das Misstrauen mitfährt und ich am Ende froh war “rechtzeitig” (das hoffe ich zumindest) erkannt zu haben, dass es sich entweder um eine korrekte oder halt eine gefälschte Nachricht handelt. 

Sie sind mir aber auch im Gedächtnis geblieben, weil ich glaube, relativ gut auf solche Vorfälle vorbereitet zu sein. Viele Jahre in der IT-Industrie, einige Jahre in besonders sensitiven Bereichen meiner Kunden und schließlich der jahrelange Drill meines Arbeitgebers schaffen in solchen Situationen das Gefühl von Routine. Aber ich weiß, dass meine Familie trotz aller technischen Maßnahmen, die ich ergriffen habe, nicht so gut geschützt ist. Ich weiß, dass viele meiner Freunde und Bekannte nicht den gleichen Drill hatten. Und ich weiß, dass viele meiner Kunden Ihre Umgebungen zwar seit Jahren härten und testen, moderne Sicherheitsarchitekturen und Information Security Management Systeme aufbauen und trotzdem werden Ihre Mitarbeiter nicht die gleichen Chancen haben Angriffe zu erkennen und abzuwehren, wie ich heute. 

Auch modernste Sicherheitskonzepte/-architekturen wie Zero-Trust oder State-of-the Art Informationssicherheits-Prozessframeworks (ISMS) sind am Ende auf das richtige Handeln des Faktor Mensch angewiesen.  

Ich finde es daher wichtig, dass Kyndryl Ihnen nicht nur hilft Ihre Umgebungen technologisch und konzeptionell abzusichern, sondern dass wir genauso hersteller- und anbieterunabhängig mit Ihnen den Schutz Ihrer Mitarbeiter planen, umsetzen, überprüfen und verbessern. 

Für uns bei Kyndryl ist es wichtig das Sicherheitsrisiko Mensch in Ihrer spezifischen (Arbeits-)Umgebung zu reduzieren. Dabei sind Themen wie Phishing und Social Engineering genauso wichtig wie klare Vorgaben und Prozeduren. Der Erfolg kann sich dabei nur einstellen, wenn die Mitarbeiter die Maßnahmen nicht als zusätzliche Belastung empfinden, sondern Ihrerseits ein Verständnis für die spezifischen IT Sicherheit Risiken ihres Arbeitsplatzes entwickeln. 

Zero Trust – always verify – das sind die technischen Schlagworte. Als Menschen müssen wir das erst erlernen. Lassen Sie uns dabei helfen. 

(Hendrik Müller-Hofstede)

Links: 

Die Ironie von Zero Trust

Autorin: Kris Lovejoy, Kyndryl Global Security and Resilience Leader

„Zero Trust“ ist eines der am wenigsten verstandenen, aber dennoch in Mode gekommenen Schlagworte im Bereich der Cybersicherheit. Blickt man auf die letzten Jahre zurück, ist es leicht zu verstehen, warum: Vertrauen ist heute ein knappes Gut. Von der exponentiellen Zunahme von Ransomware- und Kryptojacking-Angriffen bis hin zu den derzeitigen geopolitischen Krisen – es sind unsichere und beunruhigende Zeiten. Auch, wenn es um die Führung eines Unternehmens geht. Daher ist es nicht verwunderlich, dass das Konzept und die damit einhergehenden Implikationen viele Unternehmen ansprechen.

Die Ironie dabei: Zero Trust selbst basiert grundsätzlich auf Vertrauen.

Was genau bedeutet also „Zero Trust“?

Die Triebkräfte des aktuellen Cybersecurity-Hypes mögen relativ neu sein – von einem Boom bei der Verteilung von Arbeitskräften bis hin zu einer Entwicklung hin zu hybriden Cloud-Infrastrukturen. Der Begriff „Zero Trust“ selbst ist jedoch nicht neu. Er wurde erstmals 1994 geprägt und später vom ehemaligen Forrester-Analysten John Kindervag zu einer ganzheitlichen Sicherheitsphilosophie weiterentwickelt, die unter dem Deckmantel der „Deny by Default“- oder „Never Trust, Always Verify“-Richtlinien in der Branche die Runde gemacht hat.

Einfach ausgedrückt: Es handelt sich um eine Sicherheitsstrategie. Im weiteren Sinne um eine unternehmensweite Sicherheitseinstellung, die alle Endpunkte und Konten als nicht vertrauenswürdig betrachtet. Während andere Sicherheitssysteme – wie die früher bevorzugte Perimeter-Philosophie – nur eine standortbasierte oder Zwei-Faktor-Authentifizierung erfordern, wird Benutzern und Anwendungen bei Zero Trust nur dann und dort Zugang gewährt, wo sie ihn benötigen.

