Daten unabhängig von der Infrastruktur schützen

Die Cyber-Sicherheitsbedrohung ist in den letzten Jahren so stark gestiegen, dass die meisten Unternehmen weltweit heute akzeptieren, dass eine Datenschutzverletzung fast unvermeidlich ist. Doch was bedeutet das für die Datenschutz- und Compliance-Beauftragten sowie Führungskräfte, die nun persönlich für den Schutz sensibler Unternehmens-, Kunden- und Partnerdaten haften?

Investitionen in die Sicherheitsinfrastruktur reichen nicht aus, um Compliance beim Schutz von Daten nachzuweisen. Softwaredefinierte Wide Area Networks (SD WAN), Firewalls und Virtual Private Networks (VPN) spielen eine Rolle innerhalb einer allgemeinen Sicherheitslage, aber sie sind Infrastrukturlösungen und schützen keine Daten. Was passiert, wenn die Daten außerhalb des Netzwerks in die Cloud oder in das Netzwerk eines Drittanbieters gelangen? Wie werden die Geschäftsdaten auf der LAN-Seite geschützt, wenn eine SD-WAN-Schwachstelle oder Fehlkonfiguration ausgenutzt wird? Welche zusätzliche Schwachstelle entsteht, wenn man sich auf dasselbe Netzwerksicherheitsteam verlässt, um sowohl Richtlinien festzulegen als auch die Umgebung zu verwalten, was in direktem Widerspruch zu den Zero-Trust-Richtlinien steht?

Der einzige Weg, um sicherzustellen, dass das Unternehmen geschützt und konform ist, besteht darin, den Datenschutz von der zugrunde liegenden Infrastruktur zu abstrahieren. Simon Pamplin, CTO, Certes Networks, besteht darauf, dass es jetzt wichtig ist, den Fokus zu verlagern, sich nicht mehr auf die Infrastruktursicherheit zu verlassen und Layer-4-Verschlüsselung zu verwenden, um sensible Geschäftsdaten unabhängig vom Standort proaktiv zu schützen.

Eskalierendes Risiko anerkennen

Die Einstellung zur Datensicherheit muss sich schnell ändern, da das heutige infrastrukturgesteuerte Modell zu viele Risiken birgt. Laut der IBM Data Breach-Umfrage 2022 bestätigen 83 % der Unternehmen, dass sie mit einer Sicherheitsverletzung rechnen – und viele akzeptieren, dass Sicherheitsverletzungen mehr als einmal auftreten werden. Angesichts dieser Wahrnehmung muss die Frage gestellt werden: Warum sind Unternehmen immer noch auf eine Sicherheitshaltung angewiesen, die sich darauf konzentriert, die Infrastruktur abzuriegeln? 

Klar geht das nicht. Während nicht jedes Unternehmen die katastrophalen Auswirkungen der vier Jahre andauernden Datenschutzverletzung erleben wird, von der letztendlich 300 Millionen Gäste von Marriott Hotels betroffen waren, verbringen Angreifer routinemäßig Monate in Unternehmen, um nach Daten zu suchen. Im Jahr 2022 dauerte es durchschnittlich 277 Tage – etwa neun Monate –, um eine Datenschutzverletzung zu identifizieren und einzudämmen. Während dieser Zeit haben Angreifer Zugriff auf Unternehmensdaten; Sie haben die Zeit, die wertvollsten Informationen zu erforschen und zu identifizieren. Und die Möglichkeit, diese Daten zu kopieren und/oder zu löschen – je nach Angriffsziel.

Die Kosten sind enorm: Die durchschnittlichen Kosten einer Datenschutzverletzung in den USA betragen jetzt 9.44 Millionen US-Dollar (4.35 US-Dollar sind die durchschnittlichen Kosten weltweit). Von behördlichen Bußgeldern – die weltweit immer strenger werden – bis hin zu den Auswirkungen auf den Aktienwert, das Kundenvertrauen und sogar Geschäftspartnerschaften – die langfristigen Auswirkungen einer Datenschutzverletzung sind potenziell verheerend.

