Daten unabhängig von der Infrastruktur schützen

16. Januar 2023

Die Cyber-Sicherheitsbedrohung ist in den letzten Jahren so stark gestiegen, dass die meisten Unternehmen weltweit heute akzeptieren, dass eine Datenschutzverletzung fast unvermeidlich ist. Doch was bedeutet das für die Datenschutz- und Compliance-Beauftragten sowie Führungskräfte, die nun persönlich für den Schutz sensibler Unternehmens-, Kunden- und Partnerdaten haften?

Investitionen in die Sicherheitsinfrastruktur reichen nicht aus, um Compliance beim Schutz von Daten nachzuweisen. Softwaredefinierte Wide Area Networks (SD WAN), Firewalls und Virtual Private Networks (VPN) spielen eine Rolle innerhalb einer allgemeinen Sicherheitslage, aber sie sind Infrastrukturlösungen und schützen keine Daten. Was passiert, wenn die Daten außerhalb des Netzwerks in die Cloud oder in das Netzwerk eines Drittanbieters gelangen? Wie werden die Geschäftsdaten auf der LAN-Seite geschützt, wenn eine SD-WAN-Schwachstelle oder Fehlkonfiguration ausgenutzt wird? Welche zusätzliche Schwachstelle entsteht, wenn man sich auf dasselbe Netzwerksicherheitsteam verlässt, um sowohl Richtlinien festzulegen als auch die Umgebung zu verwalten, was in direktem Widerspruch zu den Zero-Trust-Richtlinien steht?

Der einzige Weg, um sicherzustellen, dass das Unternehmen geschützt und konform ist, besteht darin, den Datenschutz von der zugrunde liegenden Infrastruktur zu abstrahieren. Simon Pamplin, CTO, Certes Networks, besteht darauf, dass es jetzt wichtig ist, den Fokus zu verlagern, sich nicht mehr auf die Infrastruktursicherheit zu verlassen und Layer-4-Verschlüsselung zu verwenden, um sensible Geschäftsdaten unabhängig vom Standort proaktiv zu schützen.

Könnte die Bereitstellung von Daten an vorderster Front Unternehmen helfen, widerstandsfähig zu bleiben?
Trending
Könnte die Bereitstellung von Daten an vorderster Front Unternehmen helfen, widerstandsfähig zu bleiben?

Eskalierendes Risiko anerkennen

Die Einstellung zur Datensicherheit muss sich schnell ändern, da das heutige infrastrukturgesteuerte Modell zu viele Risiken birgt. Laut der IBM Data Breach-Umfrage 2022 bestätigen 83 % der Unternehmen, dass sie mit einer Sicherheitsverletzung rechnen – und viele akzeptieren, dass Sicherheitsverletzungen mehr als einmal auftreten werden. Angesichts dieser Wahrnehmung muss die Frage gestellt werden: Warum sind Unternehmen immer noch auf eine Sicherheitshaltung angewiesen, die sich darauf konzentriert, die Infrastruktur abzuriegeln? 

Klar geht das nicht. Während nicht jedes Unternehmen die katastrophalen Auswirkungen der vier Jahre andauernden Datenschutzverletzung erleben wird, von der letztendlich 300 Millionen Gäste von Marriott Hotels betroffen waren, verbringen Angreifer routinemäßig Monate in Unternehmen, um nach Daten zu suchen. Im Jahr 2022 dauerte es durchschnittlich 277 Tage – etwa neun Monate –, um eine Datenschutzverletzung zu identifizieren und einzudämmen. Während dieser Zeit haben Angreifer Zugriff auf Unternehmensdaten; Sie haben die Zeit, die wertvollsten Informationen zu erforschen und zu identifizieren. Und die Möglichkeit, diese Daten zu kopieren und/oder zu löschen – je nach Angriffsziel.

