Zero Trust

Thales: Europäische Datensicherheit erfordert einen Zero Trust-Ansatz

20.07.2020, München, Thales | Autor: Herbert Wieler

Von Chris Harris, EMEA Sales Engineering Director bei Thales

Unternehmen entwickeln sich weiter und transformieren sich digital und setzen Cloud-Umgebungen und andere neue Technologien ein, um auf die Art und Weise zu reagieren, wie Menschen mit ihnen handeln. Disruptive Start-ups entstehen auch in Cloud-basierten Umgebungen. In den vergangenen Monaten haben die massive Arbeit von zu Hause und der Fernzugriff auf Unternehmensdaten aufgrund der COVID-19-Krise einmal mehr bewiesen, dass die Mauern des traditionellen Umkreises verschwunden sind. Kürzlich habe ich die wichtigsten Ergebnisse unserer Thales Data Threat Report 2020-Europäische Ausgabe während der SC Digital Congress im Cloud- und Netzwerksicherheitsstream, in dem diese Themen behandelt wurden.

Erhöhte Datenrisiken im Widerspruch zu erhöhtem Sicherheitsgefühl

Nach Angaben der Thales Data Threat Report 2020-Europäische Ausgabe , 37 % der europäischen Organisationen geben an, dass sie entweder aggressiv die Märkte stören, an denen sie teilnehmen, oder digitale Fähigkeiten einbetten, die eine größere Agilität im Unternehmen ermöglichen. Die digitale Transformation kann zwar einen enormen Mehrwert bieten, aber auch die Datensicherheit wird komplexer. Unternehmen sind zunehmend abhängig und nehmen die Menge der in der Cloud gespeicherten Daten auf. Daher müssen sich Sicherheitsteams auf Aspekte konzentrieren, die über herkömmliche Netzwerkperimeter hinausgehen. Die Angriffslandschaft hat sich drastisch verändert, und damit sollten sich die Sicherheitskontrollen weiterentwickeln.

Die europäischen Organisationen scheinen jedoch die Anwendung wirksamer Sicherheitskontrollen nicht anzuwenden: 48 % wurden in der Vergangenheit verletzt, und 28 % der Organisationen meldeten im letzten Jahr eine Datenschutzverletzung. Damit verbunden, haben 24 % der Befragten eine Compliance-Prüfung nicht bestanden. Diese Fehler können eine Verletzung sein, die darauf wartet, passieren zu können.

Digital bestimmte Organisationen, die die strategischen, strukturellen, technologischen und finanziellen Entscheidungen treffen, die sie in den nächsten Jahren digital transformieren werden, können ebenfalls eine größere Bedrohungslage für Daten haben. Trotz der neuen Herausforderungen für die Datensicherheit geben nur 38 % der europäischen Organisationen an, dass sie eine Erhöhung der Ausgaben für Sicherheitsbudgets planen. Diese Entscheidung steht im Widerspruch zu den Vertrauens- und Sicherheitssäulen der EU-Strategie für einen digitalen Binnenmarkt.

Diese Statistiken sind beunruhigend, da fast die Hälfte (46%) der Daten in der Cloud gespeichert werden und 43% dieser Daten sind sensibel. Da sensiblere Daten in Cloud-Umgebungen gespeichert werden, erhöhen sich die Risiken für die Datensicherheit. Doch trotz dieser signifikanten sensiblen Datenexposition sind die Raten der Datenverschlüsselung und Tokenisierung niedrig. Obwohl europäische Unternehmen sensible Daten in der Cloud speichern und wissen, wo sich diese Daten befinden, sind diese Daten nicht geschützt. Tatsächlich geben 100 % der europäischen Befragten an, dass zumindest ein Teil ihrer sensiblen Daten in der Cloud nicht verschlüsselt ist. Nur 54 % der in Cloud-Umgebungen gespeicherten sensiblen Daten sind durch Verschlüsselung geschützt und weniger als die Hälfte (44 %) ist durch Tokenisierung geschützt.

