An Zero Trust führt kein Weg vorbei – Simon Taylor (Microsoft) und Dominik Bredel (Kyndryl) im Gespräch

Die aktuellen weltpolitischen Geschehnisse zwingen nicht nur Staaten, sondern auch Unternehmen jeder Größe dazu sich mit der Sicherheit seiner IT auseinander zu setzen. Hierbei wird immer wieder das Konzept „Zero Trust“ angesprochen. Doch was genau ist „Zero Trust“. In folgenden Kyndryl Talk erklären Dominik Bredel – Associate Partner bei Kyndryl und Simon Taylor – Cloud Security Architekt bei Microsoft das Konzept Zero Trust.

Viel Spaß beim Anschauen:

Die IT-Welt hat sich in den letzten Jahrzenten stark verändert. Im vergangenen Zeitalter der Großrechner wurden Daten von many-to-one transportiert. Heute in Zeiten von Hybrit- und Multicloud werden Daten an unzählbaren Punkten gesammelt und weiter transportiert (many-to-many). Diese Daten, die überall entstehen müssen, geschützt werden. Hier kommt das Konzept von Zero Trust ins Bild. Eine Umfrage des Cyber-Security Insider zeigt, das Zero Trust kein Buzzword ist, sondern eine Security Konzept, für modernen IT-Landschaften.

Zero Trust ist ein Security Konzept in 5 Domänen – Identitäten, Geräten, Netzwerken, Anwendungen und Daten. Diese beschreiben, welche Mechanismen und Methoden wo eingesetzt werden müssen, um einen moderne IT-Landschaft zu betreiben. Dabei sind drei Leitlinien zu betrachten, welchen in den Kernen des Konzeptes Zero Trust stehen:

  1. Verify explicitly – Das Einbeziehen aller verfügbaren Datenpunkte bei der Autorisierung und Authentifikation.
  2. Least privilege access – Die Einschränkung der Nutzerzugängen auf das geringste Minimum.
  3. Assume breach – Die Annahme, dass es einen Security Breach geben wird. Sodass alle Systeme nach der Minimierung der Ausbreitung des Schadens aufgestellt werden können (Segmentierung).

Abschließen erläutern die Experten, welche Maßnahmen jedes Unternehmen umsetzen kann, um mit der Implementierung des Konzeptes Zero Trust zu starten:

  1. Stärkung der Credentials: Verwenden Sie starke Credentials in Verbindung mit Multi-Faktor-Authentifizierung
  2. Reduzierung der Angriffsflächen: Implementieren Sie ein conditional access, welches Zugriffe erlaubt/ limitiert nach Usern, Geräten, Anwendungen um Lokationen.
  3. Setzen Sie SSO und Self-services Portale ein, um den Aufwand der User bei der Nutzung des Zero Trust Konzeptes zu minimieren.

Wenn Sie noch weitere Fragen haben, können Sie sich gerne an Simon oder Dominik wenden:

CIOKurator.News #55: FinOps und Public Cloud, Automatisierung und Cloud-Architekten und vieles mehr

Auch in dieser Woche kursieren wir wieder die aktuellen Meldungen der deutschen IT-Presse. Unser Kollege Viktor Greve bewertet FinOps als Mittel, die Kosten der Public Cloud im Griff zu behalten. Viktor wird als IT Architekt sicher auch das Thema Automatisierung und Cloud-Architektur interessieren. Das Handelsblatt und die Computerwoche berichten über die Initiative von SAP, mit No Code und Low Code Software durch Anwender entwickeln zu lassen. Weiterhin blicken wir einmal mehr auf Künstliche Intelligenz, verschiedene Aspekte von Cybersecurity und unseren Kunden Symrise, der seine digitalen Arbeitsplätze durch Kyndryl modernisieren und betreiben lässt.

Abenteuer in Click-Bait County und warum Zero-Trust Architekturen nur ein Teil der Lösung sind 

Ich halte mich für einen security-affinen Menschen. Meine Systeme (IT/IoT) zu Hause halte ich auf dem aktuellen Firmware- und Patch-Level. Geräte, die von den Herstellern nicht mehr unterstützt werden, müssen gehen. Mein Heimnetzwerk besteht aus mehreren Segmenten (VLANs) und WLANs (SSIDs) um verschiedene Nutzer und Geräte Gruppen halbwegs voneinander getrennt zu halten. Mindestens einmal im Jahr testet unser Arbeitgeber unsere Reaktion in einer Phishing Simulationen. Und ich habe schweren Herzens mein privates Antivirus Abonnement des bekannten schweizerisch/russischen Anbieters nicht verlängert. 

