users lounge

Der Podcast für mehr IT-Sicherheit

#44 Vertraue niemandem!

Zero Trust als Unternehmensphilosophie

06.06.2025 63 min

Zusammenfassung & Show Notes

Wir beleuchten aktuelle IT-Sicherheitsrisiken und KI-Datennutzung bis zur elektronischen Patientenakte – und zeigen, warum Zero Trust heute eine unverzichtbare Rolle spielt. Mit Fokus auf Zugriffsrechte, Monitoring und Cloud-Risiken geben wir Impulse, wie Unternehmen ihre Systeme besser schützen und Datenschutz sowie Netzwerksicherheit nachhaltig stärken können.

Wir diskutieren aktuelle Themen rund um IT-Sicherheit und Datenschutz. Dabei geht es unter anderem um den Einsatz persönlicher Daten für das Training von KI-Modellen, die Herausforderungen der elektronischen Patientenakte sowie um Sicherheitslücken in Software und Hardware.
Ein besonderer Fokus liegt auf dem Zero Trust Network Access (ZTNA) und seiner Rolle in modernen Sicherheitsstrategien. Wir beleuchten die Bedeutung von Zugriffsrechten und zeigen auf, wie Unternehmen durch Zero Trust-Architekturen den Zugriff auf kritische Daten besser kontrollieren können.
Wir gehen auf die Herausforderungen und Chancen bei der Implementierung von Zero Trust ein, betrachten verschiedene Einsatzbereiche und unterstreichen die Wichtigkeit von Netzwerksicherheit und Monitoring. Auch Datenschutz, die Prüfung von Cloud-Diensten sowie effektives Asset Management spielen eine zentrale Rolle in unserem Gespräch.

Entschuldigt bitte das teilweise schlechte Audio von René - wir geloben Besserung 😉

Takeaways
  • Die Nutzung von Daten für KI-Training ist ein umstrittenes Thema.
  • Die elektronische Patientenakte birgt erhebliche Datenschutzrisiken.
  • Sicherheitslücken in Software und Hardware erfordern regelmäßige Updates.
  • Zero Trust bedeutet, dass man niemandem vertraut, bis das Gegenteil bewiesen ist.
  • Die Sicherheit von Daten kann durch gezielte Berechtigungen erhöht werden.
  • Updates für Firmware sind ebenso wichtig wie Software-Updates.
  • Manipulierte SEO-Ergebnisse stellen ein neues Risiko dar.
  • Die Effizienz von Rechenzentren kann durch KI-gestützte Lösungen verbessert werden.
  • Sicherheitsstrategien müssen alle Aspekte der IT-Infrastruktur berücksichtigen.
  • Die Sensibilisierung für Datenschutz ist entscheidend für die Datensicherheit. Der Angriff auf einen Account ist nur so stark wie die Zugriffsrechte.
  • MFA ist entscheidend für die Sicherheit von Systemen.
  • Zero Trust geht davon aus, dass Angreifer bereits im Netzwerk sind.
  • Einschränkungen der Zugriffsrechte schützen Mitarbeiter und Unternehmen.
  • Datenaustausch zwischen Unternehmen erfordert klare Regeln.
  • Zugriffsmanagement ist ein zentraler Bestandteil von Zero Trust.
  • Endpoint-Schutz ist wichtig, aber der Benutzer hat Einfluss darauf.
  • Netzwerksicherheit erfordert Mikrosegmentierung und NAC.
  • Cloud-Sicherheit muss ebenfalls in die Zero Trust-Strategie integriert werden.
  • Monitoring ist entscheidend für die Sicherheit in der Cloud. Cloud ist nicht nur Cloud, sondern umfasst auch Software und Services.
  • Vertraue Cloud-Anbietern nicht blind, prüfe ihre AGBs und Verträge.
  • Zero Trust ist eine Philosophie, die in Unternehmen implementiert werden muss.
  • Mitarbeiter benötigen Zugriff auf die Daten, die sie für ihre Arbeit brauchen.
  • Usability ist entscheidend für die Akzeptanz von Sicherheitsmaßnahmen.
  • Veraltete Systeme können die Einführung von Zero Trust erschweren.
  • Externer Support kann helfen, Ressourcen zu sparen und Projekte effizienter umzusetzen.
  • Monitoring muss messbar sein, um Erfolge zu dokumentieren.
  • Asset Management ist eine Voraussetzung für effektive Sicherheitsmaßnahmen.
  • Sicherheit ist ein fortlaufender Prozess, der ständige Anpassungen erfordert.

