Nachricht schreiben an

Sie haben keinen Betreff angegeben, möchten Sie die Nachricht ohne Betreff versenden?
Bitte beachten Sie, dass Ihre Nachricht maximal 1000 Zeichen lang sein darf
Sonderzeichen '<', '>' sind im Betreff und in der Nachricht nicht erlaubt
reCaptcha ist ungültig.
reCaptcha ist aufgrund eines Serverproblems gescheitert.

Ihre Nachricht wurde gesendet

Sie finden die Nachricht jetzt in Ihrem persönlichen Bereich unter „Meine Nachrichten“.

Es ist ein Fehler aufgetreten

Bitte versuchen Sie es nochmal.

Termin vereinbaren mit

Damit Sie einen Termin vereinbaren können, wird der Kalender auf dem persönlichen Profil Ihres Ansprechpartners in einem neuen Tab geöffnet.

Vor-Ort-Termin vereinbaren mit

Damit Sie einen Vor-Ort-Termin vereinbaren können, wird die Terminanfrage in einem neuen Tab geöffnet.

Vor-Ort-Termin vereinbaren
it-sa 365 Key Visual
Foren it-sa Expo Knowledge Forum F

Zero Trust und Digitale Souveränität: Reale Lösungen für echte Herausforderungen

Umsetzung von Zero Trust für mehr Digitale Souveränität und sichere Lieferketten unter Berücksichtigung im Rahmen des Risikomanagements.

Messe-Ticket kaufen

Sie können sich bald für diese Action anmelden.

Sie können sich bald für die digitale Action anmelden.

Bitte kommen Sie zum geplanten Zeitpunkt wieder auf diese Seite.

Die Action ist live. Bitte scrollen Sie nach unten, um sie zu sehen.

Diese Action findet nur vor Ort statt: Foren it-sa Expo

Action speichern und merken
close

Diese Inhalte oder Funktionen stehen der it-sa 365 Community zur Verfügung. 
Bitte registrieren Sie sich oder melden Sie sich mit Ihren Login-Daten an.

Action zur Merkliste hinzufügen und als ical herunterladen

Jetzt beitreten!

Hinweis: Wenn Sie fortfahren, werden ggfs. Ihre bei der Registrierung angegebenen Kontaktdaten gemäß unseren Teilnahmebedingungen an den jeweiligen Anbieter übermittelt.

Die Action hat bereits stattgefunden. Bald steht diese Action als Video zur Verfügung.

Die Action hat bereits stattgefunden. Bitte scrollen Sie nach unten, um das Video anzusehen.

Die Action hat bereits stattgefunden. Sie ist nicht mehr verfügbar.

Sie sind dabei!

Ihr Ticket / Zugang zur Action wurde Ihnen per E-Mail zugeschickt.

Momentan gibt es ein Problem mit der Action. Bitte kommen Sie später hierher zurück oder kontaktieren Sie den Support.

calendar_today Mi, 23.10.2024, 13:00 - 13:15

event_available Vor Ort

place Forum, Stand 9-443

Actionbeschreibung

south_east

Speaker

south_east

Themen

Datensicherheit / DLP / Know-how-Schutz Endpoint Protection Mobile Security Netzwerksicherheit / Patch-Management Websecurity / VPN Trendthemen

