Zero Trust 2.0 – In 5 Schritten umgesetzt [Teil 4: Datensicherheit]

Autor
Reinhold Zurfluh
Veröffentlicht
26. März 2024

In einer Ära, in der die Digitalisierung unaufhaltsam fortschreitet und Daten täglich in gigantischen Mengen generiert, übertragen und gespeichert werden, steigt auch die Gefahr von Datenschutzverletzungen exponentiell. Unternehmen stehen vor der gewaltigen Herausforderung, den Vermögenswert zu schützen: Daten. Diese Notwendigkeit hat zur Entwicklung und Implementierung von neuen Sicherheitsstrategien wie Zero Trust geführt. Der vierte Teil unserer Blogserie beleuchtet das Thema Datensicherheit – die vierte Säule von Zero Trust 2.0.

In unserer Blogserie zeigen wir Ihnen konkrete Ansätze für die praktische Umsetzung von Zero Trust 2.0 anhand der fünf Säulen «Identity», «Devices», «Networks», «Applications & Workloads» und «Data». Haben Sie den letzten Teil verpasst? Lesen Sie hier unsere Tipps zur Netzwerk-Sicherheit.

Datensicherheit als Schutzschild Ihrer Kronjuwelen

Cyber Crime ist ein «Big Business» und so nehmen gezielte Angriffe weiter zu. Das liegt nicht zuletzt daran, dass Cyber-Angriffe und Angriffs-Werkzeuge «as a Service» angeboten werden. Der Angreifer selbst benötigt daher kaum Fachwissen, sondern bestellt teilweise automatisiert ablaufende Angriffe im Darknet. Der Schutz sensibler Daten ist deshalb von grösster Bedeutung – und am Ende des Tages auch das Ziel von Zero Trust! Letztendlich werden alle Massnahmen ergriffen, um die Daten zu schützen. Um in der Datensicherheit zu glänzen, sollten Unternehmen folgende Massnahmen umsetzen.

  1. Daten sowohl bei der Übertragung als auch bei der Speicherung verschlüsseln, um die Vertraulichkeit zu gewährleisten.
  2. Implementierung von Data Loss Prevention (DLP), die unbefugte Übertragung sensibler Daten überwachen und verhindern.
  3. Daten-Berechtigungen nach dem Least-Privilege-Prinzip vergeben.
  4. Konstante Klassifizierung und Data-Labeling von Daten, um Sicherheitsmassnahmen auf der Grundlage der Datensensibilität zu priorisieren.
Im digitalen Zeitalter sind Daten das Lebenselixier Ihres Unternehmens. Sie sind Ihr wichtigstes Kapital. Doch mit grossem Wert kommt auch grosse Verantwortung. Säule 4 von Zero Trust 2.0 (Data) – der Tresor, der die Kronjuwelen schützt. In diesem Abschnitt werden wir uns mit den wesentlichen Komponenten dieser Säule befassen und konkrete Massnahmen und Ansätze vorstellen, mit denen Sie Ihre Datensicherheit mit bestehenden Technologien verbessern können.

Datenverschlüsselung als Grundvoraussetzung von Zero Trust

Das Herzstück der Datensicherheit bei Zero Trust ist die Verschlüsselung. Nur der Einsatz von zuverlässigen Verschlüsselungsverfahren  kann die Vertraulichkeit Ihrer sensiblen Informationen gewährleisten.

Mit der Verschlüsselung werden Daten in ein unlesbares Format umgewandelt, das nur mit dem richtigen Verschlüsselungscode entschlüsselt werden kann. Um eine fortgeschrittene Stufe der Datensicherheit zu erreichen, sollten Unternehmen die Verschlüsselung von Daten sowohl bei der Übertragung als auch im Ruhezustand einsetzen. Dies bedeutet, dass die Daten bei der Übertragung über Netzwerke und bei der Speicherung auf Servern oder Geräten geschützt werden sollten!

In-Transit-Daten

Verschlüsselung spielt eine zentrale Rolle beim Schutz von Daten bei der Übertragung (engl. Data in Transit, auch Data in Motion oder Data in Flight) und Daten im Ruhezustand (engl. Data at Rest). Verschlüsselung bei der Übertragung schützt Informationen, falls diese abgehört oder abgefangen werden, während die Daten über Netzwerke übertragen werden. Beispiele aus dem Alltag sind das Abheben von Geld an einem Bankautomaten, das Aufgeben oder Nachverfolgen einer Bestellung bei Amazon, das Hochladen von Fotos von Ihrem Smartphone in Ihre private Cloud oder das Versenden einer E-Mail oder SMS.