Transkript

René
00:00:57
Herzlich willkommen zur users lounge Episode 44. Bevor wir den Michael begrüßen, würde ich einfach vorweg schicken wollen, dass ihr uns gerne auf den allgemein bekannten Kanälen folgt, damit wir entsprechend größer werden, größere Reichweite bekommen und entsprechend dann auch noch mehr Hörerinnen und Hörer in den Genuss der Users Lounge kommen. So, so viel dazu. Michael, hallo.
Michael
00:01:29
Hier ist einer. Schönen guten Tag, Grüße, hallo, servus.
René
00:01:35
Moin.
Michael
00:01:35
Moin.
René
00:01:37
Ja, wie wir jetzt die letzten Male schon gestartet sind, würde ich es auch heute wieder halten wollen. Das heißt, wir sprechen wieder über Sicherheitsaspekte, Innovationen, was so jetzt die letzten Tage ein bisschen reingekommen ist. Du siehst aus, als hättest du was anderes vor.
Michael
00:01:51
Ich wollte dich gerade crashen, ja.
René
00:01:53
Viel Erfolg.
Michael
00:01:55
Weil du hast so schön eingeleitet und hast über die sozialen Kanäle gesprochen, was ich auch super cool finde. Also folgt uns, meldet euch immer gern. Wir freuen uns über jede Interaktion. Aber Brandheil ist das Thema. Am 26. Mai, die Folge kommt ein bisschen später raus. Das heißt, zu dem Zeitpunkt, wo die Folge draußen ist, ist es wahrscheinlich schon passiert. Deswegen können wir mal in der Vergangenheit reden. Hast du denn Meta widersprochen, dass deine Daten in deinen Facebook- und Instagram-Profilen benutzt werden dürfen zu KI-Training?
René
00:02:28
Ich habe aber auch nichts als Business-Sachen dort online. Ja, ich weiß, worauf du hinaus willst. Ja, jeder sagt, ich habe nur, ist mir klar. Aber ich finde, da können Sie gerne zu Testzwecken nutzen. Aber ja, ein wichtiges Thema, definitiv.
Michael
00:02:47
Ich wollte es gerade sagen, für alle, die es nicht wollen, man kann auch im Nachgang noch widersprechen. Also wenn ihr es jetzt hört und ihr habt es verschlafen, widersprecht gerne im Nachgang. Allerdings widersprecht ihr dann nur für die Zukunft. Das heißt, die Daten, die jetzt bei euch im Account liegen, für den Fall, dass der Crawler schon drübergegangen ist, sind dann einmal für Trainingszwecke verwendet worden. Aber ja, das ist eine Sache, was man sich einfach überlegen muss. Also man muss mal ganz ehrlich darüber nachdenken, was KI oder was Trainingsmodelle inzwischen sich sowieso über das Internet und über frei verfügbare Sachen einfach greifen. Und das ist halt jetzt ein medienwirksamer Schritt oder ein medienwirksames Ding wieder gewesen, was ziemlich gehypt worden ist. Und ich finde es auch nicht richtig cool, wenn ich ehrlich bin. Ich muss aber dazu sagen, da ich weder Facebook noch Instagram-Accounts habe, ist es mir relativ egal. Ich bin halt auch kein WhatsApp-Nutzer, von daher ist es mir vollkommen egal. Aber ja, jeder, der da Bauchschmerzen mit hat, möge der ganzen Sache widersprechen. Und weil wir gerade bei Bauchgefühlen widersprechen sind, geht natürlich auch bei der elektronischen Patientenakte. Jeder, der bei der elektronischen Patientenakte Bauchschmerzen hat, möge er bitte bei seiner Krankenkasse widersprechen. Und dann ist das Thema auch weg. Sorry für den Crash, aber das triggerte mich gerade extrem an, wie du darüber gesprochen hast. Danke.
René
00:04:06
Ja, ist ja auch genau richtig. Elektronische Patientenakte ist ja sowieso noch mal ein spannendes Thema. Denn an der Stelle muss man ja auch sagen, da sind ja auch schon Daten abgegriffen worden seit Einführung. Also klar, vorher auch schon wurden auch schon Patientendaten gestohlen. Aber jetzt halt nochmal gezielt. Jetzt hat das ja natürlich nochmal eine ganz andere Qualität. Deswegen also gerade da. Das sind wirklich sensible Daten, extrem sensible Daten.
Michael
00:04:33
Und die kriegen es einfach nicht vernünftig hin, das Ding zu programmieren. Also da müsste man Praktikantin, der denen einfach mal erzählt, wie man es richtig macht. Weil das, was die da im Moment betreiben, es tut halt echt weh. Also wenn man dann sieht, was der CCC sieht und wenn man sieht, was so bei Netzpolitik.org und so geschrieben wird zu dem Thema. Wenn ich der Hersteller der Software wäre, ich weiß nicht, was die mir geben müssen, damit ich mich nicht vor Scham in die Ecke drehe oder im Boden versinke. Weil das sind halt einfach primitivste Bugs, die da drin sind. Und das ist halt einfach an einigen Stellen viel zu einfach. Und technisch wäre es viel besser und auch günstig realisierbar. Es macht nur irgendwie keiner, es scheint keinen zu interessieren so wirklich. Da sind andere Interessen da als die Datensicherheit.
René
00:05:24
Und anstatt sich dann mal ein Team von extern zu holen, zum Beispiel einfach hier so ein CCC-Event veranstalten, hier versuch mal und dann schließen wir die Lücke.
Michael
00:05:33
Könnte ja eine Möglichkeit sein, aber... Ja gut, nur wenn halt jemand eine Lücke aufmacht und sagt, du hast ganz am Anfang einen Bock geschossen, hättest du mich mal eher gefragt. Und der Bock zieht sich durch die Struktur durch. Ja, das ist ja, wenn du jemanden zur Bauabnahme holst, und er erzählt dir dann, also die Bodenplatte hätte ich schon mal richtig gegossen, da hätte ich schon mal ein bisschen mehr Zement gerne reingemacht. Und die Wände wären schon schön, sie wären aus Stein und hast du mal eine Statikberechnung gemacht, hast du mal probiert, ob das aussieht. Dann ist es halt zu spät. Und genau an dem Punkt sind wir jetzt, um es bildlich mal rüberzunehmen. Jetzt stehen halt ein paar Baustützen an dem Haus, da wird es nicht ganz einfällt, stehen also ein paar Baustützen dran. Jetzt wird gesagt, es ist alles cool, so wie es ist. Das sollte so sein.
René
00:06:21
Aber bei so einem Vorhaben, wo du wirklich bundesweit alle Daten sammelst, ja, da hättest du die Programmierphasen unterteilen können und sagen können, okay, und jetzt geht da mal ran. Natürlich nicht erst, wenn es fertig ist, dann hast du ein Problem.
Michael
00:06:34
Aber das ist ja das Nächste wieder, wenn der Handwerker lässt sich ja auch gerne nicht so gerne ins Handwerk pfuschen. Aber da ist es ein konzeptionelles Fehlerding. Da können wir glaube ich mal einen eigenen Podcast drüber machen und können da uns mal eine halbe Stunde oder eine Stunde drüber auslassen über die Strukturen. Aber es ist halt einfach, finde ich, ein Unding, was da abgeht. Abgesehen, es geht um unsere Daten, es geht um unsere Steuergelder, die da verschwendet worden sind. Und das ist einfach ein Ding, wo ich sage, da machen wir uns zum Obst, wenn das unsere Nachbarländer sich angucken. Man sieht, wo es alles richtig gut funktioniert. Und dann fangen wir an und überlegen uns irgendwas, was eine Totgeburt ist, bevor es losgeht, soll ich mich das so sagen. Aber das ist halt einfach dann, ja.
René
00:07:18
Steuergelder verbrennen sollte jetzt vielleicht auch kein Argument sein, weil das kennen wir ja zur Genüge. Ja, dafür ist aber jetzt auch kein Platz.
Michael
00:07:27
Genau, ich wollte es gerade sagen. Lass uns mal mit tollen Themen anfangen. Genau, fangen wir an mit weiteren Sicherheitslücken, würde ich sagen.
René
00:07:37
Ja, erster ist Google Chrome. Google Chrome hat eine kritische Lücke und zwar ist es da möglich, eben Login-Tokens zu stehlen. Und das führt halt dazu, dass es dann quasi, man kann halt die Session imitieren und dann eben den Zugriff auf das entsprechende Portal übernehmen. Das wurde aber jetzt auch schon von Google gefixt. Also wirklich bitte Update installieren. Dann Node.js, da gibt es mehrere Sicherheitslücken. Da ist es halt so, dass zum einen ist es so, dass eine fehlerhafte Fehlerbehandlung da stattfindet. Also es kann zum Absturz des Prozesses führen. Würde ich jetzt nicht als Sicherheitslücke nehmen, passt aber mit in die Reihe. Dann ist es so, dass es einen Speicher-Lag gibt. Da kann man eben DDoS-Attacken drauf durchführen und dann steigt das ganze Ding logischerweise auch aus. Dann ist es noch so, dass es ein Problem mit den HTTP-Headern gibt und auch da muss man eben vorsichtig sein. Auch diese Sicherheitslücken wurden geschlossen. Bitte Updates installieren für alle drei. Die werden in dem einen Update in eins geschlossen. Dann haben wir eine weitere Sicherheitslücke in Intel-CPUs. Die wurden von der ETH Zürich entdeckt und das betrifft wirklich alle modernen Intel-CPUs. Also da ist jetzt nicht irgendwie eine bestimmte Serie betroffen, sondern wirklich alle modernen. Da ist es so, dass die Angreifer dadurch sensible Daten aus dem Speicher auslesen können. Wie gerade schon zweimal gesagt, bitte Updaten. Das ist ganz, ganz wichtig. Bevor man immer denkt, nur Software-Updaten, nein. Also auch unbedingt die neueste Firmware immer für Hardware bereitstellen, damit man eben auch da auf der sicheren Seite ist. Nichts ist noch gezielter, als direkt physikalisch an Daten zu gelangen.
Michael
00:09:44
