Was das Schengener Informationssystem ist
Ohne das Schengener Informationssystem gäbe es keine Reisefreiheit in der EU. Doch welche Technik steckt dahinter – und wie intensiv wird das System genutzt?
Welche Rolle Zero Trust in der Compliance spielt
Am Thema Compliance kommt heute kein Unternehmen mehr vorbei. Wir klären, wie Compliance und Zero Trust zusammenhängen, was sie unterscheidet und wie sie voneinander profitieren.
Der Begriff Compliance steht nicht nur für die Einhaltung gesetzlicher und regulatorischer Vorgaben, sondern auch für die Erfüllung individueller Anforderungen, die ein Unternehmen selbst festgelegt hat. Was oft unnötig kompliziert klingt, bedeutet eigentlich nur, dass alle Mitarbeiter und die von ihnen eingesetzten Technologien den verschiedenen Vorgaben entsprechen, also „compliant“ oder „konform“ sein müssen, um Schaden von der Firma abzuwenden.
Was Compliance und Zero Trust gemeinsam haben
Ein auf den ersten Blick sehr ähnliches Ziel verfolgt auch das Zero-Trust-Konzept: Es soll Schaden vom Unternehmen abwenden. Bei Zero Trust handelt es sich um ein Sicherheitsmodell, das Datenschutzverletzungen verhindern soll. Dies wird erreicht, indem sensible Informationen nur den Mitarbeitern zugänglich gemacht werden, die diese für die Erledigung ihrer Aufgaben tatsächlich benötigen. Gleichzeitig geht das Konzept davon aus, dass es keine vertrauenswürdigen Netzwerke, Server oder Endgeräte mehr gibt. Alle Identitäten und Berechtigungen von Benutzern und Geräten benötigen deshalb ständige Kontrollen und Authentifizierungen. Erst nach der Überprüfung kann ein Zugriff auf die entsprechende Ressource erfolgen, der aber stets zeitlich begrenzt ist.
Compliance und Zero Trust sind also eng miteinander verwandt, wenn es um Cybersicherheit und den Schutz des Unternehmens vor Bedrohungen geht. So hilft Zero Trust, Compliance-Anforderungen zu erfüllen, indem es vertrauliche Daten schützt und Datenlecks verhindert. Dennoch ersetzt Zero Trust keine Compliance-Vorgaben in einer Firma.
Ein Zero-Trust-Konzept setzt sich aus zahlreichen Bausteinen zusammen, die auf den genannten Prinzipien basieren. Die von NCP engineering angebotene Zero-Trust-Implementierung besteht aus mehreren eng miteinander verzahnten Komponenten, die zusammen einen umfassenden Schutz vor Cyberangriffen gewährleisten. Die Nutzer erhalten nur Zugriff auf die Daten, die sie für ihre aktuellen Aufgaben benötigen. Weder sie noch ihre Geräte gelten als uneingeschränkt vertrauenswürdig, wie es beim klassischen Perimeter-Ansatz der Fall ist.
Aus folgenden zentralen Bausteinen besteht Zero Trust:
- Zugriffskontrollen für Benutzer, Geräte und Anwendungen (Stichwort: Multi-Faktor-Authentifizierung, MFA)
- Überwachung aller Aktivitäten
- Granulare und zeitlich begrenzte Vergabe von Berechtigungen
Moderne Zero-Trust-Implementierungen lassen Kriminellen weniger Spielraum zur Ausbreitung. Selbst im Falle einer erfolgreichen Attacke erhält der Angreifer nur Zugriff auf einen sehr kleinen Teil des Netzwerks. Die übrigen Ressourcen bleiben ihm verschlossen. Betroffene Segmente können zudem schneller isoliert und von einer Bedrohung befreit werden, ohne dass das gesamte System heruntergefahren werden muss.
Die von NCP angebotenen Software-Lösungen zur sicheren Datenkommunikation verfolgen diesen Ansatz bereits seit mehreren Jahren. Im Gegensatz zu herkömmlichen VPN-Produkten, die lediglich einen sicheren Tunnel von außen in das vermeintlich immer vertrauenswürdige Unternehmensnetzwerk öffnen, bieten diese auf dem Zero-Trust-Prinzip basierenden Lösungen einen deutlich höheren Schutz. So ermöglicht beispielsweise das NCP Secure Enterprise Management (SEM) den Administratoren im Unternehmen, alle notwendigen Zugriffsrechte ganzer Benutzergruppen oder auch nur einzelner User granular zu konfigurieren. Hierdurch gelingt die Umsetzung des bewährten Prinzips der geringsten benötigten Berechtigungen (Least Privilege).
