In den letzten Jahren haben Ransomware und Datenschutzverletzungen zu enormen (teils kostspielige, millionenschwere) Störungen bei Organisationen und Regierungen geführt.
In dem Maße, in dem Unternehmen die digitale Transformation vorantreiben und ihre Abläufe in die Cloud verlagern, setzen sie immer häufiger auf ein Zero-Trust-Modell, um eine robuste und sichere Netzwerkinfrastruktur zu schaffen. Secure Access Service Edge hat sich als Cloud-gestützte Konvergenz von Netzwerkzugangs- und Sicherheitsdiensten etabliert und ist ein gängiger Ansatz für die Einführung von Zero Trust in Unternehmen. Die Herausforderung besteht jedoch darin, dass in vielen Unternehmen die Verantwortung für Netzwerke und Sicherheit in verschiedenen Bereichen des Unternehmens angesiedelt ist und diese Gruppen oft auf unterschiedliche Anbieter in ihren jeweiligen Bereichen zurückgreifen. Um Zero Trust in größeren Unternehmen zu implementieren, ist es entscheidend, die Silos zwischen Sicherheits- und Netzwerkteams aufzubrechen und die richtigen Tools, Produkte und Anbieter auszuwählen, die sich an den gewünschten Geschäftsergebnissen orientieren.
Wenn Organisationen schnell handeln und organisatorische Grenzen überschreiten müssen, ernennen sie oft einen Verantwortlichen, der ein bestimmtes Programm übernimmt und es bis zur Implementierung oder Ausführung begleitet. Da der Druck, Zero Trust zu implementieren, immer größer wird, gehe ich davon aus, dass in einigen großen Unternehmen die Rolle eines „Chief Zero Trust Officer“ entstehen wird.
Diese Person wird der Zero-Trust-Beauftragte für das Unternehmen sein und ist dafür verantwortlich, das Unternehmen auf dem Weg zu Zero Trust voranzubringen. Ihre Aufgabe wird es sein, getrennte Organisationen und Anbieter zusammenzubringen und sicherzustellen, dass alle Teams und Abteilungen an einem Strang ziehen und auf ein gemeinsames Ziel hinarbeiten. Falls es zu Widerständen kommt, sollte der Zero-Trust-Beauftragte die Rückendeckung der Unternehmensführung (CIO, CISO, CEO, Vorstand) haben, um schnell Entscheidungen treffen zu können und Organisationsgrenzen zu überwinden, um so den Prozess voranzutreiben. Unabhängig davon, ob der Titel „Chief Zero Trust Officer“ Realität wird oder nicht, kann eine befähigte Person mit einem klaren Auftrag und einem eindeutigen Fokus der Schlüssel sein, um Zero Trust im Jahr 2023 zum Erfolg zu verhelfen.
Nie wieder einfache, alphanumerische Passwörter
Phishing-Angriffe stellen für Unternehmen weltweit nach wie vor ein großes Problem dar. Leider beginnen die meisten Cyberangriffe mit einer Phishing-E-Mail. Die Authentifizierung mit Benutzername und Passwort reicht selbst in Kombination mit gängigen Formen der Multi-Faktor-Authentifizierung nicht mehr aus. Selbst bei regelmäßiger Schulung des Sicherheitsbewusstseins werden Benutzer irgendwann auf einen falschen Link klicken und Opfer eines Angriffs werden.
Unternehmen können bereits heute stärkere FIDO2-konforme Sicherheitsschlüssel zusammen mit einem Zero-Trust-Zugang aktivieren, wenn sie ein System wie das von Cloudflare verwenden, um es Angreifern deutlich schwerer zu machen. Der beste Weg, um die meisten Nutzer und ihre Anmeldedaten zu schützen, besteht möglicherweise darin, den Endnutzer ganz von dieser Last zu befreien. Die FIDO-Allianz sieht vor, dass man sich überall ohne Passwort anmelden kann. Für die Anmeldung wird das Gesicht oder der Fingerabdruck anstelle der alten Kombination aus Benutzername und Passwort verwendet. Ein FIDO-Anmeldeschlüssel, manchmal auch „Passkey“ genannt, macht es den Benutzern leichter und den Angreifern schwerer. Wenn es kein Passwort zu stehlen gibt, können Hacker keine Anmeldedaten für ihre Angriffe erbeuten. Wir gehen davon aus, dass viele Websites und Anwendungen ab 2023 die passwortlose Anmeldung mit dem Passkey-Standard der FIDO Alliance übernehmen werden.
Cloud vs. Compliance
Regierungen weltweit führen neue Datenschutzbestimmungen ein.