Firmware-Updates für BIOS etc. Bei Windows, geht das über das Windows-Update oder musst du irgendwas Spezielles machen? Windows stellt doch auch da die Updates bereit und er bootet mal kurz anders da hoch. Nur, dass wir kurz die Hörer abholen.
René
00:10:02
In den allermeisten Fällen ist das so. Nicht zu 100 Prozent, aber in den allermeisten Fällen klappt das. Ansonsten, falls man da irgendwie meint, dass einem da ein Update fehlt, vielleicht über den Hersteller. Meist haben die, also den Mainboard-Hersteller, die haben ja meist auch nochmal so ein Update-Tool, ob es Lenovo ist oder sonst was. Da gibt es das Vantage und da kann man halt eben auch nach Updates suchen und da gibt es dann auch das BIOS-Update oder ähnliche. Da werden all diese Dinge mit abgegrast.
Michael
00:10:31
Dell hatte zum Beispiel so eine eigene App auf dem Rechner, wo die Geräte verwaltet sind. Ich glaube, Terra hat das auch gehabt an der Stelle.
René
00:10:40
Es gibt auch Asus. Also eigentlich alle großen Hersteller oder bekannten Hersteller haben das, wo du dann wirklich darüber die Updates fahren kannst.
Michael
00:10:47
Nur, dass klar ist, wie ich auf mein BIOS oder auf mein Hardware-Update komme, wenn ich sonst nur Windows-Updates fahre.
René
00:10:58
Sehr gerne. Dann gibt es eine neue Malware. Da ist es halt so, die nennt sich HTTP-Bot und die zielt hauptsächlich auf Gaming und Tech, also auf die Industrie. Sie zielt nicht auf Personen, sondern eher auf IT-Administratoren, was natürlich nochmal kritisch macht. Da ist es halt so, dass manipulierte SEO-Ergebnisse genutzt werden. Das kennt man ja, wenn man bei Google eine Suche startet. Da werden ja oben die Ergebnisse angezeigt, die ersten x-Viele. Genau diese Anzeigen werden manipuliert und dann wird umgeleitet auf eine infizierte Seite. Das ist schon recht kritisch. Da sollte man also bitte darauf achten. Da haben wir jetzt als Endnutzer nicht so viel Einfluss darauf, daran etwas zu ändern, außer dass wir sehr aufmerksam sind und darauf achten, wo wir landen. Das ist halt wichtig. Das ist eher an die Betreiber der Suchmaschinen und so weiter gerichtet, dass man das danach gebessert wird. Man muss halt selber gut aufpassen, dann hat man das Problem auch. Aber wieder mal etwas Neues. Dann gibt es noch eine Schwachstelle im Azure-Tool, AZ-NFS-Mount. Grundsätzlich ist es halt dafür da, um NFS-Dateifreigaben in Azure zu verwenden. Auch da gibt es eben eine Schwachstelle und die führt dazu, dass es die Möglichkeit gibt, die Gutrechte zu übernehmen, also wirklich die administrativen Rechte. Davon sind alle Versionen bis einschließlich 2.0.10 betroffen. Da bitte auch updaten beziehungsweise darauf achten, dass man eben nicht unter dieser Version ist. Microsoft hat eben eine Update herausgebracht. Dann was Positives. Jetzt mal weg von den schlechten Dingen. Es gibt auch was Gutes. Google hat mit Alpha Evolve etwas Neues vorgestellt und zwar ist das KI-Gestütze. Das sind Agenten, die selber coden können. Die sind hauptsächlich dazu da, um wirklich sehr komplexe mathematische Herausforderungen zu lösen und zielen darauf, das Rechenzentrum effizienter zu machen. Da ist es halt so, dass jetzt die Effizienz so gesteigert werden konnte, durch alle Dinge, die im Rechenzentrum passieren, ob das Hitzeentwicklung ist, ob das die Hardware ist und so weiter. Das wurde halt alles durchkalkuliert und dadurch konnte Google dann eben in den eigenen Rechenzentren die Effizienz um 0,7 Prozent steigern. Hört sich erst mal sehr wenig an, aber 0,7 Prozent in so einem riesen Umfeld macht eine ganze Menge aus, gerade wenn man von Stromverbrauch und so weiter spricht. Das waren von meiner Seite aus die Neuigkeiten in der Zeit vom letzten Mal bis jetzt. Michael, wir haben gerade wieder so viele Sicherheitslücken gehabt. Das war jetzt natürlich nicht so auf Firmennetzwerke bezogen, sondern eher auf die Endgeräte selbst. Aber zum einen, wir müssen immer schauen, dass die Sicherheit noch weiter erhöht wird und zum anderen, wir haben letztes Mal tatsächlich schon über ein kleines Teil davon gesprochen, was jetzt kommen wird. Und zwar hatte ich letztes Mal ja das Thema ZDNA angesprochen, also Zero Trust Network Access. Und jetzt wollen wir das Thema Zero Trust im Allgemeinen mal angehen.
Michael
00:15:05
Lass uns da mal drüber reden.
René
00:15:07
Wunderbar. Also da ist es ja so, wenn wir jetzt mal vom Allgemeinen ausgehen, wir haben immer unsere ganz normalen Sicherheitsmaßnahmen. Firewall, wir haben Antivirus, wir haben XYZ. Es gibt da ja genug Produkte und Dinge, die da nutzen können und helfen können. Das ist natürlich immer schon mal ein guter Grundschutz. Auch teils schon mehr als das. Aber es ist halt so, wenn ich jetzt zum Beispiel VPN. Das ist ein sehr gutes Beispiel. Wenn ich zu Hause sitze und VPN aufmache, ist es in den allermeisten Fällen so, dass ich den Zugang zu einem kompletten System erhalte. Mindestens das. In manchen Fällen ist es sogar das gesamte Netzwerk oder Netzbereich. Und bei ZDNA ist zum Beispiel schon da, also wenn wir diese Zero Trust Methode anwenden, ist es so, dass wir nur einen kleinen Teil davon freigeben. Also das heißt auch nicht das ganze System, sondern wirklich nur gezielt das, was da angewendet werden soll. Alles andere bleibt für mich verborgen. Und so funktioniert es im Kern eigentlich auch. Egal, worauf sich das bezieht im Netzwerk. Wir geben nie komplette Rechte oder geben überhaupt die Möglichkeit, den Rest zu sehen, sondern wir vertrauen im Kern erstmal niemandem. Und zwar gar nicht.
Michael
00:16:37
Das ist so die Sache, was ich gerade sagen wollte. Wenn wir über Zero Trust sprechen, um ganz kurz abzuholen, geht es halt im Grunde darum, dass ich erstmal nicht davon ausgehe, dass mein Gegenüber oder das Tool oder was immer ich einsetze, nach dem Motto, das passt schon und das wird schon gut gehen und das wird schon in Ordnung sein. Und der Kerl wird schon nichts machen. Also diese Sachen, wo man sonst immer sagen würde, yo Mai, das ist halt, wenn ich Zero Trust fahre und das sollte jeder fahren, erstmal stelle ich alles in Frage und vertraue erstmal nichts und überlege erstmal und überprüfe alles und baue mir dann mein Vertrauen über Evidenzen, über Nachweise, über bestätigte Dinge, die wirklich getan werden, baue ich mein Vertrauen auf, um ihm dann entsprechend die Daten zu geben und auch nur ganz dediziert ihm die Daten zu geben, die er auch wirklich nur benötigt. Ja, man könnte ja, gehen wir zum saloppen Beispiel ins Haus, du kannst auch, wenn du dem Hausmeister vertraust, dem Hausmeister die Adminrechten auf seinem Notebook geben und ihm einfach die Hauptrechte auf dem Server geben, damit er neben seinem Hausmeisterlaufwerk, wo Dinge drin stehen, halt er eben noch auf Personal- und Geschäftsleitung obendrauf kann. Und das macht ja in der Praxis schon gar keiner. Also es ist ja schon so, wir haben jetzt hier den Hausmeister genommen, es ist genauso mit Personalabteilung oder mit Entwicklungsabteilung oder was auch immer. Also jedes Unternehmen sollte hoffentlich und macht auch hoffentlich auf seiner Feilstrukturebene auf dem Server schon so, dass er Laufwerke nur für die Leute freigibt, die eben entsprechend das Laufwerk brauchen und nicht einfach nach dem Motto one size fits all einfach jeder alles sehen kann und möge sich jeder bitte nehmen, was er braucht. Und das ist schon ein Teil von Zero Trust, würde ich sagen, dass ich einfach, wie du schon gesagt hast, wirklich ganz dediziert nur den Leuten die Rechte gebe und die Leserechte gebe und die Zugriff geben, die das auch wirklich für die Arbeit brauchen und alles, was es nicht angeht, kriegen sie keine Rechte zu. Weil wenn sie die Rechte nicht haben, kann auch kein Missbrauch passieren.
René
00:18:41
Genau und beim Zero Trust, wenn wir jetzt mal beim VPN-Thema von Beispiel von gerade bleiben, ist es ja so, ich sehe ja nicht mal, dass da andere Systeme da drin sind. Das ist auch ähnlich wie auf Dateiebene, wenn ich die Ordner nicht, also wenn ich die Ordner gar nicht erst anzeigen lasse für den, der sie nicht sehen soll, besteht auch keine Begierde, das auch zu sehen.
Michael
00:19:02
Ja, aber ich meine, im Jahr 2025 noch Begierden zu haben, auf irgendwelche anderen Ordner zu gucken oder sonst irgendwas und kein Verständnis dafür zu haben, wenn man die Ordnerberechtigung nicht hat, das finde ich ist ein bisschen Kindergarten und da muss man vielleicht an die Denkweise mal drangehen. Sagst du so, gibt es aber oft genug. Ja, ja, aber sag ich jetzt, es ist, dem ist halt einfach so und ja, also wie gesagt, da ist, wenn diese Ordner eben, das ist so die erste Sache von Zero Trust. Betrifft aber auch, ich meine, kommen wir nachher noch zu, aber Zero Trust geht halt viel, viel weiter wie nur das. Das betrifft halt auch alle Lieferanten, meinen gesamten IT-Kosmos, also alles, was da ist.