Falsches Vertrauen in die Infrastruktur

Dennoch verfügen diese betroffenen Unternehmen über eine angeblich robuste Sicherheitslage. Sie verfügen über sehr erfahrene Sicherheitsteams und umfangreiche Investitionen in die Infrastruktur. Aber sie haben sich dem lang gehegten Mythos der Sicherheitsbranche verschrieben, dass die Sperrung der Infrastruktur mithilfe von VPNs, SD-WANs und Firewalls die Daten eines Unternehmens schützt. 

Wie ein Verstoß nach dem anderen bestätigt hat, bietet das Vertrauen auf die Infrastruktursicherheit nicht das Maß an Kontrolle, das zum Schutz von Daten vor Angreifern erforderlich ist. Für die überwiegende Mehrheit der Unternehmen sind Daten selten auf die Unternehmensnetzwerkumgebung beschränkt. Es befindet sich in der Cloud, auf dem Laptop eines Benutzers oder im Netzwerk eines Lieferanten. Diese Perimeter können nicht kontrolliert werden, insbesondere für Unternehmen, die Teil der Lieferkette und von Drittanbieternetzwerken sind. Wie schützt Anbieter A Drittanbieter B, wenn das Unternehmen keine Kontrolle über sein Netzwerk hat? Mit herkömmlicher, infrastrukturabhängiger Sicherheit ist dies nicht möglich. 

Darüber hinaus bietet ein SD-WAN zwar eine sicherere Methode zum Senden von Daten über das Internet, bietet jedoch nur die Kontrolle vom Ausgangspunkt des Netzwerks bis zum Endziel. Es bietet keine Kontrolle darüber, was auf der LAN-Seite einer Organisation passiert. Sie kann die Weitergabe von Daten an eine andere Stelle oder Person nicht verbieten. Außerdem wird natürlich akzeptiert, dass eine SD-WAN-Fehlkonfiguration das Risiko eines Verstoßes erhöhen kann, was bedeutet, dass die Daten offengelegt werden – wie die öffentlichen CVEs (Common Vulnerabilities and Exposures) zeigen, die auf den Websites der meisten SD-WAN-Anbieter eingesehen werden können. Und während SD-WANs, VPNs und Firewalls IPSEC als Verschlüsselungsprotokoll verwenden, ist ihr Verschlüsselungsansatz fehlerhaft: Die Verschlüsselungsschlüssel und die Verwaltung werden von derselben Gruppe gehandhabt, was in direktem Widerspruch zu den akzeptierten Zero-Trust-Standards der „Aufgabentrennung“ steht.

Schützen Sie die Daten

Es ist daher unerlässlich, einen anderen Ansatz zu wählen und sich auf den Schutz der Daten zu konzentrieren. Indem die Sicherheit um die Daten gelegt wird, kann ein Unternehmen dieses wichtige Gut unabhängig von der Infrastruktur schützen. Die richtlinienbasierte Verschlüsselung von Layer 4 stellt sicher, dass die Datennutzlast während ihrer gesamten Reise geschützt ist – unabhängig davon, ob sie innerhalb des Unternehmens oder von einem Drittanbieter generiert wurde. 

Wenn sie ein falsch konfiguriertes SD-WAN überqueren, sind die Daten dennoch geschützt: Sie sind verschlüsselt und somit für jeden Hacker wertlos. Wie lange ein Angriff auch andauern mag, wie lange eine Einzelperson oder Gruppe im Unternehmen auf der Suche nach Daten für einen Ransomware-Angriff zelten kann, wenn die sensiblen Daten verschlüsselt sind, gibt es nichts, womit man arbeiten könnte. 

Die Tatsache, dass nur die Nutzlastdaten verschlüsselt werden, während Header-Daten unverschlüsselt bleiben, bedeutet eine minimale Unterbrechung von Netzwerkdiensten oder -anwendungen und erleichtert die Fehlersuche in einem verschlüsselten Netzwerk.

