Nie war der Einsatz von IT-Systemen stärker reguliert als heute. Neue Regularien wie die Datenschutz-Grundverordnung der Europäischen Union (DSGVO) erweisen sich insbesondere bei der Weitergabe personenbezogener Daten als juristisches Minenfeld. So soll das Bundesarbeitsgericht erstmals darüber entscheiden, ob ein entlassener Mitarbeiter jede E-Mail von seinem früheren Arbeitgeber herausverlangen kann, in der er nur erwähnt wird. Und gesetzliche Datenschutzanforderungen betreffen alle Branchen — die PCI DSS-Konformität bei Kreditkartenzahlungen im Internet ist sogar ein globaler Standard.
Setzt eine Organisation auf zentrale Netzwerk-Firewalls, operieren die IT-Entscheider zwangsläufig nach dem „Alles-oder-Nichts“-Prinzip. Alles ist gut, solange gefährliche Anfragen an der Brandmauer abprallen. Finden Angreifer aber eine Sicherheitslücke und schleichen sich unerkannt am digitalen Torwächter vorbei, können sie sich per Network Lateral Movement im Unternehmensnetz frei bewegen. Mit allen Konsequenzen für die IT-Sicherheit: Ein perimeterbasiertes Sicherheitsmodell unterscheidet nicht zwischen Datentypen oder Anwendungen, definiert und visualisiert auch nicht, welche IT-Assets im Rechenzentrum geschützt werden (müssen).
Für die Einhaltung von Compliance-Vorgaben ist dieser Zustand aus Sicht der IT-Sicherheitsverantwortlichen ein Alptraum. Die deutschen Datenschutzbehörden verfolgen Verfehlungen bei der Speicherung, Weiterleitung und Aufbewahrungsdauer von personenbezogenen Kundendaten rigoros. Hierzulande wurden bereits Strafen im zweistelligen Millionenbereich verhängt. Angesichts der wachsenden Datenmengen, die hinter der Firewall lagern oder über Cloud-Dienste durchgeschleust werden, ist die Gefahr von Datenschutzverstößen ein Dauerproblem. Schon bei der IT-Visibilität als unbedingte Voraussetzung reißen viele Organisationen die erste Hürde.
Klassische Perimetersicherheit verursacht IT-Compliance-Probleme
Ohne die erforderliche Visibilität auf alle Datenbewegungen im Unternehmensnetz bleiben Einbrüche häufiger und länger unerkannt — Zeit genug für Hacker, maximalen Schaden anzurichten. Immer mehr Banken und Geldinstitute setzen deshalb auf ein Zero-Trust-Sicherheitsmodell, um ihre Position bei der Überwachung von East-West-Traffic entscheidend verbessern zu können. Nicht das Netzwerk innerhalb eines definierten Unternehmensperimeters wird dabei als sicher eingestuft, sondern man setzt vielmehr direkt bei den Daten an, um sensible Informationen erkennen, Datenflüsse überwachen und Zugriffsrechte richtlinienkonform konfigurieren zu können.
Vorausetzung für eine erfolgreiche Umsetzung dieser Strategie ist eine Komplettsicht auf alle IT-gestützten Vorgänge im Datacenter. Zumeist hakt es bei der Erfassung und Analyse des Datenverkehrs, so dass es häufig blinde Flecken gibt. Moderne Mikrosegmentierungslösungen wie Guardicore Centra erstellen daher eine feinstufige Übersicht auf die gesamte IT-Umgebung, die alle Datenflüsse im Netzwerk sowie IT-Assets und detaillierte Orchestrierungsinformationen von unterschiedlichen Drittanbieterplattformen inklusive IT-Workloads umfasst.
Nach Identifizierung der kritischen IT-Systeme erfolgt die Zuordnung zu logischen Gruppen, um eine wirksame IT-Policy zu erstellen. Jedes System kann dann nur mit denjenigen Software- und Hardware-Assets interagieren, die für eine solche Kommunikation autorisiert sind. Im Ergebnis werden kritische Daten, Prozesse und Systeme in allen Umgebungen vor unbefugten Zugriffen geschützt. Sicherheitsvorfälle lassen sich systematisch erfassen und darauf zugeschnittene Analyse- sowie Response-Funktionen automatisiert bereitstellen.
Die Tage perimeterbasierter Sicherheitssysteme sind gezählt, weil sie mit den Ansprüchen strenger Compliance-Pflichten in hochperformanten IT-Landschaften nicht Schritt halten. Zero-Trust-Strategien gehen von der richtigen Voraussetzung aus, dass es hinter einer zentralen Firewall interne Bedrohungen geschäftskritischer Daten und Anwendungen gibt. Zero Trust ist damit ein hervorragender Qualitätsgrad zur Bemessung der Sicherheit von IT-Infrastrukturen und ein effektives Sicherheitsmodell für Segmentierungsprojekte. So lassen sich wachsende Risiken in hybriden Cloud-Umgebungen eindämmen und zugleich anspruchsvolle Compliance-Kriterien für die digitale Transformation erfüllen.
Für weitere Informationen wenden Sie sich bitte an Dietmar Kenzle: dietmar.kenzle@guardicore.com