At-Rest-Daten

Wenn Ihre Daten ihr Ziel erreicht haben, werden Sie zu Data at Rest. Das bedeutet, dass sie in einer Datenbank, einem Server, einem Cloud-Dienst oder einem anderen Gerät gespeichert werden. Diese Kategorie beinhaltet keine Informationen, die gerade verwendet werden – also z. B. über ein Netzwerk übertragen oder zur Ansicht oder Bearbeitung geöffnet werden –, was als Daten in Verwendung (engl. Data in Use) bezeichnet wird. Beispiele hierfür sind das Öffnen eines Word-Dokuments, um es zu bearbeiten, oder das Prüfen Ihrer kürzlich getätigten Überweisungen in Ihrer Mobile-Banking-App.

Wenn sichergestellt werden soll, dass Informationen ausschliesslich für befugte Nutzer zugänglich sind, ist Verschlüsselung-at-Rest oder -in-Transit unerlässlich. Verschlüsselung bietet... 

  • Vertraulichkeit, indem die Inhalte einer Nachricht verschlüsselt werden;
  • Authentifizierung, indem ihr Ursprung verifiziert wird;
  • Integrität, indem bewiesen wird, dass sie seit dem Versenden unverändert geblieben ist;
  • Non-Repudiation, indem der Sender nicht leugnen kann, dass er die Nachricht versendet hat.

Verhinderung von Datenverlusten (DLP) als Wächter

Data Loss Prevention (DLP) ist ein entscheidendes Werkzeug in einer fortschrittlichen Datensicherheitsstrategie. DLP sollte dabei nie isoliert betrachtet werden, sondern als Teil einer umfassenden Sicherheitsstrategie. Die Integration von DLP-Lösungen in andere Sicherheitssysteme wie IAM (Identity and Access Management) und EDR (Endpoint Detection and Response) verstärkt den Schutz und die Effektivität des Zero Trust-Modells.

DLP-Lösungen überwachen und verhindern dabei die unbefugte Übertragung sensibler Daten. Sie können Versuche erkennen und blockieren, sensible Informationen über verschiedene Kanäle wie E-Mail, Cloud-Speicher oder externe Laufwerke zu übertragen. Durch den Einsatz von DLP können Unternehmen ihre wichtigen Daten proaktiv vor versehentlichen oder böswilligen Lecks schützen.

So setzen Sie DLP in einem Zero Trust-Modell um

Der erste Schritt besteht darin, Daten basierend auf ihrer Sensibilität zu klassifizieren. Dies hilft dabei, Richtlinien für den Umgang mit verschiedenen Datentypen zu erstellen und zu bestimmen, welche Daten durch DLP geschützt werden sollten. Dokumentieren Sie DLP-Richtlinien, wie verschiedene Datentypen gehandhabt werden sollen. Diese Richtlinien können Massnahmen wie Verschlüsselung (siehe vorhergehenden Abschnitt), Zugriffsbeschränkungen oder die Blockierung der Datenübertragung umfassen.

DLP beinhaltet die permanente Überwachung des Datenverkehrs und der Nutzeraktivitäten, um ungewöhnliche oder nicht autorisierte Zugriffe zu identifizieren. Dies beinhaltet die Analyse von Verhaltensmustern, um potenzielle Bedrohungen frühzeitig zu erkennen. Nicht zuletzt ist aber auch die Sensibilisierung und Schulung der Mitarbeitenden in Bezug auf Datensicherheitspraktiken entscheidend, um sicherzustellen, dass die DLP-Richtlinien effektiv umgesetzt werden. Ihre Mitarbeitenden müssen verstehen, wie ihr eigenes Verhalten die Datensicherheit beeinflusst.

Sie sehen: Die Implementierung von DLP innerhalb eines Zero Trust-Modells erfordert eine durchdachte Planung und kontinuierliche Anpassung, um sicherzustellen, dass die Sicherheitsmassnahmen mit den sich ändernden Bedrohungslandschaften und Geschäftsanforderungen Schritt halten. Durch die Kombination von strengen Zugriffskontrollen mit effektiven DLP-Strategien können Organisationen ein hohes Mass an Datensicherheit erreichen, während sie gleichzeitig die Flexibilität und Effizienz ihrer IT-Systeme bewahren.

