.svg)
Informationssicherheit fängt beim Menschen an. So oder ähnlich klingt das Mantra eines jeden IT-Sicherheitsbeauftragten, der seine Kollegen und Kolleginnen regelmäßig auf die Wichtigkeit der Einhaltung seiner Vorgaben hinweist. In diesem Zusammenhang bieten sich sogenannte „Security Awareness Trainings“ an. Doch greifen diese spätestens dann zu kurz, wenn sich die Anwendenden nicht mehr an das Gelernte erinnern.
Organisatorische und technische Maßnahmen
Um die IT-Sicherheit zu erhöhen, haben Unternehmen und Institutionen die Wahl zwischen sogenannten organisatorischen Maßnahmen und technischen Maßnahmen.
So kann man beispielsweise seine Mitarbeitenden dazu anhalten, die Firewall zu aktivieren und regelmäßig Updates zu machen, wenn sie auf ihren digitalen Arbeitsplatz zugreifen. Organisatorisch ist in diesem Fall alles im grünen Bereich. Die Mitarbeitenden unterschreiben eine Vereinbarung und rechtlich ist für das Unternehmen erst einmal alles in Ordnung – bis es aufgrund von einer Unachtsamkeit zu einem Sicherheitsvorfall kommt, der das Unternehmen finanziell empfindlich treffen kann. Ein klassisches Beispiel für ein Layer 81https://de.wikipedia.org/wiki/Layer_8-Problem.
So sinnvoll organisatorische Maßnahmen auch sind, für einen umfassenden Schutz vor Hackern & Co. sind sie nicht ausreichend.
Als Ergänzung zu organisatorischen Maßnahmen eignen sich technische Maßnahmen, um seine Daten und Ressourcen vor ungebetenen Gästen zu schützen. Allerdings gibt es nicht immer eine technische Möglichkeit bzw. ist eine passende technische Lösung nicht immer den jeweiligen Entscheidungsträgern bekannt – weshalb man ab und an wieder auf eine organisatorische Maßnahme zurückgreifen muss, um größeres Übel abzuwehren.
Contextual Security als starke technische Maßnahme
In einer Produktdemo lernte ich kürzlich, dass ein Unternehmen seine Mitarbeitenden mit einem Text darüber informiert, dass eine unternehmenskritische Anwendung nicht verwendet werden darf, wenn sich der Mitarbeitende nicht an einem bestimmten Ort befindet. Dieses Vorgehen erinnerte mich an das Baustellenschild „Betreten verboten“. Man soll nicht reingehen, allerdings wird man davon auch nicht abgehalten. Sicherheitsgewinn gleich null. Meine Erklärung unseres „Conditional Application Access“, also der Möglichkeit – zur Sitzungslaufzeit (!) – den Zugriff auf (unternehmenskritische) Anwendungen entziehen zu können, wenn sich der Kontext ändert, wurde zunächst nicht für möglich gehalten und dann in der Demo mit den folgenden Worten kommentiert: „Wow, das ist ja live.“
Ein anderes Praxisbeispiel, welches die „Power of deviceTRUST“ verdeutlicht, las ich kürzlich in einem LinkedIn-Thread2https://www.linkedin.com/posts/tobias-dames_zerotrust-kisecurity-informationssicherheit-activity-7079769878009671680-2kI0.
Dort wurde dokumentiert, wie ein Laptop ungesichert, also ohne die Aktivierung des Sperrbildschirms, in einem Zug stand und jeder „Hinz und Kunz“ diesen hätte übernehmen können – samt aller Anwendungen und Daten. Die Kommentare waren vielfältig und unterschiedlicher Natur. Fest steht, dass noch so sichere technische Lösungen wie beispielsweise VPN-Tunnel nichts nützen, wenn der User in seinem „Security Awareness Training“ nicht aufgepasst hat und vergisst, den Bildschirm vor Verlassen des Platzes zu sperren. Als technische (kontextbasierte) Möglichkeit hätte hier deviceTRUST weiterhelfen können. Während man die sogenannte „Session Idle Time“ mit unserer Lösung dynamisch, abhängig vom Standort einstellen kann, hätte man eine starke technische Maßnahme gehabt, um auch dem unvorsichtigsten Mitarbeitenden in punkto Sicherheit unter die Arme zu greifen.
Um es kurz zu fassen: technische Maßnahmen ergänzen organisatorische Maßnahmen und die „Contextual Security“ von deviceTRUST härtet herkömmliche technische Maßnahmen enorm. Über den folgenden Link finden sich einige Einsatzmöglichkeiten, welche Ihnen dabei helfen können, Ihre Sicherheit auf ein neues Level zu heben: https://devicetrust.com/de/benefits/use-cases/
- 1
- 2
