IT Security Januar / Februar 2024
Effiziente Cybersicherheit – Ökosysteme aus Menschen, Expertise, Services und Technologie Im Visier der Cyberkriminellen – Effektive Abwehr durch sichere Authentifizierung Von wegen Drahtseilakt! So gelingt Unternehmen der sichere Einsatz von KI-Lösungen Fein-granulare Autorisierung – Warum der Hype?
Effiziente Cybersicherheit – Ökosysteme aus Menschen, Expertise, Services und Technologie
Im Visier der Cyberkriminellen – Effektive Abwehr durch sichere Authentifizierung
Von wegen Drahtseilakt! So gelingt Unternehmen der sichere Einsatz von KI-Lösungen
Fein-granulare Autorisierung – Warum der Hype?
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>IT</strong> SECUR<strong>IT</strong>Y | 33<br />
Ulrich Parthier: Was sind Ihrer Ansicht<br />
nach die Ursachen?<br />
Ralf Kempf: Dafür gibt es zwei Gründe.<br />
Zum einen gibt es in der <strong>Security</strong>-<br />
Welt immer wieder neue Begriffe, neue<br />
Technologien, die stets mit der trügerischen<br />
Hoffnung verbunden sind, damit<br />
würde ad hoc alles besser. Aber letztlich,<br />
wenn man dies so lange verfolgt<br />
wie ich, muss man feststellen, dass jede<br />
Umsetzung viel zu lange dauert. Das<br />
ist nachvollziehbar, aber gleichzeitig<br />
auch der zweite Grund: Es mangelt an<br />
Ressourcen, an Wissen und an Budgets.<br />
So sind es noch immer die alten Bekannten<br />
unter den Risiken, und nach<br />
wie vor liegen die Unternehmen Monate<br />
oder Jahre hinter den aktuellen<br />
Bedrohungs-Szenarien zurück. Wir reden<br />
nach wie vor über Datendiebstahl<br />
und Erpressung. Das ist keineswegs<br />
neu und nicht nur einigen Kreis- und<br />
Gemeindeverwaltungen in Deutschland<br />
passiert. Es waren sehr namhafte<br />
Unternehmen dabei. Und jetzt hat sich<br />
ein neues großes Problem manifestiert,<br />
der Super-GAU, als Microsoft kürzlich<br />
zugeben musste, dass ein Generalschlüssel<br />
für die Azure-Cloud gestohlen<br />
wurde.<br />
Ulrich Parthier: Warum war gerade<br />
dies so eklatant?<br />
Ralf Kempf: Man kann sich das so vorstellen:<br />
Die ganze Welt ist ein Gebäude<br />
mit Eigentumswohnungen. Nun hat<br />
irgendjemand den Generalschlüssel für<br />
alle Wohnungen der Welt, kann jede<br />
jederzeit betreten und dort anrichten,<br />
was er will. Und Sie als Eigentümer<br />
werden es nicht einmal merken. Rausgekommen<br />
ist dieser Fall übrigens, weil<br />
einige öffentliche Stellen merkwürdige<br />
Zugriffe in den Logs bemerkt und gemeldet<br />
haben. Und dann wurde seitens<br />
Microsoft kleinlaut zugegeben, man<br />
habe ein Problem. So wird die vermeintlich<br />
paranoide Denkweise von uns<br />
Sicherheitsexperten durch völlig neue<br />
Dimensionen der Worst-Case-Szenarien<br />
bestätigt. Bislang gingt es meist um<br />
Schäden einzelner Unternehmen, und<br />
der GAU war, wenn das Unternehmen<br />
aus dem Markt scheidet.<br />
Gerade der Microsoft-Hack zeigt nun<br />
aber, dass blindes Vertrauen in die Infrastruktur<br />
und das Identity & Account<br />
Management der großen Hyperscaler<br />
sehr schnell zu viel schwerwiegenderen<br />
Sicherheitslücken führen können. Wenn<br />
solche Schlüssel in falsche Hände geraten,<br />
haben wir alle ein Problem.<br />
Nicht auszudenken, wenn jemand damit<br />
nicht nur Daten stiehlt, sondern Denial<br />
of Service betreibt und alles außer<br />
Betrieb nimmt.<br />
M<strong>IT</strong> KONSEQUENTER<br />
METHODIK, DEM RICHTI<br />
GEN PRAGMATISMUS<br />
UND GUTEN TOOLS<br />
KANN MAN THEORE<br />
TISCH SELBST GROSSE<br />
UNTERNEHMEN M<strong>IT</strong><br />
EIN, ZWEI RESSOURCEN<br />
ÜBERWACHEN.<br />
Ralf Kempf,<br />
Geschäftsführer, Pathlock Deutschland,<br />
www.pathlock.com/de<br />
Ulrich Parthier: Wie kann man diesen<br />
neuen Gefahren begegnen?<br />
Ralf Kempf: Hier lohnt sich ein Blick<br />
darauf, wie Unternehmen aufgestellt<br />
sind. Zunächst die Gretchenfrage:<br />
Gehe ich in die Cloud oder mache ich<br />
es On-Premises? Das Mantra lautet oft,<br />
die Cloud löse alle Probleme. Und es<br />
gibt fraglos sehr gute Szenarien für<br />
Cloud-Anwendungen. Aber auch hier<br />
kommt es darauf an, dass man es richtig<br />
umsetzt, vor allen Dingen mit einer<br />
ganzheitlichen Sichtweise auf das <strong>IT</strong>-<br />
System einer Unternehmung.<br />
Hinsichtlich der Applikationsebenen in<br />
einer klassischen Unternehmens-<strong>IT</strong> haben<br />
wir einmal die Infrastruktur, darunter<br />
das Netzwerk, auch Enterprise<br />
Clouds, Datenbanken, Betriebssysteme<br />
und Komponenten, auf denen meine<br />
Software läuft. Für diese technischen<br />
Komponenten gibt es bei vielen Unternehmen<br />
schon seit Jahren gute <strong>Security</strong><br />
Tools, mit denen man Patches, Konfiguration<br />
und Logs überwachen kann.<br />
www.it-daily.net | <strong>Januar</strong>/<strong>Februar</strong> <strong>2024</strong>