René
00:19:44
Ja, genau und es ist ja so, wir sprechen ja meist immer nur von, ja okay, also mein Endgerät und mein Server im Unternehmen meinetwegen oder mein NAS oder was weiß ich, da wo die Daten liegen. Ne, also wir, da wird halt wirklich alles eingegrenzt, ob es die Cloud ist, ob es, keine Ahnung, im Homeoffice, selbst da muss es ganz klar Richtlinien für geben, also wo es auch keine Möglichkeit gibt, einfach auf was anderes zuzugreifen, weil auch das kann ja ein Thema sein, ich nehme mein Endgerät mit nach Hause, schicke ich mir eben Daten an den Rechner und all das sind ja so Dinge so und das, all das muss irgendwie berücksichtigt werden und dann mit unterbunden werden, damit wir halt wirklich die entsprechende Sicherheit reinkriegen und wenn man einfach guckt, die umso weniger Berechtigung eine Person hat, gerade wo die Angriffe auf so viele Weisen immer weiter zunehmen, ob es jetzt per Social Engineering oder irgendwas ist, umso besser ich das hinkriege, dass derjenige gar keine Zugriffe bekommt, außer die, die er tatsächlich braucht, umso niedriger ist das Risiko nachher Daten, also, ne, Daten zu verlieren oder dass Daten abgezogen werden, die, die nur für den sind, es sind natürlich trotzdem wichtige Daten, aber ich verliere halt nicht in der Breite sofort alles, also es ist dann auch eingeschränkt, der Angriff ist da.
Michael
00:21:16
Genau, aber der Angriff ist dann nur, also wenn der Angriff auf den Account ist, das ist glaube ich das, was du sagen willst, ist, greife ich einen Account an, der nur wenige Rechte hat oder nur die Rechte hat, für die er genutzt ist, dann kann der Angriff eben auch nur auf diese Accounts draufgehen beziehungsweise auf die Rechte oder über, über auf die Laufwerke erfolgen, auf die er berechtigt ist und nicht auf die Laufwerke, wo er nicht berechtigt ist, ja, deswegen sollte man das so einteilen, das heißt, das bedeutet nicht nur die Einschränkungen für den Mitarbeiter und die Sicherheit für den Mitarbeiter, dass er eben sagen kann, habe ich keinen Zugriff drauf, ja, aber es ist halt auch einfach, wird für den Fall, dass ihm sein Account gehackt wird oder das Angreifer Zugriff über sein, über sein Account auf das System, die kommen halt auch nur so weit, wie der Mitarbeiter theoretisch kommen würde und nicht weiter.
René
00:22:02
Richtig und da muss man halt auch sehen, also es ist ja so, jetzt haben wir gerade wirklich viel von Zugriffsrechten gesprochen oder auch, wo ich überhaupt berechtigt bin, auf Systeme zuzugreifen, auch da, wir sprechen ganz, ganz oft über MFA und auch das ist ein Thema, also dass du dich immer wieder verifizieren musst, du es auch wirklich bist mit dem zweiten Faktor und das kann auch ein einzelnes System sein, auf das ich wieder Zugriff haben möchte, brauche, das heißt, mein VPN hat an sich schon mal ein MFA, das haben wir auch schon ein paar mal gesagt, so und dann habe ich ein gewisses System, da habe ich vielleicht Rechte auf etwas, das noch mal sehr, sehr kritisch ist oder vielleicht auch gar nicht so sehr, sehr kritisch, aber ich möchte halt keinen Datenverlust haben oder dass da was abfließt, so auch da kann MFA noch mal stattfinden, also das heißt, dass wir das immer enger schnüren, weil dieser Einmalkode ja einfach, wenn er nicht gerade auf dem Endgerät selbst generiert wird, ist er ja nicht bekannt, also bekomme ich auch keinen Zugriff darauf. Das sind ja schon so Dinge und dann ist es halt so, man geht auch davon aus, also es gibt halt diese drei Grundprinzipien dabei und wir hatten zwei davon schon angesprochen, also einmal wirklich jetzt die Zugriffe, die wir haben, was eben ja überhaupt über das rechte Modell läuft, dann haben wir einmal wirklich, dass wir die, ja, Multifaktor und Authentifizierung haben und der dritte Punkt ist halt, man geht bei diesem System sogar davon aus, dass der Angreifer schon im Netz ist, so sollte man da herangehen und dann schaut man, dass man das so engmaschig alles zieht, dass er eigentlich sich nur in diesem ganz, ganz, ganz kleinen Bereich aufhalten kann, wo er halt gerade ist, aber eben auch nicht weiterkommt, das hattest du ja gerade schon mal gesagt. So, und das sind so die drei Richtungen, die man da einschlägt, um da die Sicherheit noch mal zu einem normalen Security-Konzept noch mal weiter straff zu ziehen.
Michael
00:24:10
Aber ich sehe in diesem Straffziehen, du hast eben den Punkt noch mal kurz ansprechen, weil ich finde den wichtig, du hast eben schon mal gesagt, was du nicht siehst, weckt keine Begehrlichkeiten und ich habe so gesagt, naja gut, Begehrlichkeiten hin oder her, was ich aber aus meiner Sicht immer sehe und ich sehe es aus meiner Beratersicht und ich habe es auch als Mitarbeiter schon immer gesehen, ist, was ich nicht weiß und welche Informationen ich nicht habe und wo ich keinen Zugriff drauf habe, kann ich auch nichts kaputt machen, kann ich auch nicht für verantwortlich gemacht werden. Das heißt, ich sage mal, so blöd wie es klingt, wenn ich es vergleiche, habe ich keinen Schlüssel für den Serverraum, kann ich nicht in den Serverraum, kann mich keine anlatzen, wenn im Serverraum auf einmal fünf Kabel rausgezogen worden sind oder habe ich keinen Zugriff auf den Geschäftsleitungsordner, dann kann mir keiner irgendwas erzählen, wenn wieder irgendwelche Excel-Tabellen oder irgendwelche Files weg sind oder irgendwelche Zahlen in Tabellen nicht mehr stimmen oder irgendwelche Gehaltslisten durch WhatsApp-Gruppen fliegen oder sonst irgendwas, sondern das ist halt auch, ich sehe es für mich als Schutz, dass ich sage, ich habe das, was ich brauche, um meinen Job zu machen und lasst mir von allen anderen Sachen, lasst mich in Ruhe, ich will das überhaupt, ich will da gar nicht dran können, ich brauche es nicht für meinen Job und wenn da irgendwann mal was passiert mit und irgendwann mal aus den Binsen geht und sonst irgendein Vorfall passiert, nehmt mich raus, weil ich habe auf diese Daten keinen Zugriff, ist nicht meine Party und das habe ich früher im beruflichen Kontext gehabt und ich habe es jetzt auch in der Selbstständigkeit dran, jetzt auch schon, ich bin jetzt auch den Ansatz, ich nehme nur das mit, was ich wirklich brauche, ich lasse mir nur die Unterlagen schicken, die ich wirklich brauche, sonst lasse ich es mir anzeigen. Ich habe schon so oft gesagt, ich war neulich beim Kunden und wir haben eine Begehung gemacht und er sagt, hier sind Fotos und Kram erlaubt, sage ich, ich will die Bilder gar nicht machen, dann habe ich die Bilder auf meinem Handy und dann muss ich wieder zusehen, wie ich mit der Datensicherheit, dass ich sie lösche, dass ich den ganzen Kram mache, wir machen folgendes, ich sage ihnen, wo sie meine Fotos, welche Fotos ich gerne hätte, sie machen mir die Bilder und stellen sie mir auf ihrem Portal zur Verfügung und dann lade ich mir runter, was ich brauche. Also auch das kann Zero Trust sein und auch das kann Mitarbeitern unterstützen, dass einfach, dass das so ist, dass habe ich keinen Zugriff, kann ich auch nichts falsch machen an dieser Stelle.
René
00:26:28
Absolut und es ist ja auch, also wenn wir jetzt mal das nehmen, was du gerade gesagt hast, dieses Stell du mir bereit, was ich haben darf oder was ich brauche, aber du stellst es bereit, weil dann muss derjenige seine eigenen Regeln befolgen und du hast deine auch immer noch. Also das ist auf jeden Fall auch eine gute Herangehensweise und das ist ja auch so ein bisschen etwas, wenn man jetzt noch eine Compliance dazu hat, wenn man da von Lieferkette und so weiter spricht, ist es ja auch so etwas. Der Datenaustausch zwischen beiden Unternehmen und beide bewahren ein bisschen ihre Regeln und so weiter, das ist ja schon etwas, das nicht unwichtig ist.
Michael
00:27:08
Ja, wobei ich es immer lustig finde, wenn wir über Zero Trust und sprechen 27.001 oder TSACs zertifizierte Unternehmen und plötzlich fliegen die Daten als E-Mail-Anhang nur so hin und her. Dann kriegst du irgendwelche Unterlagen zugeschickt, da steht unten vertraulich drauf, einfach mal eben per Mail quatsch rüber. Wir haben tausend Clouds, tausend Möglichkeiten, das besser zu machen mit einer sicheren Cloud und Passwort oder was auch immer. Ist alles besser als das? Also das sind auch so Dinge, wo du einfach so Sicherheitsbewusstsein merkst in so Unternehmen, wo ich so, wenn ich als Berater drin bin, wenn ich ein Audit vorbereite, ein neues Unternehmen, ich bereite ein Audit vor und dann auf einmal schon mal alles rüberkommt proaktiv, ohne dass ich großartig nachgefragt habe. Dann weiß ich schon, in welche Richtung das geht. Aber kein Zero Trust Thema an der Stelle.
René
00:28:02
Aber witzig, das mit dem Disclaimer finde ich auch immer amüsant. Unten drunter steht, wie vertraulich die ganzen Daten sind, aber er behandelt oder sie behandelt es nicht so. Finde ich schon amüsant, da kann man sich den Disclaimer auch barren.
