An Zero Trust führt kein Weg vorbei – Simon Taylor (Microsoft) und Dominik Bredel (Kyndryl) im Gespräch

Die aktuellen weltpolitischen Geschehnisse zwingen nicht nur Staaten, sondern auch Unternehmen jeder Größe dazu sich mit der Sicherheit seiner IT auseinander zu setzen. Hierbei wird immer wieder das Konzept „Zero Trust“ angesprochen. Doch was genau ist „Zero Trust“. In folgenden Kyndryl Talk erklären Dominik Bredel – Associate Partner bei Kyndryl und Simon Taylor – Cloud Security Architekt bei Microsoft das Konzept Zero Trust.

Viel Spaß beim Anschauen:

Die IT-Welt hat sich in den letzten Jahrzenten stark verändert. Im vergangenen Zeitalter der Großrechner wurden Daten von many-to-one transportiert. Heute in Zeiten von Hybrit- und Multicloud werden Daten an unzählbaren Punkten gesammelt und weiter transportiert (many-to-many). Diese Daten, die überall entstehen müssen, geschützt werden. Hier kommt das Konzept von Zero Trust ins Bild. Eine Umfrage des Cyber-Security Insider zeigt, das Zero Trust kein Buzzword ist, sondern eine Security Konzept, für modernen IT-Landschaften.

Zero Trust ist ein Security Konzept in 5 Domänen – Identitäten, Geräten, Netzwerken, Anwendungen und Daten. Diese beschreiben, welche Mechanismen und Methoden wo eingesetzt werden müssen, um einen moderne IT-Landschaft zu betreiben. Dabei sind drei Leitlinien zu betrachten, welchen in den Kernen des Konzeptes Zero Trust stehen:

  1. Verify explicitly – Das Einbeziehen aller verfügbaren Datenpunkte bei der Autorisierung und Authentifikation.
  2. Least privilege access – Die Einschränkung der Nutzerzugängen auf das geringste Minimum.
  3. Assume breach – Die Annahme, dass es einen Security Breach geben wird. Sodass alle Systeme nach der Minimierung der Ausbreitung des Schadens aufgestellt werden können (Segmentierung).

Abschließen erläutern die Experten, welche Maßnahmen jedes Unternehmen umsetzen kann, um mit der Implementierung des Konzeptes Zero Trust zu starten:

  1. Stärkung der Credentials: Verwenden Sie starke Credentials in Verbindung mit Multi-Faktor-Authentifizierung
  2. Reduzierung der Angriffsflächen: Implementieren Sie ein conditional access, welches Zugriffe erlaubt/ limitiert nach Usern, Geräten, Anwendungen um Lokationen.
  3. Setzen Sie SSO und Self-services Portale ein, um den Aufwand der User bei der Nutzung des Zero Trust Konzeptes zu minimieren.

Wenn Sie noch weitere Fragen haben, können Sie sich gerne an Simon oder Dominik wenden:

Abenteuer in Click-Bait County und warum Zero-Trust Architekturen nur ein Teil der Lösung sind 

Ich halte mich für einen security-affinen Menschen. Meine Systeme (IT/IoT) zu Hause halte ich auf dem aktuellen Firmware- und Patch-Level. Geräte, die von den Herstellern nicht mehr unterstützt werden, müssen gehen. Mein Heimnetzwerk besteht aus mehreren Segmenten (VLANs) und WLANs (SSIDs) um verschiedene Nutzer und Geräte Gruppen halbwegs voneinander getrennt zu halten. Mindestens einmal im Jahr testet unser Arbeitgeber unsere Reaktion in einer Phishing Simulationen. Und ich habe schweren Herzens mein privates Antivirus Abonnement des bekannten schweizerisch/russischen Anbieters nicht verlängert. 

Aber die Zeiten ändern sich. In den letzten Wochen und Monaten hat sich die Sicherheitslage nicht nur offiziell eingetrübt (z.B. Cyber Sicherheitslagebild Ukraine des BSI, Cyber Threat Reports des NCSC oder die ShieldsUp initiative des CISA, Avasant Radarview). Ich bin bei meinen privaten Streifzügen durch das Internet vermehrt in un-eindeutigen Situationen gelandet. 