Mit anderen Worten: Durch die standardmäßige Verweigerung des Zugriffs erzwingt ein Zero-Trust-Ansatz ein dynamisches und kontinuierliches Überprüfungssystem für Benutzer und ihre Geräte. In der heutigen Zeit, in der Datenschutzverletzungen nicht mehr eine Frage des „ob“, sondern des „wann“ sind, können Unternehmen mit einem Zero-Trust-Ansatz ihre Daten besser schützen und die potenziellen Auswirkungen eines Angriffs minimieren, während gleichzeitig eine lokalisierte, schnelle Reaktion möglich ist.

Eine Analogie: Das Zero-Trust-Hotel

Stellen Sie sich vor, das Netzwerk Ihres Unternehmens ist ein Hotel, in dem der Zugang zu den Zimmern über einen Kartenschlüssel geregelt ist. Wenn Besucher früher in dieses Hotel – nennen wir es Perimeter-Hotel – eincheckten, mussten sie einen kurzen Prozess der Identitätsprüfung durchlaufen, bevor sie ihren Kartenschlüssel erhielten. Mit dem Kartenschlüssel in der Hand hatten sie dann mehr oder weniger freien Zugang zu allen Zimmern des Hotels, mit Ausnahme derjenigen, die speziell verschlossen waren.

Wenn Besucher im Zero-Trust-Hotel einchecken, kehrt sich die Situation jedoch um. Selbst nach dem sehr viel gründlicheren Check-in-Verfahren des Hotels dient der Kartenschlüssel des Besuchers nicht mehr als Zugangskarte. Diesmal ist jede einzelne Tür für ihn verschlossen, mit Ausnahme derjenigen, die speziell aufgeschlossen wurden. Er kann zwar den Zutritt zu einigen dieser unverschlossenen Türen verlangen, doch wird ihm dieser nur dann gewährt, wenn er ihn unbedingt benötigt.

Im Zero-Trust-Hotel hat der Kartenschlüssel sogar noch weniger Macht. Hier erhalten die Besucher Zugang, indem sie sich anhand vieler verschiedener Faktoren verifizieren, die alle wesentlich präziser sind als das kleine Rechteck aus Plastik, das so leicht verloren geht oder gestohlen werden kann. Das wiederum erspart dem Besucher die Zeit, in seinem Gepäck nach dem lästigen Kartenschlüssel zu suchen. Und es gibt ihm die Gewissheit, dass das Zimmer, das er betritt, genau das ist, das er betreten muss.

Der Hotelbesitzer kann beruhigt schlafen, denn er weiß, dass sein Haus so sicher wie möglich ist, während er gleichzeitig seinen Betrieb aufrechterhalten kann.

Die größte Ironie von Zero Trust

Damit eine Zero-Trust-Architektur funktioniert, muss ein Unternehmen absolutes Vertrauen in das System selbst setzen können. Mit anderen Worten: in das Sicherheits-Framework für die Überprüfung, Überwachung und Datenspeicherung, welche diesen umfassenden Ansatz ausmachen.

Bei Kyndryl betrachten wir Zero Trust als fünf integrierte Sicherheitssäulen: Identität, Gerät, Netzwerk, Anwendung und Daten. In den meisten Unternehmen sind die Cybersicherheitssysteme isoliert. Eine Abteilung kümmert sich um die Identitätsüberprüfung, eine andere um die Endpunktsicherheit, wieder eine andere um die Firewall und so weiter. Mit Zero Trust wird Sicherheit zu einem integrierten 360-Grad-System, bei dem die Kommunikation und Zusammenarbeit zwischen diesen Säulen oder Abteilungen entscheidend ist und Identitäten, Passwörter und Netzwerkressourcen in vertrauenswürdigen Repositories zentralisiert werden.

Nur in der Theorie einfach

Ein Teil der Schwierigkeit besteht darin, dass Zero Trust ein grundlegendes Umdenken im Bereich der Sicherheit auf organisatorischer Ebene erfordert. Der erste Schritt besteht darin, diesen Ansatz nicht mehr als eine Richtlinie oder als ein Produkt aus einer Hand zu betrachten. Stattdessen sollte es als ein dynamischer und sich entwickelnder Sicherheitsprozess ohne festen Endpunkt verstanden werden.

Dies ist eine der größten Herausforderungen für das System. Es ist aber auch einer der größten Vorteile von Zero Trust. Durch die Annahme dieser risikobasierten und anpassungsfähigen Politik sind Unternehmen in der Lage, eine Reihe von Sicherheitspraktiken zu entwickeln, die speziell auf ihre Bedürfnisse zugeschnitten sind.

Dieser Beitrag von Kris Lovejoy erschien zuerst auf Englisch auf LinkedIn.

%%footer%%