Michael
00:28:15
Ja, wobei man sich den Disclaimer, da machen wir mal einen Podcast drüber, ohne Scheiß. Wir machen mal einen Technik-Podcast, der ein bisschen in die Nerd-Kiste geht mit Recht. Wir machen mal einen Podcast über diesen Disclaimer da unten, weil ich den so oft sehe und er mich jedes Mal aufregt. Das würde mich mal interessieren, was du da für eine rechtliche Sinnhaftigkeit hinter dem Ding siehst. Und lass uns mal über das Ding reden. Das können wir zusammenziehen. Nimm nichts vorweg.
René
00:28:41
Können wir gerne machen.
Michael
00:28:44
Das können wir zusammenziehen mit einem Podcast, den machen wir mal E-Mail. Ohne Scheiß, machen wir mal. Dann machen wir den Disclaimer, dann machen wir die Signatur unten und diskutieren mal drüber, was gehört in eine E-Mail-Signatur und ab wann ist eine E-Mail-Signatur Werbung und fällt unter das UWG. Genau. Machen wir mal einen Podcast drüber.
René
00:29:12
Ich musste gerade nur kurz an meine Signatur denken.
Michael
00:29:16
Ja, genau. Und dann gucken wir uns mal zwei, drei Signaturen an, beziehungsweise wir sprechen mal über zwei, drei Signaturen, Podcast ohne Video, gucken uns mal so zwei, drei Signaturen an und reden mal über E-Mails. Und dann diskutieren wir und dann legen wir mal das Thema mal wirklich rechtlich auseinander. Wenn du Bock hast, können wir das gerne mal tun.
René
00:29:34
Ja, klar. Planen wir für die nächsten Male mal ein. Machen wir genau so. Genau, so, ja. Wir haben ja jetzt, um zurück zum Thema zu kommen. So, wir haben jetzt mehrfach, also ZDNA, ich würde das Thema gerne einmal anschneiden wollen, noch mal ein bisschen spezieller, weil es ist kein uninteressantes Thema. Die Sache ist nämlich die, dass wir, VPN kennen wir alle, VPN ist halt eben, ja, du bekommst halt einen Netzwerkzugriff, ob es auf ein System ist oder auf einen Netzbereich. So, bei ZDNA, wie ich gerade schon mal gesagt habe, ist es eben nicht so, sondern es ist so, dass wir nur einen Zugriff auf eine spezifische, vorher definierte Anwendung bekommen und auf mehr nicht. Es sei denn, ich habe natürlich mehrere Zugriffe, keine Frage. Aber das kann da sehr, sehr granular aufgebaut werden. Und es ist halt so, dass es nicht so ist, dass wir eine Direktverbindung dorthin haben, sondern dass wir dazwischen noch einen vertrauenswürdigen Broker haben. Also, eine Schnittstelle eigentlich, die dann, ja, die Vertrauenswürdigkeit noch mal wieder herstellt und kontrolliert und dafür sorgt, dass es auch so ist, damit sich da keiner irgendwie mit einzecken kann in so eine Session. So, das heißt, der Vorteil ist auf jeden Fall, dass wir keinen Tunnel einfach ins gesamte Netzwerk haben. Dann ist der Zugriff wirklich nur auf den Kontext, ja, sehr, sehr komprimiert. Wie gesagt, weil du ja nur von bestimmten Geräten auf diese Anwendung zugreifen kannst und du kannst sogar Regionen, also von wo aus man darauf zugreifen kann. Auch das ist es ja. Es ist ja nicht, dass wir sagen, okay, das ist das Endgerät, sondern mein Endgerät kommt in Bangkok weg, meinetwegen. Dann kann er nicht auf meine Daten zugreifen, selbst wenn er wollte. Weil selbst die regionalen Einschränkungen schon dafür sorgen, dass ich das eben nur in, keine Ahnung wo, Berlin oder wo auch immer machen kann, dann ist das Thema auch durch. Also da kann man sehr, sehr viel machen. Was auch ein Vorteil ist, dass es natürlich viel transparenter ist, weil ich sehe ja ganz klar, okay, der Zugriff erfolgt nur auf das System. Es kann ja nirgendwo anders hin. Und ich habe eine viel größere Kontrolle darüber. Das heißt für die IT, natürlich im ersten Schritt ist es mehr Aufwand in der Einrichtung, okay, aber ich habe nachher viel weniger Nacharbeit damit, weil es ist ja eingerichtet und es ist halt wirklich nur gezielt darauf. Das bringt auch schon was.
Michael
00:32:14
Ich lerne mich mal auf. Wie und wo richtet man das üblicherweise ein? Als jemand, wenn du es jetzt jemandem verkaufen müsstest, der aktuell mit VPN arbeitet, quick und dirty. Wo würde ich das kriegen beziehungsweise wie richte ich das ein? Und außer den Hinweis, bei Fragen melde dich gerne direkt bei mir.
René
00:32:38
Ja, so ganz einfach ist das nicht, weil das ist ja kein Produkt, was du jetzt einfach kaufst. Also Zero Trust ist ja nichts, wo wir jetzt irgendwas aus dem Regal ziehen und sagen, okay, das ist es jetzt.
Michael
00:32:51
Das ist klar, dass du Zero Trust nicht aus dem Regal ziehen kannst. Aber ZTNA-Anbieter muss es ja auch dann geben oder hänge ich komplett auf dem Holzweg.
René
00:33:00
Ja, das ist aber wieder von deinen Sicherheitssystemen, die du einsetzt, davon ist es abhängig. Also da gibt es zum Beispiel Cisco und so. Das sind so schon die Bekannten, die das machen. Microsoft macht es mittlerweile auch über Entra zum Beispiel, wenn du sehr in der Cloud unterwegs bist. Das heißt, du kannst es über die einrichten. Das ist halt die Frage, welches Sicherheitssystem man dahinter setzt, also was man da einsetzt. Und dann kann man darüber eben genau die Strategie einführen und eben genau da sich die Sicherheiten noch weiter reinholen. Ja, aber wie gesagt, das ist jetzt nichts, wo ich sagen würde, okay, du kannst jetzt, ja, machst du jetzt in deinem VPN-Profil, klickst du da zweimal und dann hast du nur das. Nein, das ist halt leider von System zu System unterschiedlich. Deswegen ist es schwierig, jetzt mal eben so aus dem Stillgreif zu beantworten. Wie gesagt, es kommt immer darauf an, was man einsetzt daraus. Aber es ist auf jeden Fall möglich. Microsoft und Cisco sind sicherlich auch nicht die einzigen, die das anbieten. Da gibt es ganz, ganz viele. Man muss halt immer gucken, also wenn man das für sich entdeckt und ich würde jedem dazu raten, das zumindest in Betracht zu ziehen, weil ich glaube, aufgrund der ganzen Angriffe, die immer mehr stattfinden, sollte man da auf jeden Fall sich mehr in diese Richtung bewegen. Und ja, da sollte man das halt auf jeden Fall berücksichtigen, wenn man sich für irgendeinen Anbieter entscheidet.
Michael
00:34:31
Würde ketzerisch bedeuten, wenn ich jetzt noch VPN ohne zwei Faktor mache, überspringe ich direkt beim VPN den zweiten Faktor einzurichten, sondern ich gehe gleich auf was Richtiges?
René
00:34:43
Ja, vielleicht sollte man beides machen. Also es würde ich schon empfehlen, beides zu nutzen. Dann würde ich ja sogar den einzelnen Zugriff auf die Anwendung unterbinden, weil ich den zweiten Faktor nicht habe. Also es gibt da wirklich zwei Dinge, die man da berücksichtigen sollte. Ich würde beides empfehlen. Eingesetzt kann ZDNR eigentlich wirklich hauptsächlich für Remote Arbeit. Wenn ich im Unternehmen sitze, ist es meist gar nicht so wichtig. Klar, wenn ich in der Cloud arbeite, auf jeden Fall wieder. Aber wenn ich im Unternehmen sitze, dann sind es wieder eher meine Zugriffsrechte, die da entscheidend sind und nicht das ZDNR. Das heißt, eigentlich gehen wir wirklich davon aus, wenn jemand von unterwegs arbeitet, hybrid arbeitet oder am besten sogar noch die Bring-Your-Own-Device-Geräte. Wenn ich jetzt mein Notebook, mein privates Notebook dafür nutze. Also ich meine, wir beide haben eine klare Meinung dazu. Haben wir ja schon mal darüber gesprochen. Aber damit kann man was dagegen tun. Zumindest ein Teil.
Michael
00:35:48
Ich wollte gerade sagen, wer unserem Podcast folgt und unseren Rat annimmt, wird hoffentlich kein Bring-Your-Own-Device mehr im Unternehmen haben.
René
00:35:57
Aber selbst wenn es so sein sollte, kann das auf jeden Fall die Sicherheit da nochmal erhöhen. Also Umsetzung hatten wir gerade auch darüber gesprochen. Also da gibt es wirklich sehr, sehr viele unterschiedliche Anbieter. Microsoft hat mir gerade gesagt, Cisco. Da gibt es Okta. Hallo Alto. Da gibt es ganz, ganz viele Security-Anbieter, die das eben im Portfolio haben. Dann ist es eigentlich mehr auf der eigenen Seite, dass man dieses Schema dann auch durchsetzen muss. Welche Einsatzbereiche siehst du für Zero Trust? Und ich meine eigentlich nicht unbedingt jetzt so, dass man jetzt sagt, ja okay für Unternehmen. Ja, das ist klar. Aber jetzt mal so auf das Netzwerk gesehen oder so generell. Wir haben ja Daten hier und da liegen. Was schätzt du, gerade aus Datenschutz-Sicht auch, wo macht es Sinn?
Michael
00:36:57
Für mich wäre ganz klar Zugriffsmanagement, Endpoint-Schutz und was auch für mich wäre, wäre noch Netzwerksicherheit. Das wären so die Punkte, wo ich das einsetzen würde, wo ich sage, damit kommen wir einen Schritt nach vorne und damit können wir die Wälder ein Stückchen besser machen an der Stelle, weil ich dadurch einfach echt den Schutz erhöhe.
René
00:37:19