Gerade diese Woche irritierten mich Emails eines großen Paketdienstes in meiner Firmen-E-Mail, in denen ein Paket aus England angekündigt wurde, das ich nicht erwartet habe. Dann war da die sehr ähnliche E-Mail in meinem privaten Postfach desselben Paketdienstes, die sich dann aber nach 2x hinschauen doch als Phishing Versuch herausgestellt hat. Zuletzt kam auf meiner präferierten News Seite die Werbeeinblendung eines bekanntermaßen seriösen Shops für das eine e-Bike das ich seit einigen Wochen recherchiere und das leider ausverkauft ist.  Hier ging es allerdings nicht zu dem Shop, sondern zu einer der Gewinnspiel Seiten zweifelhaften Rufes – das e-Bike wird warten müssen. 

Alle drei Vorfälle sind mir im Gedächtnis geblieben, weil sie mich Zeit gekostet haben, weil trotz der ganzen technischen Absicherungen meiner E-Mail-Dienste und Arbeitsgeräte doch das Misstrauen mitfährt und ich am Ende froh war “rechtzeitig” (das hoffe ich zumindest) erkannt zu haben, dass es sich entweder um eine korrekte oder halt eine gefälschte Nachricht handelt. 

Sie sind mir aber auch im Gedächtnis geblieben, weil ich glaube, relativ gut auf solche Vorfälle vorbereitet zu sein. Viele Jahre in der IT-Industrie, einige Jahre in besonders sensitiven Bereichen meiner Kunden und schließlich der jahrelange Drill meines Arbeitgebers schaffen in solchen Situationen das Gefühl von Routine. Aber ich weiß, dass meine Familie trotz aller technischen Maßnahmen, die ich ergriffen habe, nicht so gut geschützt ist. Ich weiß, dass viele meiner Freunde und Bekannte nicht den gleichen Drill hatten. Und ich weiß, dass viele meiner Kunden Ihre Umgebungen zwar seit Jahren härten und testen, moderne Sicherheitsarchitekturen und Information Security Management Systeme aufbauen und trotzdem werden Ihre Mitarbeiter nicht die gleichen Chancen haben Angriffe zu erkennen und abzuwehren, wie ich heute. 

Auch modernste Sicherheitskonzepte/-architekturen wie Zero-Trust oder State-of-the Art Informationssicherheits-Prozessframeworks (ISMS) sind am Ende auf das richtige Handeln des Faktor Mensch angewiesen.  

Ich finde es daher wichtig, dass Kyndryl Ihnen nicht nur hilft Ihre Umgebungen technologisch und konzeptionell abzusichern, sondern dass wir genauso hersteller- und anbieterunabhängig mit Ihnen den Schutz Ihrer Mitarbeiter planen, umsetzen, überprüfen und verbessern. 

Für uns bei Kyndryl ist es wichtig das Sicherheitsrisiko Mensch in Ihrer spezifischen (Arbeits-)Umgebung zu reduzieren. Dabei sind Themen wie Phishing und Social Engineering genauso wichtig wie klare Vorgaben und Prozeduren. Der Erfolg kann sich dabei nur einstellen, wenn die Mitarbeiter die Maßnahmen nicht als zusätzliche Belastung empfinden, sondern Ihrerseits ein Verständnis für die spezifischen IT Sicherheit Risiken ihres Arbeitsplatzes entwickeln. 

Zero Trust – always verify – das sind die technischen Schlagworte. Als Menschen müssen wir das erst erlernen. Lassen Sie uns dabei helfen. 

(Hendrik Müller-Hofstede)

Links: 

CIOKurator.News #47: Neuer Service von Kyndryl bringt Transparenz und Ordnung in IT-Landschaften – Symrise & Digital Workplace

Diese Woche stellen wir einen neuen Service vor mit dem sich Kyndryl am Markt positioniert und Symrise berichtet über die Zusammenarbeit. Im Gesundheitswesen in Deutschland nimmt die Digitalisierung an Fahrt auf, nicht erst seit dem Krankenhauszukunftsgesetz. Zero Trust sowie schwierige Verändeurngen in der Finanzbranche runden die Themen diese Woche ab. Viel Spaß bei der Lektüre. 

