Lesezeit ca. 8 Min.
arrow_back

CSO Cyber Resilience Summit: Zero Trust – der Weg ist das Ziel


Logo von Computerwoche
Computerwoche - epaper ⋅ Ausgabe 1/2023 vom 06.01.2023
Artikelbild für den Artikel "CSO Cyber Resilience Summit: Zero Trust – der Weg ist das Ziel" aus der Ausgabe 1/2023 von Computerwoche. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Sie möchten mehr über das Konzept Zero Trust erfahren? Dann lesen Sie online auf der Website der COMPUTERWOCHE:

Authentifizierung neu gedacht: Zero Trust verstehen und umsetzen

Zero-Trust-Architekturen: 7 Grundsätze, die Sie kennen sollten

Netzwerksicherheit: So geht Zero-Trust-Umgebung

Eine robuste Cyber Resilience ist im Kern das Ergebnis einer umfassenden IT-Security-Strategie, die sich auf das ständige Monitoring von Tools, Prozessen, Architekturen sowie Mitarbeitenden und Lieferanten in der Supply Chain erstreckt. Unternehmen und Organisationen sind angesichts der tagtäglichen Flut immer gefährlicherer Cyberangriffe gut beraten, diesen ganzheitlichen Ansatz zu verfolgen. Ob das Paradigma „Zero Trust“ dabei bis zur letzten Konsequenz verfolgt werden muss, bleibt offen – als Ziel beziehungsweise letzte Ausbaustufe einer grundlegend modernisierten Netzwerk-Infrastruktur ist es in jedem Fall ...

Weiterlesen
epaper-Einzelheft 10,99€
NEWS Jetzt gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von Computerwoche. Alle Rechte vorbehalten.
Lesen Sie jetzt diesen Artikel und viele weitere spannende Reportagen, Interviews, Hintergrundberichte, Kommentare und mehr aus über 1050 Magazinen und Zeitungen. Mit der Zeitschriften-Flatrate NEWS von United Kiosk können Sie nicht nur in den aktuellen Ausgaben, sondern auch in Sonderheften und im umfassenden Archiv der Titel stöbern und nach Ihren Themen und Interessensgebieten suchen. Neben der großen Auswahl und dem einfachen Zugriff auf das aktuelle Wissen der Welt profitieren Sie unter anderem von diesen fünf Vorteilen:

  • Schwerpunkt auf deutschsprachige Magazine
  • Papier sparen & Umwelt schonen
  • Nur bei uns: Leselisten (wie Playlists)
  • Zertifizierte Sicherheit
  • Freundlicher Service
Erfahren Sie hier mehr über United Kiosk NEWS.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 1/2023 von 2023 – reden wir über Unternehmenswerte. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
2023 – reden wir über Unternehmenswerte
Titelbild der Ausgabe 1/2023 von Neues Abkommen geplant: EU glaubt an hohes Datenschutzniveau in den USA. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Neues Abkommen geplant: EU glaubt an hohes Datenschutzniveau in den USA
Titelbild der Ausgabe 1/2023 von China pumpt Milliarden in seine Chipindustrie. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
China pumpt Milliarden in seine Chipindustrie
Titelbild der Ausgabe 1/2023 von Huawei widerspricht Gerüchten über EU-Rückzug. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Huawei widerspricht Gerüchten über EU-Rückzug
Mehr Lesetipps
Blättern im Magazin
Studie Cybersecurity 2022: Cybersicherheit muss raus aus den Silos
Vorheriger Artikel
Studie Cybersecurity 2022: Cybersicherheit muss raus aus den Silos
Hohe Stromkosten: So wird Ihr Rechenzentrum energieeffizient
Nächster Artikel
Hohe Stromkosten: So wird Ihr Rechenzentrum energieeffizient
Mehr Lesetipps

... erstrebenswert.