Ja, gebe ich dir recht bei den Punkten, die du genannt hast? Endpunkt-Schutz oder Endpoint? Habe ich ja schon mal gesagt, da tue ich mich immer ein bisschen schwer mit, weil der User kann immer noch, hat immer so ein bisschen Einfluss drauf, ob es jetzt wirklich gut ist oder nicht. Wenn ich mir da was ins Haus hole, habe ich natürlich ein Riesenproblem. Das heißt, abgesehen vom Zero Trust für den Endpunkt brauche ich eigentlich noch mehr Systeme, ob es dann nachher der Virenschutz ist, eine Festplattenverschlüsselung, also BitLocker, ob ich ein IDA habe oder irgendwas, was eben dann noch alles mögliche auf meinem Endgerät scannt. An sich ist der Schutz des Geräts eher, also es ist mehr der Schutz gegeben, weil dieses eine Endgerät auf meine Daten nicht so einen massiven Aus...
Michael
00:38:08
So einen Impact hat. Ja, genau.
René
00:38:11
Richtig. Also da, das stimmt. Ansonsten, ja, Endpunkt finde ich immer schwierig. Wie gesagt, das hat der Benutzer sehr viel in der Hand. Aber die anderen Sachen, das sehe ich auf jeden Fall auch so. Also gerade Identitätsmanagement finde ich ein Riesenthema mit MFA. Genau.
Michael
00:38:29
Lass mal einen Schritt zurückgehen. Du hast gerade gesagt, bei den Endpunkten hat der User das sehr stark in der Hand und hast auch gerade von Endpoint Security gesprochen. Ist für mich auch ein Teil der Zero Trust-Philosophie in der Politik in einem Unternehmen, weil lasse ich dem Mitarbeiter die Local Admin-Recht, wir hatten es ja am Anfang schon mal als Spaß, mache ich ihm auch Türen auf, die er wahrscheinlich gar nicht haben will oder wo er Dinge tun kann, die er am Ende bereut oder die er nicht absehen kann, weil er sich doch wieder irgendwas runtergeladen hat und irgendein Kram hat. Also Zero Trust bedeutet, oder wenn ich eine Zero Trust-Philosophie in einem Unternehmen fahre, bedeutet das auch, dass ich zum Beispiel regle, welche Software, welche Apps erlaube ich auf Geräten. Was lasse ich zu, was lasse ich nicht zu. Erlaube ich meinem Mitarbeiter, vertraue ich meinem Mitarbeiter so sehr, dass ich ihm die Möglichkeit gebe, mit dem Notebook zu tun und zu lassen, was er will. Also freie Software-Installation, freies Löschen von Apps etc. pp. Oder meine Philosophie und das, was ich auch eben gesagt habe, ich nehme dem Mitarbeiter die Verantwortung ab für das ganze Ding, weil es ist eh ein Firmenrecht, eh nur für dienstliche Erbringung da und reguliere das und sage einfach, nein, du darfst nichts installieren, du kriegst von mir vorgegebene Apps, dann ist gut. Und dann kommt mein Ansatz wieder, dann kann ich auch keinen Bock schießen aus Versehen. Wenn ich die Rechte nicht dazu habe, Software zu installieren, dann kann mir auch aus Versehen nicht irgendein Hopperla mit irgendeiner anderen Software oder mit sonst irgendwas passieren. Für mich ist das ein Schutz von beider Seiten, Arbeitgeber, Arbeitnehmer. Ja, hast du absolut mit Recht.
René
00:40:01
Es gibt trotzdem Möglichkeiten, bei eingeschränkten Rechten auf dem Rechner lokal Probleme zu bekommen. Aber du hast absolut recht. Umso mehr ich das einschränke, auch auf der Seite, umso mehr stärkt das natürlich meine Sicherheit. Absolut richtig. Ja, es ist auch ein Teil von Zero Trust. Das hatte ich gerade so nicht im Hinterkopf. Da hast du absolut recht. Wenn man das als Einzelnes nochmal so betrachtet, ja, dann ist das auf jeden Fall der Fall. MFA hatten wir gerade darüber gesprochen oder hatten wir ja angeschnitten, mehrfach besprochen. Dann gibt es nochmal Conditional Access. Das ist das, was ich gerade sagte. Das ist eben genau das. Das wäre jetzt Zugriffsmanagement, wo du sagen kannst, okay, du darfst jetzt nur, je nach Standort, du darfst nur Status von deinem Rechner, also sprich, ist er compliant oder nicht, up-to-date, sicher, die Sicherheitssysteme zeigen an, ist alles gut. Das sind so Dinge, die berücksichtigt werden können. Du kannst sagen, zu welcher Tageszeit. Du kannst auch sagen, ob ein gewisses Risiko besteht, weil eine Netzwerkverbindung irgendwohin offen ist. Das sind alles Dinge, die kann man damit auch unterbinden und das hilft definitiv in der Sicherheit. Netzwerksicherheit, ich glaube, da haben wir jetzt immer wieder kurz angeschnitten. Mikrosegmentierung ist da so das Stichwort. Hatten wir gerade ausgiebig erklärt. Dann haben wir auf jeden Fall NAC. Bevor die Zugang erhalten, müssen die noch einmal verifiziert werden. Dann haben wir Anwendungssicherheit ZDNA statt VPN. Aber wenn VPN, dann bitte zumindest mit MFA. Du hast es nochmal auf Endpoint-Seite gesagt. Das ist aber auch bei Remote-Arbeit so. Zugriff nur auf bestimmte Anwendungen, nicht eben auf ganze Netzsegmente. Und dann haben wir nochmal Cloud, Multicloud. Auch das ist Richtlinien ganz wichtig, sobald das genutzt wird. Und technisch unterbinden natürlich. Auch da gibt es ja die Möglichkeit über Benutzerrechte und so weiter, die Dinge einzuschränken. Und auch da ist es wichtig, ein Monitoring zu nutzen. Also auch in der Cloud. Ganz oft verbindet man Monitoring und so weiter eben nur damit oder mit Management-System, nur mit Servern, die ich irgendwo stehen habe, bei mir im Haus oder die Rechner. Nein, das geht auch mit einer Cloud. Am Ende des Tages ist es ein Netzbereich, der da steht, irgendwo. Und da müssen wir ja halt auch prüfen, wie sehen die Zugriffe aus? Gibt es Sicherheitsrisiken? Das kann man alles damit auch monitoren.
Michael
00:43:00
Ich gehe einen Schritt weiter. Für mich ist es nicht nur Cloud. Ich hole das Thema kurz mal hervor. Das ist nicht nur Cloud. Das sind auch alle Software-as-a-Service-Dienstleister. Herr IT-Nerd, nur um das nochmal klar zu machen. Also Cloud ist halt auch alles, was Software-as-a-Service ist. Und da ist es super wichtig, da ist es mega wichtig, eben dem Cloud-Anbieter, dem Software-as-a-Service-Anbieter, ab sofort sagen wir nur noch Cloud-Anbieter, wir meinen es gleich, aber dann haben wir es leichter, dem Cloud-Anbieter eben einfach so zu vertrauen und zu sagen, gib ihr, nehmt mal meine Daten, das passt schon. Sondern auch da ist Zero Trust, vertraut ihm erstmal nicht, macht dir Gedanken über die Auswahl des Anbieters, wähle weise, guck dir AGBs an, guck dir Service Level Agreements an, guck dir Hashtag DSGVO, guck dir diesen weltberühmten AV-Vertrag an, guck was da für Regelungen drin sind. Wie geht der wirklich mit deinen Daten um, was macht der? Schafft er es auf Basis der Dokumente, die du da hast, die er dir zur Verfügung stellt, ein Vertrauen aufzubauen, dass du ihm die Daten gibst oder lässt du es? Und da merke ich beim Datenschutz immer wieder, da werden irgendwelche Cloud-Dienste gebucht, da wird einfach der AV-Vertrag so nebenher mal schnell abgelegt, ungeprüft oder, oh ja, stimmt, AV müssen wir auch noch machen, richtig, ich schiebe ihn denen auch eben noch durch, aber den Anbieter haben wir jetzt eh schon seit einem Jahr. Also das sind immer wieder so Dinge, das prüft man bitte bevor die Daten fließen und dann guckt man sich an, ob der, was der da macht, ob das alles in Ordnung ist. Und in der Regel hat er in seinem AV-Vertrag auch Unterauftragnehmer, sprich Rechenzentrum oder sonstige Dienstleister nochmal eine Übersicht drin und da kann man davon ausgehen, wenn er die da drin hat, kann es passieren, dass die Daten da auch in irgendeiner Art und Weise in Verbindung stehen, will man das, was da drin steht. Und ganz, ganz wichtiges Thema, was ich bei der Cloud immer wieder feststelle, macht euch, wenn ihr in die Cloud geht, über zwei Sachen Gedanken. Wie kommt ihr theoretisch aus der Cloud wieder raus? Zero Trust für den Fall, wir wollen einen Anbieter wechseln, der Anbieter geht insolvent, wir finden was Tolleres etc. Wie komme ich wieder raus? Und der zweite Trust-Ansatz ist, wer ist denn eigentlich für die Datenhaltung verantwortlich? Also stellt ihr nur ganz pauschal, formlos, mal eben schnell, ich gebe dir eine Plattform, mal was mit deinen Daten passiert und ob du die löscht und über die Verfügbarkeit, keine Ahnung. Oder sagt der, ich übernehme Backup, Archivierung und das Ganze auch verbindlich für dich. Also zu dem Thema bitte, guckt euch die Cloud-Anbieter in Ruhe an und nur weil irgendwie was Großes da steht oder nur weil ihr der Meinung seid, das ist jetzt auf einmal eine europäische Cloud, weil Amerika nicht mehr schön ist, guckt euch bitte die Anbieter an und wählt nicht blind irgendwelche Systeme aus. Und auch da Policies, auch da Policies. Ich habe das auch schon so oft gemerkt und Passwort-Level-Zugriffsberechtigung. Wie einfach hast du manchmal, dass du bei irgendwelchen Cloud-Anbietern, dass die keine Passwortlänge vorgeben, dass die einfach sagen, nach 4 ist erstmal Schluss, vollkommen egal und die Mitarbeiter, wenn du es als Admin jetzt sauber konfigurierst, die Mitarbeiter sich mit 1, 2, 3, 4 anmelden. Oder dass du da rechte Rollen nicht richtig machen kannst in solchen Software-Systemen. Wer ist User, wer ist Key-User, wer kann auf welche Systeme drauf, wer darf was sehen. Das sind alles Themen, das setzt man sich im Vorfeld mit auseinander, um zu wissen, ob das passt. Und das ist primär das, was wichtig ist und nicht, ob es 3,99 oder 4,99 im Monat kostet. Zumindest aus unternehmerischer und IT-Security-Sicht.