Aber die Zeiten ändern sich. In den letzten Wochen und Monaten hat sich die Sicherheitslage nicht nur offiziell eingetrübt (z.B. Cyber Sicherheitslagebild Ukraine des BSI, Cyber Threat Reports des NCSC oder die ShieldsUp initiative des CISA, Avasant Radarview). Ich bin bei meinen privaten Streifzügen durch das Internet vermehrt in un-eindeutigen Situationen gelandet. 

Gerade diese Woche irritierten mich Emails eines großen Paketdienstes in meiner Firmen-E-Mail, in denen ein Paket aus England angekündigt wurde, das ich nicht erwartet habe. Dann war da die sehr ähnliche E-Mail in meinem privaten Postfach desselben Paketdienstes, die sich dann aber nach 2x hinschauen doch als Phishing Versuch herausgestellt hat. Zuletzt kam auf meiner präferierten News Seite die Werbeeinblendung eines bekanntermaßen seriösen Shops für das eine e-Bike das ich seit einigen Wochen recherchiere und das leider ausverkauft ist.  Hier ging es allerdings nicht zu dem Shop, sondern zu einer der Gewinnspiel Seiten zweifelhaften Rufes – das e-Bike wird warten müssen. 

Alle drei Vorfälle sind mir im Gedächtnis geblieben, weil sie mich Zeit gekostet haben, weil trotz der ganzen technischen Absicherungen meiner E-Mail-Dienste und Arbeitsgeräte doch das Misstrauen mitfährt und ich am Ende froh war “rechtzeitig” (das hoffe ich zumindest) erkannt zu haben, dass es sich entweder um eine korrekte oder halt eine gefälschte Nachricht handelt. 

Sie sind mir aber auch im Gedächtnis geblieben, weil ich glaube, relativ gut auf solche Vorfälle vorbereitet zu sein. Viele Jahre in der IT-Industrie, einige Jahre in besonders sensitiven Bereichen meiner Kunden und schließlich der jahrelange Drill meines Arbeitgebers schaffen in solchen Situationen das Gefühl von Routine. Aber ich weiß, dass meine Familie trotz aller technischen Maßnahmen, die ich ergriffen habe, nicht so gut geschützt ist. Ich weiß, dass viele meiner Freunde und Bekannte nicht den gleichen Drill hatten. Und ich weiß, dass viele meiner Kunden Ihre Umgebungen zwar seit Jahren härten und testen, moderne Sicherheitsarchitekturen und Information Security Management Systeme aufbauen und trotzdem werden Ihre Mitarbeiter nicht die gleichen Chancen haben Angriffe zu erkennen und abzuwehren, wie ich heute. 

Auch modernste Sicherheitskonzepte/-architekturen wie Zero-Trust oder State-of-the Art Informationssicherheits-Prozessframeworks (ISMS) sind am Ende auf das richtige Handeln des Faktor Mensch angewiesen.  

Ich finde es daher wichtig, dass Kyndryl Ihnen nicht nur hilft Ihre Umgebungen technologisch und konzeptionell abzusichern, sondern dass wir genauso hersteller- und anbieterunabhängig mit Ihnen den Schutz Ihrer Mitarbeiter planen, umsetzen, überprüfen und verbessern. 

Für uns bei Kyndryl ist es wichtig das Sicherheitsrisiko Mensch in Ihrer spezifischen (Arbeits-)Umgebung zu reduzieren. Dabei sind Themen wie Phishing und Social Engineering genauso wichtig wie klare Vorgaben und Prozeduren. Der Erfolg kann sich dabei nur einstellen, wenn die Mitarbeiter die Maßnahmen nicht als zusätzliche Belastung empfinden, sondern Ihrerseits ein Verständnis für die spezifischen IT Sicherheit Risiken ihres Arbeitsplatzes entwickeln. 

Zero Trust – always verify – das sind die technischen Schlagworte. Als Menschen müssen wir das erst erlernen. Lassen Sie uns dabei helfen. 