Dies ist die Quintessenz des ersten virtuellen Summits Cyber Resilience, den die neue Medienmarke „CSO“ von Foundry zusammen mit dem Exklusiv-Partner Zscaler ausgerichtet hat. Mehr als 100 IT- und Security-Verantwortliche aus namhaften Unternehmen der DACH-Region tauschten sich Ende 2022 über die Herausforderungen der aktuellen Bedrohungslagen aus. Im Mittelpunkt standen dabei vor allem Best-Practice-Beispiele aus renommierten Anwenderunternehmen.

Zero Trust darf nicht zum Buzzword werden

Kevin Schwarz, Director Transformation Strategy bei Zscaler, warb im Hinblick auf Zero Trust für eine realistische Betrachtungsweise. Man müsse aufpassen, dass sich der Begriff nicht „zum Buzzword“ entwickle. Es gehe hierbei nicht nur um Technik, sondern um eine neue Phase der Transformation von Unternehmen – nämlich die Absicherung der gesamten digitalen Wertschöpfungskette. Dabei sei – im übertragenen Sinne – der Weg das Ziel, so Schwarz.

Der Zscaler-Manager sprach sich in diesem Zusammenhang für ein iteratives Vorgehen aus. Verantwortliche IT- und Business-Entscheider müssten ihre kritischen Data Assets identifizieren und durch schnellere sowie sichere Datennutzung Mehrwerte in Form neuer Prozesse und Geschäftsmodelle schaffen. In vielen Fällen scheitere das allerdings immer noch an einer nicht stringenten Data-Management-Strategie. Dennoch: Nur durch diesen Veränderungsprozess gelinge es, Führungskräfte und Mitarbeitende auf den Weg in die Zero-Trust-Zukunft mitzunehmen. Schwarz spielte damit indirekt auch auf neuere Gartner-Prognosen an, wonach rund zwei Drittel aller Zero-Trust-Strategien in den Unternehmen scheitern. Die Anwender würden immer noch zu sehr in Silos denken und hätten zu wenig verinnerlicht, dass „die Zeiten einer rein Perimeter-basierten IT-Sicherheit vorbei sind“, betonte Schwarz.

Auf welche Parameter es in besagtem Veränderungsprozess ankommt, skizzierte Sebastian Diels, Head of Security & Access Management bei der Aareal Bank AG. Das in Wiesbaden ansässige Geldhaus plant, in absehbarer Zeit wichtige Workloads in die Cloud auszulagern – ein im stark regulierten Bankensektor per se spannendes Unterfangen. Bei der Cloud-Migration sei Zero Trust „das Mittel der Wahl“ skizzierte der Security-Manager, der fachlich und disziplinarisch in der IT verortet ist, den Weg seines Unternehmens. Daran, dass die Umsetzung einer entsprechenden Roadmap ein Marathon sei, ließ Diels keinen Zweifel: „Zero Trust ist ein strategischer Ansatz, der die gesamten IT-Anwendungen und Geschäftsprozesse umfasst.“

Alles dreht sich um Netzwerk-Segmentierung

Die Aareal Bank befinde sich erst am Anfang und beschäftige sich derzeit mit den Themen Multi-Faktor-Authentifizierung und Netzwerk-Segmentierung. Identity- und Access-Management werde dabei zum „Dreh- und Angelpunkt.“ Diels spielte damit auf den Kern des Zero-Trust-Ansatzes an, nämlich den Schutz moderner digitaler Umgebungen, insbesondere hybrider Cloud-Architekturen, der die Netzwerksegmentierung nutzt, um die Ausbreitung von Bedrohungen zu verhindern, die Bedrohungsabwehr auf die Anwendungsebene (Layer 7) ermöglicht und eine detaillierte Zugriffskontrolle für Benutzer vereinfacht.