Der Fokus auf den entsprechenden Datenschutz ist sehr wichtig, zumal Unternehmen in einer Multi-Cloud-Welt agieren. Europäische Unternehmen verwenden mehrere IaaS- und PaaS-Umgebungen sowie Hunderte von SaaS-Anwendungen. 80 % der europäischen Organisationen verwenden mehr als einen IaaS-Anbieter, 81 % haben mehr als einen PaaS-Anbieter und 29 % mehr als 50 SaaS-Anwendungen zu verwalten. Wenn Sie Ihre Daten in die Cloud verschieben, ist die Organisation für diese Daten verantwortlich, und das wird von allen Cloud-Anbietern deutlich.

Obwohl Verschlüsselung die Säule der Sicherung von Daten in der Cloud ist, stellt Quantencomputer eine neue und zunehmende Herausforderung dar, die das Potenzial hat, die Verschlüsselungsalgorithmen, die heute Handel und Identität untermauern, stark zu schwächen. Die Auswirkungen des Quantencomputers zeichnen sich ab, da 69 % der europäischen Organisationen der Endesfolge für ihre kryptografischen Aktivitäten in den nächsten fünf Jahren sehen. Trotz dieser Risiken scheinen europäische Organisationen eine falsche Vorstellung von ihrem Grad der Anfälligkeit zu haben. 68 Prozent der Unternehmen fühlten sich 2019 verwundbar, gegenüber 86 Prozent im Jahr 2018, obwohl die Sicherheitsrisiken zunehmen. Dieses falsche Gefühl eines besseren Schutzes kann auf erhöhte Sicherheitsinvestitionen in den Vorjahren oder die Reife des Sicherheitsprogramms zurückzuführen sein, die unter ständigem regulatorischen Druck erreicht wurde.

Was können Unternehmen tun, um Datenrisiken und -herausforderungen zu mindern?

Die oberste Überlegung für jede Organisation, ob in Europa oder anderswo, ist die Frage, wie die Widerstandsfähigkeit erhalten werden kann. Während Cyber-Vorfälle und -Verstöße unvermeidlich erscheinen, ist es von entscheidender Bedeutung, reagieren und Operationen wiederherstellen zu können, aber die Auswirkungen solcher Ereignisse zu minimieren, ist von entscheidender Bedeutung. Mit dem Fokus auf Cloud-Umgebungen beginnt alles mit dem Verständnis des Modells der geteilten Verantwortung – wenn eine Datenschutzverletzung vorliegt, ist es die Organisation, die die Geldbuße zahlt, nicht der Anbieter.

Im Folgenden finden Sie einige Empfehlungen, die Ihnen helfen können, die Risiken und Herausforderungen für die Datensicherheit zu verringern, die sich aus Cloud- und digitalen Transformationsstrategien erbringen:

• Verlassen Sie sich nicht auf die nativen Cloud-Sicherheitslösungen. Stattdessen sollten Sie in moderne, hybride und multi cloudbasierte Datensicherheitstools investieren, die das Modell der gemeinsamen Verantwortung funktionieren lassen.
• Sichtbarkeit ist entscheidend. Eine stärkere Betonung der Ermittlung sensibler Daten in diesen Umgebungen sowie in bestehenden Umgebungen stärkt die Datensicherheitsposition eines Unternehmens, da es der Organisation ermöglicht, zu wissen, wo sich sensible Daten befinden und wie sie darauf zugreifen können.
• Wenden Sie sich an einen risikobasierten Ansatz, der auf der Datenklassifizierung basiert. Die automatisierte Datenklassifizierung ermöglicht es Organisationen, Richtlinien anzuwenden, die dem Risiko und dem Wert von Daten angemessen sind, und trägt zur Vereinfachung der Sicherheitsarchitektur und -verfahren bei.
• Wenden Sie geeignete Verschlüsselungs- und Zugriffsrichtlinien auf die vertraulichen Daten an. Dieser Punkt ist heute mehr denn je von Bedeutung, da die Arbeit von der Heimmigration zunehmend den Zugriff auf Unternehmensdaten aus der Ferne erzwungen hat. Da Unternehmen ihre Verschlüsselung zum Schutz sensibler Daten verstärkt verwenden, sollten sie die Schlüsselverwaltung zentralisieren, um den Betrieb in ansonsten komplexen Umgebungen zu vereinfachen. Schließlich wird ein adaptives Identitäts- und Zugriffsverwaltungsprogramm sicherstellen, dass nur autorisierte Personen und Geräte auf vertrauliche Unternehmensdaten zugreifen.