Nachricht schreiben an

Sie haben keinen Betreff angegeben, möchten Sie die Nachricht ohne Betreff versenden?
Bitte beachten Sie, dass Ihre Nachricht maximal 1000 Zeichen lang sein darf
Sonderzeichen '<', '>' sind im Betreff und in der Nachricht nicht erlaubt
reCaptcha ist ungültig.
reCaptcha ist aufgrund eines Serverproblems gescheitert.

Ihre Nachricht wurde gesendet

Sie finden die Nachricht jetzt in Ihrem persönlichen Bereich unter „Meine Nachrichten“.

Es ist ein Fehler aufgetreten

Bitte versuchen Sie es nochmal.

Termin vereinbaren mit

Damit Sie einen Termin vereinbaren können, wird der Kalender auf dem persönlichen Profil Ihres Ansprechpartners in einem neuen Tab geöffnet.

Vor-Ort-Termin vereinbaren mit

Damit Sie einen Vor-Ort-Termin vereinbaren können, wird die Terminanfrage in einem neuen Tab geöffnet.

it-sa 365 Key Visual
Foren it-sa Expo Knowledge Forum F

Zero Trust und Digitale Souveränität: Reale Lösungen für echte Herausforderungen

Umsetzung von Zero Trust für mehr Digitale Souveränität und sichere Lieferketten unter Berücksichtigung im Rahmen des Risikomanagements.

calendar_today Mi, 23.10.2024, 13:00 - 13:15

event_available Vor Ort

place Forum, Stand 9-443

Action Video

south_east

Actionbeschreibung

south_east

Speaker

south_east

Themen

Datensicherheit / DLP / Know-how-Schutz Endpoint Protection Mobile Security Netzwerksicherheit / Patch-Management Websecurity / VPN Trendthemen

Key Facts

  • Zero Trust#Digitale Souveränität#Risikomanagement

Veranstalter

Event

Diese Action ist Teil des Events Foren it-sa Expo

Action Video

close

Dieses Video steht der it-sa 365 Community zur Verfügung. 
Bitte registrieren Sie sich oder melden Sie sich mit Ihren Login-Daten an.

Actionbeschreibung

Wie nutzt man IT, wenn man keinem traut – also Zero Trust ernst nimmt. Man muss Vertrauensketten definieren. Das inkludiert eigenes und fremdes Personal, Zulieferer, Subunternehmer, Service-Provider und alle ITK-Komponenten.
Konsequenterweise gibt es weniger vertrauenswürdige Handlungsketten / Prozesse und einen Kern von besonders sensiblen Aktivitäten. Jegliche ITK-Komponente hat aber immer den Zweck, Daten zu verarbeiten oder Kommunikationsbeziehungen zur Datenübermittlung herzustellen. Der Prozess und die beteiligten Personen sollten also – wenn sie Zugriff auf die Klartextinformation haben, auch vertrauenswürdig „genug“ sein. Was ist also vertrauenswürdig „genug“ für welche Daten? Die Personalabteilung z. B. arbeitet mit sensiblen Daten, die Regulierungen unterliegen, aber auch aus eigenen Unternehmensinteressen heraus geschützt werden sollten, um sich vor Abwerbungen zu schützen.
Im Tagesablauf in HR gibt es neben Verwaltung und Entwicklung des bestehenden Personals auch Neugeschäft. Bewerbungen kommen über Portale oder über Datenbanken mit unterschiedlichsten Zugriffsverfahren (LinkedIn etc.). Die Bewerbungsprofile sind Links auf Unternehmen, selbst erstellte Objekte der BewerberInnen – also Daten unbekannter, nicht vertrauenswürdiger Herkunft. Parallel braucht das HR-Personal die Möglichkeit, Profile im Internet zu verifizieren, so dass auch Zugriffe auf Social Media und z.T. problematische Domains sinnvoll sind.
Hier fließen offensichtlich auf einem Arbeitsplatz Daten unterschiedlicher Vertrauenswürdigkeit zusammen. Ein Blick in die Sicherheitsrichtlinien der Unternehmen zeigt, dass das Personal nicht klicken soll, wenn etwas problematisch wirkt. Eine Unmöglichkeit in diesem Beispiel – und davon gibt es viele mit noch höherer Diskrepanz, wenn es um M&A, Patente, IoT, OT, Strategien oder Innere und Äußere Sicherheit, militärische Zulieferer etc. geht.
Es gilt also mindestens zwei Disziplinen zu beherrschen:
1. Den Datenaustausch zwischen Strukturen verschiedener Vertrauenswürdigkeit
2. Bei höheren Sicherheitsanforderungen auch das Management der Lieferketten genutzter Komponenten
Für den sicheren Datenaustausch unter 1. gilt es mehrere Facetten der „Sicherheit“ zu verifizieren. Kommen Daten aus einer unsicheren Umgebung, müssen die Inhalte auf ausführbaren Code hin überprüft werden. Dieses Verfahren wird als Datenwäsche bezeichnet. Will man Daten aus einem vertrauenswürdigen Bereich in einen weniger vertrauenswürdigen übergeben, sind verschiedene Disziplinen wesentlich: das Anwenden von Unternehmensschlüsseln für die Vertraulichkeit, das Protokollieren für Beweisbarkeit, das Signieren für Integrität, inhaltliches Auswerten, ob die Daten überhaupt in die Umgebung transportiert werden dürfen etc.
Bei 2. stellt man fest, dass z. B. die Warnung des BSI vor dem Einsatz von Kaspersky-Produkten keine Qualitätsaussage des zu dem Zeitpunkt der Warnung verfügbaren Produktes ist, sondern die Tatsache reflektiert, dass Patches, Pattern etc. Schadcode beinhalten könnten. Guter Schadcode wird laut Studien oft erst nach über 200 Tagen gefunden. Dann ist es meist zu spät und viele wichtige Daten sind bereits an Angreifer übermittelt. Hier gilt es zuerst die eingesetzten ITK-Komponenten (SBOM – Software Bill of Material), Hardware, Firmware, die beteiligten Unternehmen und die Lieferketten genau zu kennen. Diese Möglichkeiten werden in einem Projekt der Universität der Bundeswehr untersucht und ermöglichen abstrakt gesprochen das Managen von Digitaler Souveränität als Teil des Risikomanagements mit praktisch anwendbaren Tools. Um den Begriff Digitale Souveränität in der Praxis zu verstehen, sieht man am besten in die Pegasus-Papiere und stellt fest, dass ein Handy – obwohl es ausgeschaltet ist – genutzt werden kann, um den Raum, in dem es sich befindet, abzuhören. Der Besitzer des Handys wird darüber nicht informiert – ist also nicht digital souverän.
... mehr lesen

Downloads

Sprache: Deutsch

Action beinhaltet Q&A: Nein

Speaker

Mehr anzeigen
close

Diese Inhalte oder Funktionen stehen der it-sa 365 Community zur Verfügung. 
Bitte registrieren Sie sich oder melden Sie sich mit Ihren Login-Daten an.