Kommunikation und Kollaboration sind unverzichtbarer Bestandteil einer kritischen Infrastruktur


Die heutige Geschäftswelt sieht sich den Herausforderungen gegenüber, die wir alle wahrnehmen: Corona-Krise, Ukraine-Krieg und Klimawandel, um nur die wichtigsten Faktoren zu nennen. Damit einher gehen Unsicherheit angesichts von Hackerangriffen auf  Regierungen, Verwaltungen und Unternehmen. Vielleicht erstmals nimmt eine breitere Öffentlichkeit das wahr, was als kritische Infrastruktur bezeichnet wird. Kritische Infrastruktur, das sind beispielsweise Energieversorgung und Gesundheitswesen, Kraftwerke und Kliniken, Ministerien oder auch die Verteidigungskräfte, um nur einige Bestandteile dieser Infrastruktur zu nennen.

In Zeiten von Ukraine-Krieg und insbesondere Pandemie ist Zusammenarbeit und Kommunikation in und zwischen Unternehmen besonders wichtig. Und es stellen sich Fragen: Was bedeutet es für die Kollaboration, dass Mitarbeiterinnen und Mitarbeitern sowohl aus dem Homeoffice als auch in Büros miteinander kommunizieren? Wie werden jetzt Ideen entwickelt und Prozesse möglichst optimal abgewickelt?  Wie kommt es zu einem Zusammengehörigkeitsgefühl und zu Loyalität zum Unternehmen, wenn man sich kaum sieht? Warum sollten die Mitarbeitenden angesichts von immer mehr Hackerangriffen bei E-Mails jetzt besonders sensibel sein?

Wir müssen uns vor Augen halten, dass eine funktionierende und sichere Kommunikation und Zusammenarbeit gerade in diesen Zeiten missionskritisch ist. Welche Beobachtungen und Erfahrungen habe ich in den letzten Monaten gemacht? Welche Trends für Kommunikation und Kollaboration habe ich beobachtet?

E-Mail und Messenger leben ab sofort nebeneinander

#1 E-Mail lebt weiter als der größte gemeinsame Nenner in der Kommunikation gerade auch in der Kommunikation mit Externen. Sie sind und bleiben ein beliebtes Einfallstor für Angreifer, da E-Mails gefährliche Links oder infizierte Dateien enthalten können. Nicht wenige Sicherheitsvorfälle der vergangenen Monate sind auf infizierte E-Mails zurückzuführen. Wir müssen weiter für die Gefahren sensibilisieren und ausbilden.

#2 Neben E-Mail, teilweise E-Mail ersetzend, gewinnen Lösungen zur Echtzeitkommunikation wie Slack oder Microsoft Teams gerade durch die Pandemie stark an Bedeutung. Chats, Videotelefonate oder Video-Meetings gehören unterdessen zum Alltag, können wegen ihrer Unmittelbarkeit und Geschwindigkeit in bestimmten Situationen unverzichtbar sein. Doch müssen die Mitarbeitenden unter Sicherheitsaspekten auch hier vorsichtig sein, denn über diese Tools wird zwischen Unternehmen kommuniziert, werden auch Links und Dateien ausgetauscht.

#3 Der Erfolg von Teams und Slack führt dazu, dass man oft nicht mehr weiß, über welches Thema man sich in welchem Kommunikationskanal ausgetauscht hat. Was steht in den E-Mails? Was im Messenger? Enterprise Search, die Möglichkeit in allen Informationsquellen in einem Suchvorgang Informationen zu finden, ist noch immer eine unerfüllte Vision. Durch die Sucherei geht viel Zeit und auch Produktivität verloren. Dabei kann der schnelle Zugriff auf Informationen und Wissen extrem wichtig sein.

Wider der Flüchtigkeit von Informationen: Das Intranet als zuverlässige Informationsquelle

#4 Die Praxis zeigt, dass Slack oder Teams für Kommunikation und für den Dialog gemacht sind, aber Informationen in den Kanälen dieser Tools sind sehr flüchtig. Vielleicht auch eine Erkenntnis von Microsoft, die ja Teams und SharePoint eng miteinander integriert haben. Jedes Team hat automatisch auch eine SharePoint-Instanz und weitere Tools zur Informationsbereitstellung und –aufbereitung wie beispielsweise OneDrive. Solche Repositories, Wikis und Intranets bleiben als zentrale Quellen und Nachschlagewerke unverzichtbar. Daneben braucht es eine definierte Kommunikationsstrategie: Welche Informationen sollen sich Anwenderinnen und Anwender bei Bedarf holen können (Pull-Prinzip)? Welche Informationen müssen ihn aktiv per Push-Prinzip über welche Kanäle (E-Mail. Messenger) geschickt werden?