Key Facts

  • Zero Trust#Digitale Souveränität#Risikomanagement

Veranstalter

Event

Diese Action ist Teil des Events Foren it-sa Expo

Actionbeschreibung

Wie nutzt man IT, wenn man keinem traut – also Zero Trust ernst nimmt. Man muss Vertrauensketten definieren. Das inkludiert eigenes und fremdes Personal, Zulieferer, Subunternehmer, Service-Provider und alle ITK-Komponenten.
Konsequenterweise gibt es weniger vertrauenswürdige Handlungsketten / Prozesse und einen Kern von besonders sensiblen Aktivitäten. Jegliche ITK-Komponente hat aber immer den Zweck, Daten zu verarbeiten oder Kommunikationsbeziehungen zur Datenübermittlung herzustellen. Der Prozess und die beteiligten Personen sollten also – wenn sie Zugriff auf die Klartextinformation haben, auch vertrauenswürdig „genug“ sein. Was ist also vertrauenswürdig „genug“ für welche Daten? Die Personalabteilung z. B. arbeitet mit sensiblen Daten, die Regulierungen unterliegen, aber auch aus eigenen Unternehmensinteressen heraus geschützt werden sollten, um sich vor Abwerbungen zu schützen.
Im Tagesablauf in HR gibt es neben Verwaltung und Entwicklung des bestehenden Personals auch Neugeschäft. Bewerbungen kommen über Portale oder über Datenbanken mit unterschiedlichsten Zugriffsverfahren (LinkedIn etc.). Die Bewerbungsprofile sind Links auf Unternehmen, selbst erstellte Objekte der BewerberInnen – also Daten unbekannter, nicht vertrauenswürdiger Herkunft. Parallel braucht das HR-Personal die Möglichkeit, Profile im Internet zu verifizieren, so dass auch Zugriffe auf Social Media und z.T. problematische Domains sinnvoll sind.
Hier fließen offensichtlich auf einem Arbeitsplatz Daten unterschiedlicher Vertrauenswürdigkeit zusammen. Ein Blick in die Sicherheitsrichtlinien der Unternehmen zeigt, dass das Personal nicht klicken soll, wenn etwas problematisch wirkt. Eine Unmöglichkeit in diesem Beispiel – und davon gibt es viele mit noch höherer Diskrepanz, wenn es um M&A, Patente, IoT, OT, Strategien oder Innere und Äußere Sicherheit, militärische Zulieferer etc. geht.
Es gilt also mindestens zwei Disziplinen zu beherrschen:
1. Den Datenaustausch zwischen Strukturen verschiedener Vertrauenswürdigkeit
2. Bei höheren Sicherheitsanforderungen auch das Management der Lieferketten genutzter Komponenten
Für den sicheren Datenaustausch unter 1. gilt es mehrere Facetten der „Sicherheit“ zu verifizieren. Kommen Daten aus einer unsicheren Umgebung, müssen die Inhalte auf ausführbaren Code hin überprüft werden. Dieses Verfahren wird als Datenwäsche bezeichnet. Will man Daten aus einem vertrauenswürdigen Bereich in einen weniger vertrauenswürdigen übergeben, sind verschiedene Disziplinen wesentlich: das Anwenden von Unternehmensschlüsseln für die Vertraulichkeit, das Protokollieren für Beweisbarkeit, das Signieren für Integrität, inhaltliches Auswerten, ob die Daten überhaupt in die Umgebung transportiert werden dürfen etc.
Bei 2. stellt man fest, dass z. B. die Warnung des BSI vor dem Einsatz von Kaspersky-Produkten keine Qualitätsaussage des zu dem Zeitpunkt der Warnung verfügbaren Produktes ist, sondern die Tatsache reflektiert, dass Patches, Pattern etc. Schadcode beinhalten könnten. Guter Schadcode wird laut Studien oft erst nach über 200 Tagen gefunden. Dann ist es meist zu spät und viele wichtige Daten sind bereits an Angreifer übermittelt. Hier gilt es zuerst die eingesetzten ITK-Komponenten (SBOM – Software Bill of Material), Hardware, Firmware, die beteiligten Unternehmen und die Lieferketten genau zu kennen. Diese Möglichkeiten werden in einem Projekt der Universität der Bundeswehr untersucht und ermöglichen abstrakt gesprochen das Managen von Digitaler Souveränität als Teil des Risikomanagements mit praktisch anwendbaren Tools. Um den Begriff Digitale Souveränität in der Praxis zu verstehen, sieht man am besten in die Pegasus-Papiere und stellt fest, dass ein Handy – obwohl es ausgeschaltet ist – genutzt werden kann, um den Raum, in dem es sich befindet, abzuhören. Der Besitzer des Handys wird darüber nicht informiert – ist also nicht digital souverän. ... mehr lesen

Sprache: Deutsch

Action beinhaltet Q&A: Nein

Speaker

Mehr anzeigen

Das könnte Sie auch interessieren

Header von DriveLock SE
23.10.2024| 14:30 - 14:45 Uhr
HYPERSECURE IT: Die einfache Lösung für komplexe Cyber-Bedrohungen

Revolutionäre IT-Sicherheit: Erleben Sie mit DriveLock HYPERSECURE IT umfassenden Schutz durch ne...
it-sa 365 Key Visual
23.10.2024| 14:30 - 14:45 Uhr
Angriff erfolgreich abgewehrt: Success-Story von Jo Soft IT Security und Kaspersky

Angriffe dank Kaspersky MDR abgewehrt: Erfolgsgeschichte, die zeigt, wie ein modernes IT-Sicherhe...
Header von SEC Consult Deutschland Unternehmensberatung GmbH
23.10.2024| 14:30 - 17:30 Uhr
Ransomware Wargame – Simuliertes Planspiel als Vorbereitung auf den Ernstfall

Erleben Sie alle Phasen einer Cyber-Krise. Beteiligen Sie sich interaktiv an Entscheidungen & Opt...
Header von Lookout
23.10.2024| 14:30 - 15:15 Uhr
Schützen Sie Ihre Daten in der Cloud: Strategien für moderne Sicherheitsherausforderungen

Moderne Angriffstaktiken, unzureichende Sicherheitsansätze und nötige Abwehrfunktionen zum Schutz...
Header von SUSE
23.10.2024| 14:30 - 15:30 Uhr
Was ist bei der Umsetzung von NIS-2 Anforderungen zu beachten?

Live-Diskussion mit Dr. Justus Gaden, Michael Hojnacki und Knut Trepte über die aktuellen Anforde...
close

Diese Inhalte oder Funktionen stehen der it-sa 365 Community zur Verfügung. 
Bitte registrieren Sie sich oder melden Sie sich mit Ihren Login-Daten an.