(Hendrik Müller-Hofstede)

Links: 

CIOKurator.News #52: Wie bekommen wir die Supply Chain und Logistik in den Griff, Hyperscaler und Cloud, SAP und Microsoft

In unseren heutigen News werfen wir einen Blick in die Lieferketten und die Logistik, die sich aufgrund des Ukraine-Kriegs und von Cyberbedrohungen besonderen Herausforderungen gegenüber sehen. Das BSI warnt vor einer nie dagewesenen Bedrohungslage, die Logistiker fahren die IT-Sicherheitsmaßnahmen hoch. Thomas Landolt von Kyndryl fordert zu Recht, dass der CIO nicht zuletzt wegen des Themas Sicherheit eine viel wichtigere Rolle in der Supply Chain spielen sollte. Er fordert eine datengetriebene Plattform mit soliden IT-Sicherheitsvorkehrungen.
Währenddessen wachsen die Hyperscaler weiter, während sich europäische Anbieter eher in Nischen tummeln. Banken digitalisieren wohl zu langsam, kämpfen aber auch mit Vorschriften, gerade wenn sie in die Cloud wollen, um digitaler zu werden.
Schließlich werfen wir noch einen Blick auf die Quartalszahlen von Microsoft und SAP. SAP-CEO Klein hofft auf den Wendepunkt durch Cloud-Wachstum. Bei Microsoft rücken die Umsätze rund um Azure immer mehr ins Zentrum.
Viel Spaß bei der Lektüre! 

CIOKurator.News #51: Viel Unruhe bei den SAP Kunden und im Management

Alle Jahre wieder schauen die Analysten von Gartner in ihre Glaskugel und sagen die Technologietrends voraus, so auch in diesem Jahr. Ein Trend ist sicher die Notwendigkeit zur Automatisierung. Ob dieses Thema laut Meinung von CIO.DE auch auf der Prioritätenliste stehen sollte? Kosten und ROI sind ganz sicher eine Priorität, gerade beim Thema Cloud.

Alle Jahre wieder tagen die SAP-Anwender, findet der DSAG Jahreskongress statt, diesmal wieder als Präsenzveranstaltung. Und derzeit herrscht Verunsicherung: On premise oder Cloud, Preiserhöhungen, all das wird diskutiert. Die Computerwoche berichtet, E-3 Chefredakteur Peter Färbinger kommentiert.Zum Abschluss haben wir noch drei Beiträge zum Thema Security für Sie ausgewählt.Viel Spaß bei der Lektüre

Lesezeichen des Tages: IT-Outsourcing-Trends im Fluß – Was ist gerade heiß, welche Themen kühlen sich ab

Das Metaversum ist ein heißer Trend, auch im IT-Outsourcing. Derzeit seien viele Unternehmen dabei, mit ihren Outsourcing-Partner potentielle Anwendungsfälle zu bewerten. Dies einer der Trends, die im Artikel von Stephanie Overby auf CIO.DE ist vorgestellt und bewertet wird. Der Beitrag basiert auf der englischer Version von CIO.COM.

Im Artikel werden Trends in heiß und kalt unterteilt, meist basierend auf Bewertungen namhafter IT-Analysten. IT-Outsourcing ist demnach „ein wichtiges Instrument, um mehr Wachstum, verbesserte Kundenerfahrungen und Wettbewerbsvorteile zu erreichen.“

Und was ist erfolgversprechend? Mit dem Kunden in gemeinsame Lösungen investieren und sich an den Gewinnen beteiligen, sei einer der Trends, sogenanntes Gainsharing. Heiß sind demnach noch Talent Management oder die Auswirkungen des Ukraine-Krise, die die Entwicklung der Ukraine als Technologiezentrum und in den benachbarten Ländern verlangsamt. Natürlich dürfen Cybersicherheit und weitergehende Automatisierung auf der „Hot“Liste nicht fehlen.

Als kalt bewertet werden flexible Preisgestaltung, Cloud-MIgration als Wachstumsmotor – erstaunlich -, Offshore-first, Service-Erbringung nur aus dem Homeoffice, Management nach SLA und die Trennung von IT-Infrastruktur und Applikationen.

Auch zum Thema Ökosystem gibt es eine Statement:

Service-Provider, die ein effektives Ökosystem aus Software-Partnern, Hyperscalern, Start-ups, Domänenexperten und Wissenschaftlern aufbauen, würden … mit größerer Wahrscheinlichkeit erfolgreich sein als Service-Provider, die versuchen, alles selbst zu machen.

Strategische Partnerschaften: Diese Outsourcing-Trends verändern die IT – cio.de

Jedoch könne das Pendel angesichts der Inflation und der Krise in die andere Seite ausschlagen und Unternehmen könnten sich dann für breit angelegte, günstige Angebote aus einer Hand entscheiden.

Hier geht es zum Beitrag.

Bild von Gerd Altmann auf Pixabay

%%footer%%