Sichtbarkeit ist die Grundvoraussetzung für Sicherheit

von Rob Sobers Gestern Abend habe ich eine ausgezeichnete Episode der Show „This Week in Startups“ gesehen, in der Aaron Levie von Box.net zu Gast war. Aaron ist ein bemerkenswerter junger...
Michael Buckbee
2 minute gelesen
Letzte aktualisierung 3. August 2022

von Rob Sobers

Gestern Abend habe ich eine ausgezeichnete Episode der Show „This Week in Startups“ gesehen, in der Aaron Levie von Box.net zu Gast war. Aaron ist ein bemerkenswerter junger CEO, der den Eindruck hinterlässt, Unternehmenssoftware nicht nur zu verstehen, sondern auch ernst zu nehmen – eine äußerst seltene Kombination.

Eines der Gesprächsthemen war die Tatsache, dass CIOs und IT-Abteilungen in großen Unternehmen die Cloud-Speichernetzwerke immer mehr als Top-Down- & Bottom-Up-Designs in den Betrieb integrieren.

Darüber hinaus stellte er auch fest, dass immer mehr Fortune-500-Unternehmen Cloud-Lösungen entwickeln oder übernehmen, um diese in ihr Produktangebot aufzunehmen (z. B. Oracle übernimmt RightNow, SAP übernimmt SuccessFactors). Der Cloud-Speicher wurde dabei eingehend diskutiert.

Nach ungefähr 23 Minuten Gespräch zogen die ersten Gewitterwolken auf und das Offensichtliche konnte nicht länger geleugnet werden: Wie steht es dabei um die Sicherheit?

 

Aaron räumte ein, dass auch die fortschrittlichsten Unternehmen nach der Philosophie arbeiten, verschiedenste Geräte (Macs, PCs, iPhones) und beliebige Software-Programme einsetzen zu können, solange die Daten um jeden Preis gesichert sind.

Ein Versagen darin komme einem groben Fehler gleich. Wir reden hier nicht von MP3-Dateien und lustigen Tierfotos, sondern von geistigem Eigentum, Quellcodes, Patenten, Urkunden und Unterlagen der Personalabteilung etc.

Mit der Weiterentwicklung der Definition von „sicher“, stehen alle IT-Unternehmen einer schweren Entscheidung gegenüber.

Wir müssen ein Sicherheitsmodell entwickeln, das zum heutigen Modell der Arbeitsteilung passt. Wo liegt das richtige Gleichgewicht zwischen Sicherheit und Effizienz? Zwischen Verfügbarkeit und Zugriffssperre?

Levie argumentierte weiter, dass neu definiert werden muss, was Sicherheit und die Verwaltung von Sicherheit bedeutet. So kommt man automatisch zu dem Schluss, dass Sichtbarkeit für Sicherheit steht. Eine uneingeschränkte Sichtbarkeit darüber, wo sich Daten befinden und wer sie verwendet, ebenso wie Sichtbarkeit über jeden Zugriff und jede Aktivität ist vielleicht etwas offener, aber Personen werden das Produkt verwenden und ich kann sehen, was mit den Daten geschieht.

Sichtbarkeit alleine bietet noch keine Sicherheit. Wenn ich die Geschäftsberichte und das geistige Eigentum meines Unternehmens in der Cloud speichere und komplette Sichtbarkeit darüber habe, wer auf meine Daten zugreift, habe ich lediglich erzielt, dem Dieb beim Stehlen meiner Daten zuzuschauen. Das ist vergleichbar mit Banken, die auf Überwachungskameras als einzige Sicherheitsausrüstung vertrauen. Vorausgesetzt, dass Überwachungsvideos und Audit-Trails tatsächlich dafür verwendet werden, unerwünschte Aktivitäten zu erkennen und zu bekämpfen; werden sie von Prüfern lediglich als „Kontrollmaßnahmen“ angesehen.

Genauer gesagt ist Sichtbarkeit eine Grundvoraussetzung für Sicherheit. Kontrollmaßnahmen sind ein entscheidender Teil des Puzzles – sie ermöglichen eine intelligente Konfiguration der „Präventionsmaßnahmen“ und sorgen dafür, dass diese wie vorgesehen funktionieren. Die Kombination aus Kontroll- und Präventionsmaßnahmen hilft dabei, Katastrophen zu vermeiden und zeigt Schwachstellen auf, die man möglicherweise komplett übersehen hat.