Stichwort Zugriffskontrolle: Im Kontext der Covid-19-Pandemie bestand das (mobile) Home-Office bekanntermaßen seine Feuertaufe, schließlich wurden quasi über Nacht hunderttausende von Arbeitsplätzen in private Wohnumgebungen verlagert – allerdings zu Lasten der IT-Sicherheit. Charles Kionga, Head of IT Security Competence Center BISS beim Zscaler-Partner Bechtle und Gregor Keller, Director Sales Engineering Zscaler, machten in einem gemeinsamen Vortrag deutlich, dass der sogenannte hybride Arbeitsplatz der Zukunft deutlich weitergehenden Sicherheitsanforderungen genügen müsse.

So verfolgten die meisten Unternehmen beim Ausbruch der Pandemie einen pragmatischen Ansatz und führten unter Umgehung zentraler Proxy-Systeme und ohne Mehrfach-Authentifizierung cloudbasierte Collaboration-Lösungen ein. Laut Kionga geschah das häufig auf der Basis eines für einen flächendeckenden Remote

Access unterdimensionierten, weil sternförmig aufgebauten Netzwerkdesigns. Dieser nur sehr unzureichende Schutz von Netzwerk- und IT-Infrastruktur müsse durch eine neue, ganzheitliche Security-Strategie aufgefangen und an vielen Stellen optimiert werden.

Beide Branchenvertreter betonten, dass die Anwender dabei häufig auch alte Zöpfe abschneiden müssten; es gelte, sich „von den Netzwerk-Topologien der 90er-Jahre zu verabschieden“. Grundvoraussetzungen einer modernen Architektur seien zum Beispiel VPN-Lösungen mit Multifaktor-Authentifizierung und die Implementierung grundsätzlich neuer Vernetzungskonzepte wie SD-WANs.

Prinzipiell gehe es dabei auch, so führte Zscaler-Manager Keller aus, zumindest im Ansatz um den Einstieg in eine Zero-Trust-Welt. Nicht nur für große Konzerne, sondern auch für Mittelständler empfehle sich hier das US-amerikanische Referenzmodell CISA als Orientierungshilfe. Keller: „Die Reise zu Zero Trust kann auch in mehreren sinnvollen Schritten gegangen werden.“

CSO – unsere Plattform für IT-Sicherheitsprofis

Vor gut einem Jahr ist die Medienmarke CSO auch in Deutschland an den Start gegangen. Mit dem IT-Security-Portal trägt Foundry der immer weiter steigenden Bedeutung des Themas Informationssicherheit Rechnung. Regelmäßig sorgen Hacker für Schlagzeilen, wenn sie in die IT-Systeme großer Konzerne eindringen und dort wertvolle Informationen stehlen oder verschlüsseln, um ihre Opfer zu erpressen. Die Zahl der Sicherheitslücken, über die sich die Kriminellen Zugang verschaffen, wächst täglich. Um hier am Ball zu bleiben, müssen sich IT-Sicherheitsverantwortliche gut informieren. Genau das wollen wir Ihnen mit CSO anbieten. Hier finden Sie alle relevanten Informationen zum Thema IT-Security. Außerdem können Sie sich mit Kollegen vernetzen und austauschen, beispielsweise auf unseren zahlreichen Events. Besuchen Sie:

Doch wie müssen sich Unternehmen nun generell aufstellen und gegebenenfalls neu positionieren, um „cyber resilient“ zu sein und dadurch auch einer Zero-Trust-Philosophie zu entsprechen? Zwei Beispiele prominenter Unternehmen veranschaulichten auf dem Summit entsprechend aufwendige Ansätze sowie Strukturveränderungen.

So berichtete Iskro Mollov, Group CISO und Vice President Business Continuity and Crisis Management der GEA Group AG, von einem völlig neu konzipierten Global Security Program, das der Düsseldorfer Mischkonzern für seine weltweit 20.000 Mitarbeitenden im September 2020 ausgerollt hat. Wesentliches Momentum sei dabei der kompromisslose Fokus auf IT-Sicherheit durch klare Strukturen. So unterscheide man auf der strategischen Führungsebene im Kontext von Cybersecurity zwischen reinen Governance- und Betriebs-Anforderungen, bilde insofern eine First und Second Line der Cyberabwehr ab.