In Europa gibt die Allgemeine Datenschutzverordnung (DSGVO), die 2018 in Kraft getreten ist, jedem Einzelnen mehr Kontrolle über seine persönlichen Daten und deren Verwendung. Andere Länder folgen diesem Beispiel und nutzen die DSGVO als Vorbild. In den USA gibt es fünf Bundesstaaten mit neuen Gesetzen zum Verbraucherschutz, die 2023 in Kraft treten, und weitere Bundesstaaten erwägen eine entsprechende Gesetzgebung. Auch auf Bundesebene bringt der Gesetzgeber mit dem American Data and Privacy Protection Act („ADPPA“) langsam seine eigenen Datenschutzbestimmungen auf den Weg, ein Gesetz zum Online-Datenschutz, welches die Erfassung und Speicherung von Verbraucherdaten regeln soll.
Unternehmen müssen nun diesen Flickenteppich an Vorschriften verstehen und einhalten, insofern sie weltweit geschäftlich tätig sind. Wie können Unternehmen auf dem Laufenden bleiben und die Einhaltung der Vorschriften in ihre Anwendungen und IT-Systeme integrieren?
Wir glauben, dass die meisten Cloud-Dienste bald über integrierte Compliance-Funktionen verfügen werden. Die Cloud selbst sollte den Unternehmen die Last der Compliance abnehmen. Entwickler sollten nicht genau wissen müssen, wie und wo ihre Daten legal gespeichert oder verarbeitet werden dürfen. Die Last der Einhaltung von Vorschriften muss weitgehend von den Cloud-Diensten und -Tools übernommen werden, mit denen die Entwickler arbeiten. Netzwerkdienste sorgen für eine effiziente und sichere Weiterleitung des Datenverkehrs unter Einhaltung aller Gesetze zur Datenhoheit. Speicherdienste hingegen sollten von vornherein mit den Vorschriften zur Datenaufbewahrung übereinstimmen. Die Verarbeitung muss sich an die einschlägigen Datenlokalisierungsstandards halten.
Remote Browser behebt Geräteprobleme
Sicherheitsrichtlinien, Datenschutzgesetze und -vorschriften verlangen von Unternehmen, dass sie ihre sensiblen Daten schützen, und zwar von dem Ort, an dem sie gespeichert und verarbeitet werden, bis hin zu dem Ort, an dem sie vom Endbenutzer in seinen Anwendungen genutzt werden. In der Vergangenheit war es relativ einfach, die Geräte der Endbenutzer vollständig zu kontrollieren, da sie oft vom Unternehmen ausgegeben wurden und nur für den Gebrauch im Unternehmen bestimmt waren. Doch seit einigen Jahren – und mit der zunehmenden Nutzung von privaten Smartphones und Tablets – hat der BYOD-Trend (Bring-your-own-device) an Fahrt aufgenommen und wurde während der verschiedenen Phasen der globalen Pandemie noch stärker angenommen.
Wir gehen davon aus, dass das Pendel des BYOD-Trends wieder in Richtung strengerer Sicherheit und mehr Kontrolle durch die IT-Organisation ausschlagen wird. Die Notwendigkeit, Sicherheitsrichtlinien und Datenschutzkontrollen konsequent durchzusetzen, wird allmählich das Gefühl der Dringlichkeit und die Nachfrage nach Bequemlichkeit überwiegen, die wir in den letzten Jahren erlebt haben. Da sich ein Großteil unseres digitalen Lebens in einem Webbrowser abspielt, kann diese Kontrolle jedoch eine andere Form annehmen als in der Vergangenheit.
Diese neue Form bedeutet mehr Kontrolle für IT-Administratoren UND eine bessere Benutzererfahrung für Mitarbeiter.
Die Browser-Isolierung ist eine clevere Technologie, die im Wesentlichen Sicherheit durch physische Isolierung bietet. Diese Technik schafft eine „Lücke“ zwischen dem Webbrowser eines Benutzers und dem Endgerät, wodurch das Gerät (und das Unternehmensnetzwerk) vor Angriffen geschützt wird. Die Remote-Browser-Isolierung (RBI) geht noch einen Schritt weiter, indem sie den Browser zu einem Remote-Dienst in der Cloud verschiebt. Cloud-basiertes Remote-Browsing isoliert das Endbenutzergerät vom Unternehmensnetzwerk und ermöglicht gleichzeitig IT-Kontroll- und Compliance-Lösungen.
Manche sagen bei diesem Remote-Browsing-Modell, dass „der Browser das Gerät ist“. Anstelle von BYOD wäre es vielleicht angebracht, dies „BYOB“ oder „Bring Your Own Browser“ zu nennen. Die meisten Unternehmen sind bestrebt, die Sicherheits- und Datenschutzanforderungen des Unternehmens mit der Benutzerfreundlichkeit und dem Komfort für die Mitarbeiter besser in Einklang zu bringen. Bei Cloudflare verwenden wir unsere Remote-Browser-Isolierung in Verbindung mit dem Zero-Trust-Zugang, um unsere Benutzer und Geräte zu schützen. Sie ist für die Benutzer völlig transparent und bietet ein perfektes Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit. Wir glauben, dass sich die Remote-Browser-Isolierung auf breiter Front durchsetzen wird, wenn die IT-Verantwortlichen sich der Vorteile bewusst werden und wissen, wie gut sie tatsächlich funktioniert.