René
00:46:59
Ja, absolut. Wenn man sich darüber Gedanken macht, bitte einfach bei Michael melden. Das ist doch am einfachsten. Unabhängig davon, ob es jetzt Michael ist, aber beim Datenschützer auf jeden Fall. Ich meine, jetzt abgesehen von der Funktionalität, können Sie ja das, was in dem AV steht, was dahinter steckt und so, können Sie einfach sehr, sehr gut beantworten. Ich weiß, Michael macht es am besten von allen, also meldet euch bei Michael. Wie ich gerade schon gesagt habe, Zero Trust ist einfach kein Produkt. Das ist wirklich eine Herangehensweise, eine Philosophie, die man im Unternehmen umsetzen muss, um eben das zu erreichen. Und es ist auch nicht so, dass wir jetzt sagen, alles oder nichts, also dass wir jetzt sehr, sehr einschränken müssen. Wir können einschränken, müssen es aber nicht. Das heißt, man hat auch die Möglichkeit, halt wenn wir jetzt sagen, da ist ein System und ich brauche drei Anwendungen davon, kann ich auch drei Anwendungen freigeben. Das ist halt nur so granular, dass ich sage, okay, das ist bis auf eine einzelne Anwendung runterbrechen kann. Ich muss es aber nicht. Das ist halt auch wichtig, damit man flexibel bleibt.
Michael
00:48:20
Und handlungsfähig. Also es gibt ja auch, das sind immer wieder diese Konflikte zwischen den Abteilungen, die arbeiten wollen und dem Informationssecurity Officer oder der, der die Informationssicherheit macht oder dem IT-Admin. Das Unternehmen muss natürlich handlungsfähig bleiben. Also wenn ein Mitarbeiter begründet Zugriff auf ein System oder auf einen Datensatz, begründeten Zugriff braucht, dann sollte man ihm dem auch geben oder man soll Wege finden. Und wenn das halt nur eine Datei ist, die jetzt auf dem GF-Ordner landet und er soll den ganzen GF-Ordner nicht sehen, dann sucht man sich halt einen anderen Ablageort für das Ding, um es mal plump auszudrücken. Aber Mitarbeiter sollten schon Zugriff auf die Daten haben, die sie zum Arbeiten brauchen. Das ist eine wichtige Kiste.
René
00:49:05
Ja, welche Hürden kann es bei der Einführung von Zero Trust geben? Also ich finde mal, voraus, muss man immer sagen, der größte Widerstand, würde ich jetzt mal behaupten, oder die größten zwei, sind auf jeden Fall einmal Mitarbeiter. Also die User, die davor sitzen, das Ganze muss noch usable bleiben. Wenn ich mich jetzt wirklich bei jedem zweiten Klick da irgendwie mehrfach authentifizieren muss und so, das ist dann nicht mehr ganz praktikabel. Da muss man sich halt wirklich Gedanken darum machen, wie man das möglichst elegant löst.
Michael
00:49:39
Aber auch da gibt es Lösungen. Also auch das muss ja nicht bedeuten, dass er alle fünf Minuten ein 30-zeiliges Passwort eingibt, was er sich in keinen Cash laden darf oder sowas. Entweder habe ich RFID, habe ich Karten über einen RFID-Laser, wo ich kurz drauf drücke. Ich habe Fingerabdrucksensoren, wo ich kurz mich bestätige, dass ich es bin. Also es gibt ja tausend und eins Möglichkeiten, das auch eben von der Usability so zu haben, dass es von den Mitarbeitern angenommen wird. Es gibt Single Sign-On und es gibt tausend Möglichkeiten, die besser sind, wie alle fünf Minuten ein 25-zeiliges Passwort abzufragen.
René
00:50:17
Ja, genau. Das ist ja das, was ich meine. Also es muss usable bleiben. Sehr, sehr einfach für jeden und jede natürlich. Also das ist die allergrößte Hürde. Wenn nachher die Mitarbeiter irgendwie da stehen und sagen, kannst halt nicht benutzen den Rotz. Ja, dann kannst du den Kram wieder abbauen. Also da muss man sich vorher schon Gedanken machen, dass man es elegant löst. So, die zweite größte oder große Hürde ist sicherlich die Komplexität in einem Netzwerk, was über Jahre einfach immer weiter gewachsen ist. Natürlich. Also das hatte ich ja vorhin schon gesagt. Eingangs wird man damit mehr Arbeit haben und auch gut Zeit investieren müssen. Da brauchen wir gar nicht runterspielen, dass es irgendwie schnell geht. Nein, schnell bringt keine gute Lösung mit sich. Also da muss man wirklich die Zeit investieren, das einmal vernünftig machen. Aber im Nachhinein wird es einfacher werden. Nehmen wir alleine schon das Beispiel Offboarding. Ich weiß ganz genau, wo wer Zugriff darauf hat. Ich kann das ganz genau nachvollziehen. Im besten Fall habe ich auch wirklich gut dokumentiert. Dann habe ich das alles. Also ich kann es dann in viele Richtungen wieder nutzen. Deswegen, also auch das ist für mich ein ganz, ganz wichtiger Faktor. Kann eine Hürde sein. Diese muss man dann aber leider mit Fleiß dann auch bewältigen. Das ist einfach so. Genau. Ja, was es noch gibt. Also veraltete Systeme sind sicherlich auch noch mal ein bisschen was. Aber da kann man halt recht schnell was gegen tun. Vereinzelte Systeme. Also das heißt, wenn ich zum Beispiel Anwendungen habe, die eben nicht mit Schnittstellen ausgestattet sind, also veraltete sind das in der Regel, die eben keine APIs irgendwie bereitstellen oder sonst irgendwas. Also wo gar keine Schnittstellenmöglichkeiten sind, die sind auch schwierig dann an Zero Trust vernünftig anzubinden. Da muss man halt immer gucken, wie man das löst, ob die Software es wirklich sein muss oder ob es nicht irgendwie Alternativen oder eben doch einen Weg mit dieser Software gibt. Was sicherlich auch ein Thema ist, Mangel an Ressourcen oder eben Know-how. Wenn ich keine Zeit habe, brauche ich das Thema ehrlich gesagt nicht wirklich angehen. Besser auslagern.
Michael
00:52:24
Somit ist der Podcast beendet. Vielen Dank fürs Zuhören.
René
00:52:31
Nein, nein, nein, nein. Wir haben uns die Zeit genommen. Das tun jetzt alle anderen gefälligst auch.
Michael
00:52:38
Ich überlege gerade, ob es einen, ich stelle jetzt mal die These auf, dass die Hörerschaft, die wir haben, doch alle ziemlich im IT und Security und Datenschutzumfeld unterwegs sind. Es würde mich mal interessieren, mal Finger heben, mal gerne melden, wer Zeit und Kapazitäten, Freiheit und Moment nicht auf 110 Prozent fährt. Weil das ist echt so eine Kiste. Aber da kommt jetzt wieder der dumme Spruch, Zeit hat man, Zeit nimmt man sich. Und wenn ich in sowas investiere und habe das Tal der Tränen durch, es wird ja dann besser und leichter am Ende. Also ich merke ja einen positiven Effekt, wenn ich damit durch bin. Das ist ein Projekt, was Zeit frisst und Zeit kostet und Ressourcen bindet. Aber wenn ich damit fertig bin, gewinne ich freie Ressourcen wieder. Das hole ich im Endeffekt wieder rein.
René
00:53:22
Ja, und ich meine, das hatte ich gerade kurz gesagt, wenn ich selber diese Ressourcen nicht habe, aber das Thema gerade für mich als sehr, sehr wichtig und priorisiert hochhänge, holt euch Externe dazu.
Michael
00:53:34
Ja, ich wollte gerade sagen, lasst euch unterstützen. Raus damit dafür.
René
00:53:39
Oder die Externen übernehmen die Standardaufgaben und man übernimmt dann dieses Projekt, wie auch immer. Also da gibt es Möglichkeiten. Daran sollte es nicht scheitern, wenn man das jetzt wirklich für sich ins Auge gefasst hat.
Michael
00:53:52
Das ist auch ein ganz cooles Projekt, was man einfach sauber projektieren kann. Einführung, Umsetzung, Support, Umstellung, wo man sich einfach ein Stundenkontingent oder ein Budget holen kann vom Budget her und kann sagen, dafür brauche ich jetzt mal. Hört sich auch schön an, Zero Trust. Und da kann man als Admin und als ITler oder als Informationssicherheitsbeauftragter in einem Unternehmen mit Sicherheit was drehen, dass man dann externen Support kriegt und dann mal einen Push reinkriegt von Anfang. Das ist die Empfehlung. Das ist die Empfehlung. Also meine Empfehlung wäre hier auch, wer sich da reinfuchsen will und fängt bei Null an und hebt sich in das ganze System rein. Der wird sicherlich wesentlich länger brauchen, als wenn er sich einen erfahrenen Mann an die Hand nimmt und sich ein Unternehmen sucht, was ihm da mal einen kurzen Push und einen Startpilot gibt, wo man dann nachher eigenverantwortlich weiter machen kann.
René
00:54:40
Wie in so vielen Bereichen.
Michael
00:54:41
Wie in so vielen Bereichen.
René
00:54:43
Dafür gibt es uns ja. Ja, genau. Letzte Hürde ist sicherlich unzureichendes Monitoring. Wenn ich dann nicht mitkriege, was für Zugriffe irgendwo stattfinden, dann brauche ich natürlich auch nichts dagegen tun. Weil, wenn ich es nicht auswerte auf blauen Dunst. Also es ist ja immer so, das haben wir auch schon in so vielen Bereichen gesagt. Wenn ich mit sowas anfange, es muss ja etwas messbares werden. Ich muss sagen können, okay, ich habe jetzt, also klar, ich habe einen gefühlten Wert. Es ist sicherer geworden, als es vorher war. Aber es ist eben gefühlt, sowas muss man auch mit Fakten belegen können. Auch für sich selbst mal zu sehen, okay, da hat jetzt vielleicht mal was stattgefunden und wir haben es genau an dieser Stelle unterbunden. Das sind ja einfach Dinge, die man dann sieht, wo es dann wirklich einen Schritt nach vorne gemacht hat und wofür man es gemacht hat.