Unterscheidung zwischen First und Second Line

Während die erste Verteidigungslinie unterschiedliche Aufgaben wie den Schutz von IT und OT, Produktsicherheit und physischen Schutz von Unternehmens-Assets schultere, sei die klassische Information Security Governance unter anderem für Themen wie Strategieentwicklung und Steuerung, Asset- und Risiko-Management sowie Audits und Business Continuity Management zuständig. Ein Modell übrigens, an dem sich offenkundig viele Unternehmen orientieren, die entsprechende Ressourcen vorhalten können.

Der GEA-CISO betonte, dass diese unternehmensweite Matrix-Organisation Voraussetzung dafür sei, für seinen Konzern weitestgehende Cyber- und Operational Resilience zu gewährleisten – mit dem Ziel, das wohl alle Unternehmen unterschreiben würden: Schutz vor Reputationsverlust sowie physischen und finanziellen Schäden. Zudem diene diese Neuaufstellung auch dazu, die immer größeren regulatorischen Anforderungen bei Ausschreibungen oder hinsichtlich des von der EU angekündigten Cyber Resilience Acts zu erfüllen. Rund 300 Legal Entities der GEA seien weltweit in diese Struktur eingebunden, mit jeweils einem „Dreigestirn“ aus Process Owner (Fachabteilung), Asset Owner (IT) und Information Security Officer, das dem lokalen Site-Manager in Sachen Cybersecurity zuarbeitet.

Ralf Schneider, Group CIO der Allianz AG, setzt in seinem Konzern ebenfalls auf einen hybriden Ansatz zwischen zentraler Steuerung und lokaler Verantwortung. „Man kann Risiken nur minimieren, aber nicht ausschließen“, schrieb der oberste IT-Verantwortliche des DAX-Konzerns den Summit-Teilnehmern ins Stammbuch. Mehr denn je seien daher klare Zuständigkeiten und eine unmissverständliche Policy vonnöten. Der CISO zeichne für Normen, Policies und Standards; der CIO verantworte den Betrieb und damit unter anderem das Patch-Management, brachte Schneider seine Philosophie plakativ auf den Punkt.

Zentral steuern – lokal managen

Die Allianz baue daher in ihrer Cyber-Resilience-Strategie auf die „kybernetische Steuerung einer selbstlernenden Organisation“, führte Schneider weiter aus. Schließlich bedeuteten 63 Landesgesellschaften de facto 63 verantwortliche Site-Manager, 63 CFOs und 63 lokale Information Security Officer. „Top-down funktioniert hier nicht“, man müsse vielmehr zu einer gemeinsamen Sprache und zu einer einheitlichen Vorgehensweise finden. Zentrale Steuerungsplattform hierfür ist bei der Allianz ein Cyber Security Dashboard, in dem einerseits die Detection und Abwehr von Cyberattacken koordiniert wird, andererseits aber auch konzernweit alle relevanten Informationen zu Testings, Roll-outs, Schulungsund Awareness-Programmen einzelner Units hinterlegt sind. Schneider: „Jeder weiß, dass seine Kollegen wissen, was er weiß.“

Der CIO des größten deutschen Versicherungskonzerns prognostizierte angesichts der weiter zunehmenden Gefahren durch Cyberattacken, dass das Jahr 2023 unter dem Motto „Security First“ stehen werde. Alle Ressourcen, alle Budgets würden sich der Entwicklung weiter anpassen müssen, trotz schlechter konjunktureller Aussichten infolge des Krieges in der Ukraine.

Schneider und viele andere Sprecher des Summits waren sich auch darin einig, dass neben dem Ausmaß und der „Raffinesse“ von Angriffen auch die fortschreitende Digitalisierung von Unternehmensabläufen und Anwendungen ständige Updates und Innovationen der IT-Sicherheitsarchitektur erforderten. Außerhalb der Unternehmensgrenzen rücke mehr denn je der Schutz der Supply Chain in den Fokus, intern werde Security by Design mehr denn je zur zentralen Disziplin. Vor allem aber müssten moderne cloudnative Applikationen schon ab der ersten Entwicklungsphase quasi vom Ende her gedacht werden – Stichwort: DevSecOps.