Wirklich sichere Unternehmen setzen zusätzlich zur Sichtbarkeit auch auf Richtlinien, Verfahren und Kontrollen, einschließlich Prüfungen, Schutz vor Datenverlust, Inhaltsklassifizierung, angemessener Entsorgung, eDiscovery, Disaster-Recovery und vielem mehr. Diese Systeme zur Prävention und Erkennung von Sicherheitsproblemen haben Jahre gebraucht, um ihre aktuelle Leistung zu erzielen.

Der Entwurf des Cloud-Speichers wird ähnlich lange brauchen, um ein vergleichbares Sicherheitsniveau zu erreichen.

Wenn Sie gerade dabei sind, Geschäftsdaten in Cloud-Speichernetzwerke zu kopieren, stellen Sie sich doch einmal folgende Fragen:

  • Selbst wenn Ihnen der Cloud-Anbieter uneingeschränkte Sichtbarkeit über die Zugänglichkeit und Nutzung bietet, wie lässt sich diese Funktion in die vorhandene Infrastruktur integrieren? Andere Cloud-Daten?
  • Der Überblick über Zugriffskontrollen und Nutzung ist nicht das einzige Kontrollsystem, das Sie benötigen. Inhaltsanalyse, Geschäftskontinuität und Disaster-Recovery, ebenso wie Aufbewahrungsfristen und Berechtigungsprozesse – all diese Themenbereiche müssen beachtet werden.
  • Die IT-Abteilung weiß, wie schwer die Überwachung der Infrastruktur ist, die seit Jahren im Einsatz und unter Kontrolle sind, zu vereinheitlichen – Cloud-Anbieter müssen dies erst noch lernen; ihre Kontrollleistungen variieren stark und die Benutzeroberflächen der Anbieter sind ebenfalls unterschiedlich.
  • Unternehmen müssen einen Mindestkontrollstandard für jeden Plattform-, Cloud- oder Vor-Ort-Speicher festlegen. Sichtbarkeit der Zugriffskontrolle und automatisierbare Durchführung von Änderungen, vervollständigen eine Prüfung, die mit anderen Technologien, Inhaltsanalyse, automatischer Archivierung etc. verbunden werden kann.

Diese Probleme der Datenverwaltung alleine zu bewältigen, stellt allein schon eine Herausforderung dar; Google, Amazon und Box zu überzeugen, Ihre Regelungen umzusetzen, obwohl diese ihre eigene Agenda und unzählige andere Kunden mit unterschiedlichen Bedürfnissen haben; das ist eine fast unmögliche Aufgabe.

Die Verheißung der Cloud-Speichernetzwerke ist vielversprechend, aber auch nachdem Sichtbarkeit erreicht wurde, ist der Weg zu Sicherheit noch weit.

 

The post Sichtbarkeit ist die Grundvoraussetzung für Sicherheit appeared first on Varonis Deutsch.

Wie soll ich vorgehen?

Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

1

Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

2

Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

3

Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

cloudpro:-ist-geheimhaltung-das-fehlende-glied-bei-der-cloud-sicherheit?
CLOUDPRO: IST GEHEIMHALTUNG DAS FEHLENDE GLIED BEI DER CLOUD-SICHERHEIT?
Davey Winder von CloudPro hat in dieser Woche einen interessanten Artikel verfasst, der auf einer der wichtigsten Erkenntnisse unserer jüngsten zu Informations-Entropie aufbaut. Wir haben herausgefunden, dass 44 % der Befragten...
wir-stellen-vor:-datadvantage-cloud-–-datenzentrierte-sicherheit-für-saas-und-iaas
Wir stellen vor: DatAdvantage Cloud – datenzentrierte Sicherheit für SaaS und IaaS
Heute freuen wir uns, den Early Access auf DatAdvantage Cloud ankündigen zu können. Unsere neue Cloud-gehostete Lösung überträgt den datenzentrierten Sicherheitsansatz von Varonis auf AWS, Box, GitHub, Google Drive, Jira,...
kerberos-angriffe:-wie-lassen-sich-golden-tickets-stoppen?
Kerberos-Angriffe: Wie lassen sich Golden Tickets stoppen?
Der Golden Ticket-Angriff, den der Sicherheitsforscher Benjamin Delpy entdeckt hat, verschafft dem Angreifer umfassenden und vollständigen Zugriff auf Ihre gesamte Domain. Es entspricht einer goldenen Eintrittskarte (genau wie bei Willy...
wie-lässt-sich-aws-s3-sicherheit-besser-strukturieren
Wie lässt sich AWS S3 Sicherheit besser strukturieren
Wenn der neue IT-Mitarbeiter vorschlägt, dass Sie einen öffentlich zugänglichen Webserver auf Ihrem zentralen Dateiserver installieren, sollten Sie erwägen, sich von ihm zu trennen. Wenn er nun diese Idee verwirft...