Die Kosten sind enorm: Die durchschnittlichen Kosten einer Datenschutzverletzung in den USA betragen jetzt 9.44 Millionen US-Dollar (4.35 US-Dollar sind die durchschnittlichen Kosten weltweit). Von behördlichen Bußgeldern – die weltweit immer strenger werden – bis hin zu den Auswirkungen auf den Aktienwert, das Kundenvertrauen und sogar Geschäftspartnerschaften – die langfristigen Auswirkungen einer Datenschutzverletzung sind potenziell verheerend.

Falsches Vertrauen in die Infrastruktur

Dennoch verfügen diese betroffenen Unternehmen über eine angeblich robuste Sicherheitslage. Sie verfügen über sehr erfahrene Sicherheitsteams und umfangreiche Investitionen in die Infrastruktur. Aber sie haben sich dem lang gehegten Mythos der Sicherheitsbranche verschrieben, dass die Sperrung der Infrastruktur mithilfe von VPNs, SD-WANs und Firewalls die Daten eines Unternehmens schützt. 

Wie ein Verstoß nach dem anderen bestätigt hat, bietet das Vertrauen auf die Infrastruktursicherheit nicht das Maß an Kontrolle, das zum Schutz von Daten vor Angreifern erforderlich ist. Für die überwiegende Mehrheit der Unternehmen sind Daten selten auf die Unternehmensnetzwerkumgebung beschränkt. Es befindet sich in der Cloud, auf dem Laptop eines Benutzers oder im Netzwerk eines Lieferanten. Diese Perimeter können nicht kontrolliert werden, insbesondere für Unternehmen, die Teil der Lieferkette und von Drittanbieternetzwerken sind. Wie schützt Anbieter A Drittanbieter B, wenn das Unternehmen keine Kontrolle über sein Netzwerk hat? Mit herkömmlicher, infrastrukturabhängiger Sicherheit ist dies nicht möglich. 

Darüber hinaus bietet ein SD-WAN zwar eine sicherere Methode zum Senden von Daten über das Internet, bietet jedoch nur die Kontrolle vom Ausgangspunkt des Netzwerks bis zum Endziel. Es bietet keine Kontrolle darüber, was auf der LAN-Seite einer Organisation passiert. Sie kann die Weitergabe von Daten an eine andere Stelle oder Person nicht verbieten. Außerdem wird natürlich akzeptiert, dass eine SD-WAN-Fehlkonfiguration das Risiko eines Verstoßes erhöhen kann, was bedeutet, dass die Daten offengelegt werden – wie die öffentlichen CVEs (Common Vulnerabilities and Exposures) zeigen, die auf den Websites der meisten SD-WAN-Anbieter eingesehen werden können. Und während SD-WANs, VPNs und Firewalls IPSEC als Verschlüsselungsprotokoll verwenden, ist ihr Verschlüsselungsansatz fehlerhaft: Die Verschlüsselungsschlüssel und die Verwaltung werden von derselben Gruppe gehandhabt, was in direktem Widerspruch zu den akzeptierten Zero-Trust-Standards der „Aufgabentrennung“ steht.

Schützen Sie die Daten

Es ist daher unerlässlich, einen anderen Ansatz zu wählen und sich auf den Schutz der Daten zu konzentrieren. Indem die Sicherheit um die Daten gelegt wird, kann ein Unternehmen dieses wichtige Gut unabhängig von der Infrastruktur schützen. Die richtlinienbasierte Verschlüsselung von Layer 4 stellt sicher, dass die Datennutzlast während ihrer gesamten Reise geschützt ist – unabhängig davon, ob sie innerhalb des Unternehmens oder von einem Drittanbieter generiert wurde. 

Wenn sie ein falsch konfiguriertes SD-WAN überqueren, sind die Daten dennoch geschützt: Sie sind verschlüsselt und somit für jeden Hacker wertlos. Wie lange ein Angriff auch andauern mag, wie lange eine Einzelperson oder Gruppe im Unternehmen auf der Suche nach Daten für einen Ransomware-Angriff zelten kann, wenn die sensiblen Daten verschlüsselt sind, gibt es nichts, womit man arbeiten könnte. 