Was aber tun, wenn trotz bestmöglicher technologischer und organisatorischer Vorbereitungen sowie Schutzmaßnahmen der Ernstfall eintritt? Zscaler-Experte Keller sowie Florian Hartmann, Senior Sales Engineer Central Europe beim Zscaler-Partner Crowdstrike, fassten ihre Empfehlung unter dem Claim „Ruhe bewahren, aber schnell und professionell agieren“ zusammen. Jedes Unternehmen sei, so die beiden Sprecher, gut beraten, mit einer im Wesentlichen auf drei Stufen basierenden

Cyberabwehr zu arbeiten. So gehe es vor einem Angriff vor allem darum, immer wieder an der Awareness bei Mitarbeitenden und Führungskräften zu arbeiten, Notfallpläne festzulegen und Krisenszenarien in Übungen regelmäßig durchzuspielen, zum Beispiel in Form sogenannter „Table Tops“ mit allen wichtigen Stakeholdern im Unternehmen.

Incident – no Panic

Komme es zu einem Incident beziehungsweise werde dieser entdeckt, sei Panik Vermeiden die allererste Bürgerpflicht. Gleichzeitig gehe es darum, so schnell wie möglich alle Notfallpläne zu aktivieren, interne oder externe Threat-Intelligence-Teams zusammen mit Forensikern in Marsch zu setzen – mit dem Ziel, angegriffene Assets zu identifizieren, zu lokalisieren und vom übrigen Netzwerk zu trennen. Wichtig sei in dieser Phase auch die professionelle und schnelle Kommunikation mit Mitarbeitenden, Partnern und Lieferanten sowie gegebenenfalls auch mit der Öffentlichkeit.

Nach der Abwehr einer Cyberattacke geht es natürlich, wie Keller und Hartmann betonten, um die Wiederherstellung aller betrieblichen Abläufe nach geschäftlichen Prioritäten. Was nach einer Selbstverständlichkeit klingt, hat aber seine Tücken im Detail. Im Durchschnitt dauere dieser Prozess bei einem Unternehmen mehrere Wochen, führten beide Sprecher aus. Während es in der Phase der Detection vor allem auch um Reaktionsschnelligkeit gehe, seien Anwender beim Recovery und Wiederhochfahren ihrer IT-Systeme und Geschäftsprozesse indes gut beraten, Sorgfalt zu wahren und nötigenfalls Veränderungsbereitschaft an den Tag zu legen. Wer nach einem Angriff nicht analysiere, welche Schwachstellen die Forensiker entdeckt und dokumentiert haben, sei mehr als leichtsinnig. Eine IT-Infrastruktur nach einem Angriff wieder eins-zu-eins weiter zu betreiben mache, so Zscaler-Manager Keller, „das Unternehmen noch angreifbarer als vor dem Incident.“

(ba)

Fazit

Summa summarum bleibt Zero Trust also ein Ansatz, der trotz des US-amerikanischen CISA-Frameworks zwar noch konkreterer Standardisierung bedarf, aber in seiner grundsätzlichen Ausrichtung genau auf die komplexe Herausforderung einer tiefgreifenden Modernisierung von Data Management, Netzwerk- und IT-Infrastruktur einzahlt. Kevin Schwarz von Zscaler gab zum Abschluss des Summits noch einen Ausblick auf die Zero-Trust-Event-Reihe „One True Zero“ des Herstellers und führte in seinem Wrap-up die wichtigsten Fragen auf, die sich Anwender bei Beginn ihres Weges in Richtung Zero Trust stellen sollten: Kenne ich alle Application Owner? Wie aktuell ist mein Inventory der Anwendungen? Wo liegen die zentralen Data Assets und wer soll intern und von extern Zugriff darauf haben?