Dieser Mentalitätswandel schützt nicht nur die Daten und standardmäßig das Geschäft, sondern auch das für Sicherheit und Datenschutz-Compliance verantwortliche – ja sogar persönlich haftende – Führungsteam. Anstatt die Last des Datenschutzes den Netzwerksicherheitsteams aufzubürden, verwirklicht dieser Ansatz das wahre Ziel von Zero Trust: die Trennung der Verantwortung für die Richtlinieneinstellung von der Systemadministration. Die Sicherheitslage wird aus geschäftlicher Sicht definiert und nicht aus Sicht der Netzwerksicherheit und Infrastruktur – und das ist eine wesentliche und längst überfällige Änderung der Denkweise.

Fazit

Diese Änderung der Denkweise wird kritisch – sowohl aus geschäftlicher als auch aus regulatorischer Sicht. In den letzten Jahren haben Aufsichtsbehörden weltweit ihren Fokus verstärkt auf den Datenschutz gelegt. Von Strafgeldern, einschließlich des Höchstbetrags von 20 Millionen Euro (oder 25 % des weltweiten Umsatzes, je nachdem, welcher Wert höher ist) pro Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union bis hin zum Risiko einer Inhaftierung, der zunehmenden Regulierung in ganz China und Der Nahe Osten verstärkt die weltweite klare Erkenntnis, dass Datenverluste erhebliche Kosten für Unternehmen verursachen. 

Bis vor Kurzem machten die Regulierungsbehörden jedoch keine Vorschriften über die Art und Weise, wie diese Daten gesichert werden – ein Ansatz, der die Fortführung des Sicherheitsmodells der „Sperrung der Infrastruktur“ ermöglichte. Diese Einstellung verändert sich. In Nordamerika verlangen neue Gesetze eine Verschlüsselung zwischen den Befehls- und Kontrollzentren der Versorgungsunternehmen, um die nationale Infrastruktur zu schützen. Dieser Ansatz wird sich weiterentwickeln, da Regulierungsbehörden und Unternehmen erkennen, dass die einzige Möglichkeit, Daten über zunehmend verteilte Infrastrukturen, vom SD-WAN bis zur Cloud, zu schützen, darin besteht, sie zu verschlüsseln – und zwar auf eine Weise, die die Leistungsfähigkeit der Daten nicht beeinträchtigt Geschäft zu funktionieren.

Es ist jetzt wichtig, dass Unternehmen die Grenzen des Vertrauens auf SD-WANs, VPNs und Firewalls erkennen. Die Abstrahierung des Datenschutzes von der zugrunde liegenden Infrastruktur ist die einzige Möglichkeit, sicherzustellen, dass das Unternehmen geschützt und konform ist.

Simon Pamplin

CTO, Certes Networks

Ab Initio arbeitet mit der BT Group zusammen, um Big Data bereitzustellen

Lukas Konrad • 24. Oktober 2022

KI wird zu einem immer wichtigeren Element der digitalen Transformation vieler Unternehmen. Neben der Einführung neuer Möglichkeiten stellt dies auch eine Reihe von Herausforderungen für IT-Teams und die sie unterstützenden Datenteams dar. Ab Initio hat eine Partnerschaft mit der BT Group angekündigt, um seine Big-Data-Management-Lösungen auf BTs internem...

Die Metaverse verändert den Arbeitsplatz

Lukas Konrad • 28. Februar 2022

Wir betrachten die verschiedenen Möglichkeiten, wie das Metaverse den Arbeitsplatz und die Arbeitsweise von Unternehmen verändern wird, mit Kommentaren von Phil Perry, Head of UK & Ireland bei Zoom, und James Morris-Manuel, EMEA MD bei Matterport.  

Metaverse: Die Zukunft ist da!

Erin Laurenson • 24. Februar 2022

Wir haben einige Meinungen von Experten der Technologiebranche zum Metaverse eingeholt, darunter Lenovo, Alcatel-Lucent Enterprise, Plumm und Investment Mastery.