Jedes Meeting braucht Agenda, Moderation, Ergebnisprotokoll

#5 Nach der Diskussion rund um die ganzen Tools, landen wir jetzt bei eher weichen Faktoren, die aber mindestens ebenso wichtig und kritisch sind. Durch Corona und das Homeoffice sind wir endgültig im Zeitalter der Videokonferenzen gelandet. Noch nie haben so viele Mitarbeiterinnen und Mitarbeiter in Online-Meetings miteinander kommuniziert Doch jenseits der Technik und verwendeten Tools bleibt eine große Herausforderung. Oft fehlt es an der notwendigen Meeting-Kultur. Meetings werden zu schnell zu Zeitverschwendung, wenn es keine Agenda, Moderation, kein Ergebnisprotokoll gibt oder die Disziplin fehlt. Und deshalb nur Mut: Jeder Mitarbeitende sollte seine Meetings kritisch hinterfragen – und gegebenenfalls nicht teilnehmen.

#6 Das, was für Online-Meetings gilt, gilt natürlich ebenso für Präsenzmeetings. Agenda, Moderation und Protokoll gelten und Disziplin sind ebenso gefragt. Nebenbei auf dem Smartphone oder am Rechner arbeiten ist unhöflich. Präsenz-Meetings sind dann besonders sinnvoll, wenn es um kreative Prozesse, Austausch, die Entwicklung oder Weiterentwicklung von Ideen geht. Da ist man oft produktiver, wenn man zusammen in einem Raum sitzt. Wobei Sitzen aus meiner Sicht die falsche Verhaltensweise: Ich bin ein Freund von Boards und Bewegung im Raum (damit wirklich niemand eindöst).

Ins Büro gehen, um an Videokonferenzen teilzunehmen?

#7 Der Weg zurück in die Büros ist besonders unter dem Aspekt der persönlichen Interaktion und Zusammenarbeit zwischen den Mitarbeitenden wichtig. Sicher können bei manchen Vorgesetzten andere Motivation eine Rolle spielen. Ein Zurück ins Büro, gar eine Anwesenheitspflicht im Büro macht aber nur dann Sinn, wenn dort auch aktiv miteinander kommuniziert und gearbeitet wird. Nur zu oft sitzen Mitarbeiterinnen und Mitarbeiter an ihrem Schreibtisch und sind in Telefon- und Videokonferenzen – und das den größten Teil des Tages. Was soll dann die Präsenz im Büro?

Wer ins Büro will, der sollte das natürlich können, wenn es die Situation zulässt. Und natürlich macht Büropräsenz Sinn, wenn daheim nicht die Infrastruktur, notwendige Ruhe und Umgebung für Homeoffice vorhanden ist. Auch spielen selbstverständlich soziale Aspekte, Team-Building und Zusammengehörigkeitsgefühl eine wichtige, nicht zu vernachlässigende Rolle. Vielleicht ist auch das (gemeinsame) Mittagessen in der Kantine ein mehr als akzeptabler Grund. Kurz zusammengefasst: Die Zeiten in den Büros aktiv für die direkte Zusammenarbeit, Interaktion und Kommunikation nutzen, hybride Arbeitsplatzmodelle entwickeln.

#8 Doch machen wir uns nichts vor: Viele Büros und ihre Ausstattung werden sich ändern müssen. Großraumbüros mit Shared-Desk-Konzepten sind meiner Meinung nach der Tod jeder konstruktiven Zusammenarbeit. Sie sind für Produktionsarbeiter im Büro gemacht, für Personen, die immer wiederkehrende standardisierte Arbeiten erledigen. Sie sind nicht für konstruktive Zusammen- und Projektarbeit gemacht. Nicht umsonst haben schon vor Corona Unternehmen ihre Projekt- und Kreativteams in Co-Working-Spaces geschickt, weil dort die Ausstattung und Umgebung für Zusammenarbeit gegeben ist. Und nebenbei: Dort sind auch meistens Plätze zur sozialen Interaktion mitgedacht.