Michael
00:55:38
Jetzt haben wir so viel Geld dafür ausgegeben und es passiert nichts.
René
00:55:42
Ja gut, so war das nicht gemeint. Aber du weißt, worauf ich hinaus möchte.
Michael
00:55:47
Ja, ich weiß genau, was du meinst.
René
00:55:48
Es ist immer schwierig. Ich verstehe das auch, wenn man jetzt, nehmen wir mal an, ich sitze in der IT-Abteilung und dann habe ich da natürlich einen Entscheider, der sagt dann, naja, warum sollen wir das Geld dafür in die Hand nehmen? Dann ist es natürlich schön, wenn du sagen kannst, okay, pass auf, das und das ist es und wir können dann da genau sehen, wie oft werden diese Zugriffe denn genutzt. Es muss ja nicht mal was passieren, aber wenn ich schon sagen kann, okay, pass auf, wir haben aktuell im Monat, keine Ahnung, 4.000 Zugriffe auf dieses eine System. Wir sollten da mal eine Sicherheit reinbringen. Das ist ja auch schon etwas. Ja, genau. Es muss irgendwie messbar gemacht werden können, dann kann man auch seine Erfolge messen. Es sind halt einfach viele Dinge, die man dann auch berücksichtigen muss. Gerade eben war es ja das Monitoring. Auch ein Asset Management ist sicherlich auch eine Voraussetzung dafür, dass man das überhaupt durchführen kann. Man muss sich dem System bewusst sein und wissen, was machen die, wo stehen die, wie sind die miteinander vernetzt. All diese Dinge, die muss man natürlich haben, um dann eben entsprechend das Regelwerk auch auslegen zu können. Die anderen Punkte hatten wir alle genannt. Das haben wir jetzt im Verlauf so gehabt, aber ich glaube, dass das noch die eine Voraussetzung ist, die man da vielleicht so ein bisschen noch berücksichtigen müsste, dass man eben ein Asset Management hat. Und eine Dokumentation natürlich.
Michael
00:57:14
Zum Thema Asset Management empfehlen wir unseren Podcast zum Thema Schatten-IT. Genau. Da gerne mal reinhören. Wenn ich nicht weiß, welche Kisten bei mir im Netz sind und welche Kisten bei mir im Unternehmen laufen, wie will ich Compliance, Sicherheitsmaßnahmen etc. pp. auf die Dinger drauf machen, wie will ich Monitoring machen, wie will ich irgendwas betreiben. Also wie gesagt, da Podcast zum Thema Schatten-IT. Und wir haben auch andere Podcasts schon zum Thema gehabt, wo wir einfach darüber gesprochen haben, was ich mit Zero Trust meine. Ich meine, das zieht sich ja am Ende, je weiter du Zero Trust ziehst, zu mehr Punkten kommst du ja, über die wir schon gesprochen haben. USB-Ports zu Schatten-IT, WLAN, keine privaten Endgeräte ins Firmennetzwerk rein. Also all diese Dinge sind ja hoffentlich Dinge, die sowieso schon im Unternehmen umgesetzt werden, um sowas zu vermeiden. Weil die ja schon Angst haben, dass die Geräte, die ins Netz kommen, eben Schaden verursacht. Also da wird ja schon so ein Ansatz gefahren und das kann man sich gerne nochmal querhören und nachhören. Aber am Ende geht es halt auch genau um sowas.
René
00:58:26
Michael, eigentlich habe ich nicht viel zu sagen. Also was wichtig ist, bei Zero Trust ist es nicht so, dass wir das Projekt durchführen und irgendwann sagen können, okay, wir sind jetzt fertig. Das ist, glaube ich, ein wichtiges Ding. Ist aber generell im Security-Bereich so. Das würde ich jetzt einfach mal so als Wort zum Sonntag nutzen wollen. Also nie darauf ausruhen, was wir an Sicherheitsmechanismen haben. Der Markt entwickelt sich eben auch auf der negativen Seite. Und da muss man einfach immer wieder mit der Zeit gehen, sich immer weiter neu darauf einstellen und das Thema einfach nicht so vor sich hin dümpeln lassen.
Michael
00:59:07
Aber umso wichtiger ist es, dass du bei bist am Markt. Also dass du Rückstände aufholst, dass du gerade ziehst, dass du auf der Linie bist. Du wirst immer ein Stück hinterher rennen. Es ist egal, ob wir das bei Datenschutz sind, bei ISO-System, bei Zero Trust, bei einer Dokumentation von IT-System. Also bei vielen Dingen rennen wir in unserem Kontext schon ein Stück weit hinterher. Es ist nur wichtig, dass wir uns nicht abhängen lassen und dass wir immer am Ball bleiben und dranbleiben bei solchen Dingen. Und das ist sicherlich nie fertig. Da ändert sich immer irgendwas. Da wird immer was zum Schrauben und zum Pimpen sein und immer was zum Optimieren dabei sein. Nur wenn ich dran bin an dem ganzen Thema, setze mich mit dem Thema auseinander, habe meinen berühmten Stand der Technik und bin am Thema dran, dann habe ich es wesentlich einfacher, am Ball zu bleiben, als wenn ich das erste Mal aufholen muss. Ich muss erst mal anfangen, muss Windows 95-Geräte aus dem Netz entfernen, muss mir mal Gedanken machen, wo meine Kabel überhaupt hingehen, welche Switcher denn ich überhaupt habe und mit welchen Dienstleister ich überhaupt welche Daten austausche. Dann habe ich viel, viel mehr Arbeit, als wenn ich dabei bin und muss nur noch auf Changes reagieren.
René
01:00:17
Ja, aber was da auch wichtig ist, also ich kann es jetzt als Externer sagen, du, denke ich, unterschreibst das auch. Wenn jemand wirklich jetzt die letzten Jahre nicht aktiv war, ihr müsst euch nicht schämen, euch dann zu melden und Angst davor haben, dass dann jemand kommt mit der Keule und sagt, was hast du da getrieben? Nee, auf gar keinen Fall. Also bitte geht den Weg. Ruft an, lasst euch beraten und macht das, weil sonst, wie du gerade gesagt hast, man hängt immer weiter hinterher und lässt sich dann hinten raus auch abhängen. Und das sollte man auf jeden Fall nicht machen. Auf der anderen Seite sitzt dann jemand, der euch wirklich...
Michael
01:00:53
Ja, und das merke ich halt auch. Und deswegen habe ich eben gesagt, wenn wir einen haben, der Zeit hat, soll sich gerne melden. Ich kenne das halt auch im Tagesgeschäft bei meinen Kunden. Wenn ich gerade bei die IT-Admins gehe, die sind immer, naja, hinten gegen nicht, aber die tun immer so, als hätten sie viel zu tun, wenn ich mich so ausdrücke. Also die haben immer irgendwas, weil die immer versuchen, das System am Laufen zu halten mit logischerweise geringen oder in der Regel geringen Mitteln, weil die immer gerne mehr hätten, wie das, was im Moment im Budget drin ist und was von der Gf freigegeben, von den Entscheidern freigegeben wird. Und die haben immer viel zu tun. Und wenn das Tagesgeschäft dich einholt und du ein Ressourcenthema im Tagesgeschäft schon hast, dann ist das hier, was wir hier besprechen, halt echt ein Thema. Das ist ein eigenes Projekt. Da musst du dich für zurücklehnen. Das machst du nicht nebenher. Das ist nicht mal eben schnell eine Software installieren, drei Mausklicks machen und ab dafür, sondern da musst du beigehen. Und wenn dir da die Ressourcen fehlen und wenn dir da im Tagesgeschäft der Kopf nicht für da ist, wirklich holt euch mal einen Support mit dabei und lasst mal aufholen an der Stelle. Was gibt das? Ich überlege jetzt die ganze Zeit schon, wie heißt denn dieser, ist das eine Schildkröte bei Super Mario? Wie wenn du der letzte Mann bist, gibt es doch, wenn du als Letzter am Super Mario Kart, wenn du ganz hinten hängst, gibt es doch irgend so eine Rakete, irgend so ein super Ding, wo du drüber fährst und dann macht es einmal flupp und dann bist du wieder vorne am ersten dran oder wird gezielt der Erste angegriffen.
René
01:02:25
Das ist dann diese Kanonenkugel.
Michael
01:02:27
Genau, diese Kanonenkugel. Und genau so muss man sich das vorstellen, das können Dienstleister leisten sowas. Also die können da mal einen echten Push geben. Genau, gar nicht lang rum, ab an die Arbeit.
René
01:02:44
So ungefähr, genau. Ja, dann würde ich sagen, wir hören uns in 14 Tagen wieder. Vielen Dank fürs Zuhören, vielen Dank Michael und von mir aus bis dahin.
Michael
01:02:51
Sehr gerne. Von mir auch, vielen Dank fürs Zuhören. Grüße aus Wetzlar. Tschüss.

Feedback geben

Dir gefällt der Podcast und Du möchtest das mal loswerden? Du hast Tipps für neue Themen oder magst über den Inhalt bestimmter Folgen diskutieren? Dann wähle im Formular die jeweilige Episode aus und schreib uns eine Nachricht. Vielen Dank für Dein Feedback!

Mit einem Klick auf "Nachricht absenden" erklärst Du Dich damit einverstanden, dass wir Deine Daten zum Zwecke der Beantwortung Deiner Anfrage verarbeiten dürfen. Die Verarbeitung und der Versand Deiner Anfrage an uns erfolgt über den Server unseres Podcast-Hosters LetsCast.fm. Eine Weitergabe an Dritte findet nicht statt. Hier kannst Du die Datenschutzerklärung & Widerrufshinweise einsehen.

★★★★★

Gefällt Dir die Show?
Bewerte sie jetzt auf Apple Podcasts