Die Tatsache, dass nur die Nutzlastdaten verschlüsselt werden, während Header-Daten unverschlüsselt bleiben, bedeutet eine minimale Unterbrechung von Netzwerkdiensten oder -anwendungen und erleichtert die Fehlersuche in einem verschlüsselten Netzwerk.

Dieser Mentalitätswandel schützt nicht nur die Daten und standardmäßig das Geschäft, sondern auch das für Sicherheit und Datenschutz-Compliance verantwortliche – ja sogar persönlich haftende – Führungsteam. Anstatt die Last des Datenschutzes den Netzwerksicherheitsteams aufzubürden, verwirklicht dieser Ansatz das wahre Ziel von Zero Trust: die Trennung der Verantwortung für die Richtlinieneinstellung von der Systemadministration. Die Sicherheitslage wird aus geschäftlicher Sicht definiert und nicht aus Sicht der Netzwerksicherheit und Infrastruktur – und das ist eine wesentliche und längst überfällige Änderung der Denkweise.

Fazit

Diese Änderung der Denkweise wird kritisch – sowohl aus geschäftlicher als auch aus regulatorischer Sicht. In den letzten Jahren haben Aufsichtsbehörden weltweit ihren Fokus verstärkt auf den Datenschutz gelegt. Von Strafgeldern, einschließlich des Höchstbetrags von 20 Millionen Euro (oder 25 % des weltweiten Umsatzes, je nachdem, welcher Wert höher ist) pro Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union bis hin zum Risiko einer Inhaftierung, der zunehmenden Regulierung in ganz China und Der Nahe Osten verstärkt die weltweite klare Erkenntnis, dass Datenverluste erhebliche Kosten für Unternehmen verursachen. 

Bis vor Kurzem machten die Regulierungsbehörden jedoch keine Vorschriften über die Art und Weise, wie diese Daten gesichert werden – ein Ansatz, der die Fortführung des Sicherheitsmodells der „Sperrung der Infrastruktur“ ermöglichte. Diese Einstellung verändert sich. In Nordamerika verlangen neue Gesetze eine Verschlüsselung zwischen den Befehls- und Kontrollzentren der Versorgungsunternehmen, um die nationale Infrastruktur zu schützen. Dieser Ansatz wird sich weiterentwickeln, da Regulierungsbehörden und Unternehmen erkennen, dass die einzige Möglichkeit, Daten über zunehmend verteilte Infrastrukturen, vom SD-WAN bis zur Cloud, zu schützen, darin besteht, sie zu verschlüsseln – und zwar auf eine Weise, die die Leistungsfähigkeit der Daten nicht beeinträchtigt Geschäft zu funktionieren.

Es ist jetzt wichtig, dass Unternehmen die Grenzen des Vertrauens auf SD-WANs, VPNs und Firewalls erkennen. Die Abstrahierung des Datenschutzes von der zugrunde liegenden Infrastruktur ist die einzige Möglichkeit, sicherzustellen, dass das Unternehmen geschützt und konform ist.

Wir glauben, dass Ihnen Folgendes gefallen wird:

Simon Pamplin

CTO, Certes Networks

Cheltenham MSP ist erster offizieller lokaler Cyberberater

Neil Smith, Geschäftsführer von ReformIT • 23. April 2024

ReformIT, ein Managed IT Service and Security Provider (MSP) mit Sitz in der britischen Cyber-Hauptstadt Cheltenham, ist der erste MSP in der Region, der sowohl als Cyber ​​Advisor als auch als Cyber ​​Essentials-Zertifizierungsstelle akkreditiert wurde. Das Cyber ​​Advisor-Programm wurde vom offiziellen National Cyber ​​Security Center (NCSC) der Regierung und dem ... ins Leben gerufen.