Die Schlüsselfragen bei der Zero-Trust-Implementierung lauten:
- Wer ist der Benutzer, das Gerät oder die Anwendung, die auf eine Ressource zugreifen möchte?
- Auf welche Ressource soll zugegriffen werden?
- Erfolgt der Zugriff von einem Gerät, das dem Unternehmen bekannt ist und möglicherweise sogar von ihm verwaltet wird?
- Zu welchem Zeitpunkt und von wo aus erfolgt der Zugriff?
- Handelt es sich um bereits bekannte Aktivitäten – oder wirkt etwas ungewöhnlich daran?
Die Antworten auf diese Fragen entscheiden darüber, ob ein Zugriff erlaubt oder blockiert wird.
Welche Vorteile Zero Trust hat
Firmen profitieren auf verschiedene Weisen von einem Zero-Trust-Konzept. Indem zuerst herausgefunden werden muss, wo sich überall schützenswerte Daten befinden und wer darauf Zugriff benötigt, erhöht sich die Transparenz im gesamten Netzwerk. Darüber hinaus kennen wir alle die Folgen der Covid-Pandemie, die weltweit unzählige Angestellte ins Homeoffice trieb und bis heute für einen hohen Bedarf an sicheren Fernverbindungen sorgt. Zero Trust geht auch hier weit über traditionelle Schutzkonzepte durch Firewalls und klassische Sicherheitslösungen hinaus, indem Identitäten eng mit Nutzern, Geräten und Anwendungen verknüpft werden.
Doch zurück zur Frage, wie Compliance und Zero Trust zusammenhängen. Da bei der Umsetzung des Zero-Trust-Prinzips jeder einzelne Zugriff im Netzwerk geprüft und freigegeben werden muss, gelingt die Einhaltung regulatorischer Vorgaben leichter. Die erfassten Daten dienen nicht nur ihrem eigentlichen Zweck, der Zugangskontrolle, sondern häufig auch zur Dokumentation der Einhaltung von Compliance-Vorgaben. Die Überprüfung der Zeit, des Standorts und aller beteiligten Anwendungen bei Zugriffsanfragen ermöglicht einen lückenlosen und transparenten Audit-Trail.
Wie Zero Trust, Compliance und DSGVO ineinandergreifen
Darüber hinaus erleichtern Zero-Trust-Implementierungen die Einhaltung der Datenschutz-Grundverordnung (DSGVO), die in Europa für alle Unternehmen gilt, die personenbezogene Daten von EU-Bürgern verarbeiten. Zero-Trust-Maßnahmen sorgen dafür, dass nur autorisierte Nutzer Zugriff auf personenbezogene Daten erhalten. Außerdem garantieren sie, dass die verarbeiteten Daten sicher gespeichert und übertragen werden. Die Datenschutz-Grundverordnung kann die Einführung einer Zero-Trust-Lösung jedoch auch erschweren. Dies gilt besonders dann, wenn sie personenbezogene Daten auswertet und damit Nutzerprofile zur Bewertung von Zugangsanfragen erstellt. In diesem Fall ist vorab eine Datenschutz-Folgeabschätzung nach Art. 35 DSGVO durchzuführen.
Sie möchten sich näher über Zero Trust informieren? Kontaktieren Sie uns! NCP hat Zero Trust schon umgesetzt, bevor der Begriff zum Buzzword wurde. Denn: Vertrauen ist gut, Zero Trust Security ist besser!
Das könnte Sie auch interessieren:
Grundlagen der Verschlüsselung
Verschlüsselung schützt vertrauliche Daten vor Spionage und Diebstahl. Es gibt aber Unterschiede zwischen symmetrischen, asymmetrischen und hybriden Verfahren.
Was vom dritten KRITIS-Dachgesetz zu erwarten ist
Die dritte Fassung des IT-Sicherheitsgesetzes betrifft zusätzlich bis zu 30.000 Unternehmen in Deutschland. Sie müssen künftig deutlich höhere Sicherheitsstandards einhalten.