Generell glaube ich, dass hybriden Arbeitsplatzmodellen die Zukunft gehören wird. 2 Tage im Büro zu gemeinsamer Projektarbeit und zu produktiven Meetings, 3 Tage daheim für andere Arbeiten wie Research, Dokumentation und anderen Dingen. Welche Mischung auch immer jeweils Sinn für das Unternehmen und die Mitarbeiterinnen und Mitarbeiter macht.

Büros als Ort der Zusammenarbeit und des sozialen Miteinanders

#9 Jenseits von Schreibtischen und Co-Working-Spaces hat ein anderer Aspekt höchste Priorität: Zusammen arbeiten muss von Mitarbeitenden und Führungskräften gewollt sein und vorgelebt werden. Dabei kommt sicherlich den Führungskräften eine besondere Vorbildfunktion zu. Sie sind diejenigen, die Kollaboration treiben und fördern, die transparent kommunizieren und auch die Motivation, den sozialen Aspekt der Arbeit im Fokus behalten müssen.

Wir haben in den vergangenen Monaten einen Schub in der Nutzung von Collaborations-Werkzeugen erlebt. Messenger und Videokonferenzen hatten einen entscheidenden Durchbruch. Doch sind alte Leiden in der Zusammenarbeit geblieben: Dateianhänge, keine gemeinsame Dokumentenablage und vieles mehr. Aber gerade Pandemie und Homeoffice haben hoffentlich bei Mitarbeitenden und Führungskräften das Bewusstsein geschärft, wie Zusammenarbeit funktionieren kann und sollte. Mit einem „einfach zurück ins Büro“ und „wir arbeiten wie früher“ wird es nicht getan sein, denn viele werden das so nicht mehr akzeptieren.

Zero Trust darf nicht zu Zero Zusammenarbeit führen

Wie wichtig Security ist, wird in diesem Beitrag an verschiedenen Stellen angesprochen. Hacker-Angriffe, Erpressungen, Spionage oder Ransomware haben zu Recht zu einer höheren Sensibilität geführt und Unternehmen ziehen die Zügel auf Betreiben des CIOs und der Security-Verantwortlichen an.

Zero Trust, also Null Vertrauen, immer wieder einloggen, Zwei-Faktor-Authentifizierung wird postuliert. Das kann durchaus die Mitarbeitenden nerven und auch Zusammenarbeit behindern. Doch Zero Trust darf nicht zu Zero Zusammenarbeit führen. Hier gilt es immer wieder die notwendige Sicherheit einerseits und produktive Kommunikation und Kollaboration andererseits auszubalancieren. Dabei muss der reibungslose Betrieb der Infrastruktur unter Berücksichtigung von Sicherheit, auch von Compliance-Anforderungen immer sichergestellt sein. Die digitalen Workplace-Services müssen einfach funktionieren. Sie sind missionskritisch.

CIOKurator.News #42: US-Cloud-Anbieter, die Bedrohung der SupplyChain, SAP S/4HANA, das Darkverse und der FC Liverpool!

Unser Wochenrückblick: Gerade beim Thema Cloud gehen die Meinungen oft auseinander. Die Wirtschaftspresse bewertet die Cloud-Umsätze der Hyperscaler gut (wir haben berichtet), die Analysten von ISG sehen die Schwächen. Auch bei einem anderen Thema gibt es ganz verschiedene Meinungen: Kann man US-Cloud-Anbieter bedenkenlos einsetzen oder sind dann die eigenen Daten in Gefahr? Die Diskussion geht weiter.

CIOKurator.News #40: Wolkige Ausgabe mit Quartalsergebnissen, SAP und die Cloud, Gaia-X doch auf dem Weg?

Es ist einmal mehr Zeit für Quartalszahlen. Und wenn sie auch oft durchwachsen sind, das Cloud-Geschäft von Microsoft, Amazon und Google wächst. Kritisch gesehen wird das Cloud-Geschäft dagegen in der SAP Community nach dem Motto: Cloud muss nicht günstiger als On Premises sein.

%%footer%%