Wie wir die britischen Portfoliogeschäfte von BT modernisieren

Faisal Mahomed • 23. April 2024

Nirgendwo ist der Übergang zu einer digitalisierten Gesellschaft ausgeprägter als die Entwicklung von der traditionellen Telefonzelle zu unseren innovativen digitalen Straßentelefonen. Die Nutzung von Münztelefonen ist seit Ende der 1990er/2000er Jahre massiv zurückgegangen, wobei Geräte und Smartphones nicht nur den Kommunikationszugang, sondern auch die zentralen Community-Punkte ersetzt haben, für die die Münztelefone einst standen. Unser...

Wie wir die britischen Portfoliogeschäfte von BT modernisieren

Faisal Mahomed • 23. April 2024

Nirgendwo ist der Übergang zu einer digitalisierten Gesellschaft ausgeprägter als die Entwicklung von der traditionellen Telefonzelle zu unseren innovativen digitalen Straßentelefonen. Die Nutzung von Münztelefonen ist seit Ende der 1990er/2000er Jahre massiv zurückgegangen, wobei Geräte und Smartphones nicht nur den Kommunikationszugang, sondern auch die zentralen Community-Punkte ersetzt haben, für die die Münztelefone einst standen. Unser...

Was ist eine User Journey?

Erin Lanahan • 19. April 2024

User Journey Mapping ist der Kompass, der Unternehmen zu kundenorientiertem Erfolg führt. Durch die sorgfältige Verfolgung der Schritte, die Benutzer bei der Interaktion mit Produkten oder Dienstleistungen unternehmen, erhalten Unternehmen tiefgreifende Einblicke in die Bedürfnisse und Verhaltensweisen der Benutzer. Das Verständnis der Emotionen und Vorlieben der Benutzer an jedem Berührungspunkt ermöglicht die Schaffung maßgeschneiderter Erlebnisse, die tiefe Resonanz finden. Durch strategische Segmentierung, personengesteuertes Design,...

Von Schatten-IT zu Schatten-KI

Markus Molyneux • 16. April 2024

Mark Molyneux, EMEA CTO von Cohesity, erklärt, welche Herausforderungen diese Entwicklung mit sich bringt und warum Unternehmen bei aller Begeisterung nicht alte Fehler aus der frühen Cloud-Ära wiederholen sollten.

Behebung des IT-Debakels im öffentlichen Sektor

Markus Grindey • 11. April 2024

Die IT-Dienste des öffentlichen Sektors sind nicht mehr zweckdienlich. Ständige Sicherheitsverletzungen. Inakzeptable Ausfallzeiten. Endemische Überausgaben. Verzögerungen bei wichtigen Serviceinnovationen, die die Kosten senken und das Erlebnis der Bürger verbessern würden.

Das Beste aus der Technik trifft sich im Mai auf der VivaTech

Viva Technologie • 10. April 2024

Als wahrer Treffpunkt für Wirtschaft und Innovation verspricht die VivaTech einmal mehr zu zeigen, warum sie zu einem unverzichtbaren Termin im internationalen Geschäftskalender geworden ist. Mit seiner wachsenden globalen Reichweite und dem Schwerpunkt auf entscheidenden Themen wie KI, nachhaltige Technologie und Mobilität ist VivaTech die erste Adresse für die Entschlüsselung aufkommender Trends und die Bewertung ihrer wirtschaftlichen Auswirkungen.

Warum OEMs die digitale Transformation vorantreiben müssen

James Smith und Chris Hanson • 04. April 2024

James Smith, Head of Client Services, und Chris Hanson, Head of Data bei One Nexus, erklären, warum es für OEMs von entscheidender Bedeutung ist, ihre Händlernetzwerke mit Informationen auszustatten, um neue Einnahmequellen zu erschließen und gleichzeitig die Kundenbeziehungen zu stärken, die zur Aufrechterhaltung der Loyalität erforderlich sind sich schnell verändernder Markt.