SafeNet: Was die heutigen zerstreuten Unternehmen für zukünftige Sicherheitskonzepte bedeuten
Auf der letzten SafeNet Partnerkonferenz in Orlando (USA) wurden viele unterschiedliche Themen diskutiert, darunter auch einige mit einer eher transformativen Natur. Jeder der Tsion Gonen sprechen gehört hat weiss, dass er nicht vor einer Transformation zurückweicht – wenn überhaupt weicht die Transformation eher vor ihm zurück.
Die Transformation hat aber bereits stattgefunden und deutlich eine Visitenkarte hinterlassen. Denken Sie nur einmal an all die Annahmen, die über Unternehmen gemacht wurden. Einige von diesen Annahmen stammen aus einer scheinbar ewig weit entfernten Vergangenheit, als es noch ein einziges großes Mainframe in einem Rechenzentrum gab, auf das nur mittels eines festverdrahteten Terminals vom Büro aus zugegriffen werden konnte. Ein Großteil der Zugangskontrolle bestand aus der Fähigkeit, das Gebäude betreten zu können und die richtige Hardware zu besitzen, um auf das System zuzugreifen. Leider muss man heute noch sagen, dass es immer noch einige sehr langlebige Systeme gibt, deren IT-Sicherheitsmodelle anscheinend immer noch auf diesen Annahmen beruhen.
In der heutigen Welt der Cloud, von BYOD und multi-kontextabhängigen Rollen haben sich die Authentifizierungs- und Zugriffskontrollmethoden gewandelt oder transformiert. Die Nutzer und die Unternehmen können dieselbe Software für unterschiedliche Zwecke vor allem in der Public Cloud nutzen. Speziell die heutigen mobilen Geräte fördern ein andere „weiße“ Cloud: Da man nicht mehr darauf aufpassen muss, von welchem Server die gewünschten Daten bereit gestellt werden, so achten die Server auch nicht mehr darauf, mit welchen spezifischen Endgeräten der Zugriff versucht wird. Beide Enden dieser eigentlich klassischen Transaktion verschwimmen zunehmend – und die traditionellen Perimetergrenzen von Unternehmen sind zu einem unschuldigen Zuschauer, der vielleicht einmal zwischendurch aufstampft, verkommen.
Vor allem aufgrund dieser Abstraktion der Unternehmen ist eine Unterscheidung von privaten und geschäftlichen Daten immer komplizierter geworden. Sie können heute schon oftmals nicht mehr eindeutig sagen, welche Daten von wem gespeichert wurden, wie sie gespeichert wurden, auf welchen Gerät sie erzeugt wurden, welche Applikation für die Datenerstellung genutzt wurde, um welche Uhrzeit die Daten erzeugt wurden, wo sich der Nutzer befand als sie/er die Daten erzeugt hat oder sogar um welche Datenart es sich genau handelt. Mittlerweile geht es nur noch darum, wie die Daten genutzt werden. Ein Unternehmen definiert sich nicht mehr über die Werte, die es besitzt, sondern war das Unternehmen mit den („digitalen“) Werten anstellt. Und die Unternehmen stellen überall auf der Welt eine ganze Menge mit ihren („digitalen“) Werten an.
Dies bedeutet aber nicht, dass die Unternehmen über diese Entwicklung nicht besorgt sind. Aus den Forschungsdaten von 451 Research lässt sich klar herauslesen, dass die IT-Sicherheit der meistgenannte Schmerzpunkt beim Cloud Computing ist. IT-Sicherheit wird doppelt so oft genannt wie die anderen Top Themen Datenschutz, Zugriff und Kontrolle, Revision und Compliance oder die Datenkontrolle. Auch die beiden Themen Datenverschlüsselung und Authentifizierung tauchen immer wieder in diesem Zusammenhang auf.
Wir müssen diese Probleme lösen. Vielleicht werden die Probleme aber in so einer enormen Geschwindigkeit immer schlimmer, dass wir eine rechtzeitige Problembekämpfung kaum noch erreichen können. Die Absicherung von Daten in verschiedenen Clouds ist nur eine von vielen aktuellen Problematiken. Wie sieht es denn mit dem „Internet der Dinge“ aus? Wir müssen die Verbindungen von und zu nahezu jedem Endpunkt absichern, authentifizieren und verschlüsseln – egal ob es sich hierbei um einen Kühlschrank oder eine Glühbirne oder ein Auto handelt.
Zwischen dem Internet der Dinge und der Cloud kann eine Kontrolle nur noch über die Applikationsebene mit den Daten als finale Grenze erreicht werden. Wir müssen unsere veralterten Annahmen endlich größtenteils aufgeben und neue Lehren schaffen, um mit der aktuellen Transformation Schritt halten zu können. Für alle IT-Sicherheitsexperten ist dadurch die Arbeit nicht leichter geworden – aber die Herausforderung dafür umso höher.
Quelle: SafeNet The Art of Data Protection Weblog – Autorin: Wendy Nather
Über SafeNet
SafeNet (www.safenet-inc.de), 1983 gegründet, ist einer der größten Anbieter der Welt im Bereich Informationssicherheit und sorgt zuverlässig für den Schutz sensibler Daten von führenden Unternehmen weltweit. Mit seinem datenorientierten Ansatz schützt SafeNet die wertvollsten Informationen über den gesamten Lebenszyklus hinweg – vom Datencenter bis zur Cloud. Mehr als 25.000 Kunden in Unternehmen und Regierungsbehörden vertrauen auf SafeNet beim Schutz und der Kontrolle des Zugangs zu sensiblen Daten, beim Risikomanagement, bei der Einhaltung gesetzlicher Vorschriften sowie bei der Sicherung von virtuellen und Cloud-Umgebungen.