Datenklassifizierung für gezielten Schutz

Nicht alle Daten sind gleich und Ihre Datensicherheitsstrategien muss dieser Tatsache Rechnung tragen. Bei der Datenklassifizierung werden Daten auf der Grundlage ihrer Sensibilität und Bedeutung kategorisiert. Durch die Klassifizierung von Daten können Unternehmen Prioritäten bei den Sicherheitsmassnahmen setzen.

Hochsensible Daten können strenge Zugriffskontrollen und Verschlüsselung erfordern, während für weniger wichtige Daten weniger strenge Schutzmassnahmen gelten können. Die Klassifikation ist wichtig, um festzulegen, welche Daten beispielsweise in die Cloud dürfen und in welcher Form diese geschützt werden müssen. Dabei sind nicht nur die Vertraulichkeit, sondern auch die Verfügbarkeit sowie allenfalls Integritäts-Anforderungen zu spezifizieren. Denken Sie dabei auch an den Daten-Lebenszyklus, denn von der Entstehung bis zur Entsorgung der Daten liegt die Verantwortung für die Sicherheit bei Ihnen!

Datensicherheit in der Cloud-Ära

Cloud-native Sicherheitslösungen sowie die Verschlüsslung, Identitäts- und Zugriffsmanagement für Cloud-Ressourcen und das Monitoring sind wesentliche Bestandteile einer fortschrittlichen Datensicherheitsstrategie. Dieser Ansatz gewährleistet, dass die Daten unabhängig von ihrem Standort geschützt bleiben. Darüber hinaus müssen Sie sicherstellen, dass die Cloud-Dienste die relevanten Datenschutz- und Compliance-Anforderungen erfüllen, wie z.B. die revidierte Schweizer DSG, DSGVO in Europa.

Mit der Einführung von Cloud-Diensten befinden sich die Daten nun ausserhalb der traditionellen Netzwerkgrenzen. Um Daten effektiv zu schützen, müssen Unternehmen ihre Datensicherheitspraktiken auf die Cloud ausweiten. Die Implementierung eines Zero Trust-Modells in Cloud-Umgebungen erfordert daher eine durchdachte Strategie, die sowohl die technologischen als auch die organisatorischen Aspekte umfasst. Dabei gilt es die Sicherheitsmassnahmen in der Cloud nahtlos in die gesamte Sicherheitsarchitektur Ihres Unternehmens zu integrieren und natürlich müssen diese auch das Zero Trust-Prinzip unterstützen. Hierbei ist es entscheidend, mit Cloud-Anbietern zusammenzuarbeiten, die robuste Sicherheitskontrollen bieten.

Zero Trust – der fünfte und abschliessende Schritt heisst «Analytik & Automatisierung»…

Zusammenfassend lässt sich sagen, dass die vierte Säule von Zero Trust 2.0, die Datensicherheit, das wichtigste Gut Ihres Unternehmens schützt: Ihre Daten. Durch die Implementierung von Datenverschlüsselung bei der Übertragung und der Speicherung, die Nutzung von Lösungen zur Verhinderung von Datenverlusten und dem Einsatz von Datenklassifizierungen für einen fundierten Schutz sowie die Ausweitung der Datensicherheit auf die Cloud können Unternehmen ihre Kronjuwelen zuverlässig schützen. Im abschliessenden Teil unserer Zero-Trust-Blogserie werden wir uns mit der Analytik und Automatisierung befassen und aufzeigen, weshalb dies so entscheidend ist.

Bleiben Sie also dran.

Erfahren Sie, wie es um Ihre Zero Trust Readiness steht

Zur Identifizierung der Risiken, allfälliger Schwachstellen in der aktuellen Zero-Trust-Strategie, respektive deren Umsetzung, ist das InfoGuard «Zero Trust Readiness Assessment» genau der richtige Startpunkt! Dabei werden wir Ihnen u.a. aufzeigen, welche Good Practices in Ihrer Zero-Trust-Strategie noch nicht ausreichend definiert oder umgesetzt wurden. Abweichungen werden hinsichtlich ihrer Risikokritikalität bewertet. Auf dieser Grundlage werden priorisierte Handlungsempfehlungen erarbeitet und in Form eines Lösungswegs aufgezeigt.

Interessiert? Dann freuen wir uns auf Ihre Kontaktaufnahme:

Zero Trust Readiness Assessment

Möchten Sie Ihren Einblick vertiefen?

Unsere Blogserie «Zero Trust 2.0 - In 5 Schritten umgesetzt» eröffnet Ihnen eine vollständige 360°-Perspektive:

 

Wir wünschen Ihnen eine inspirierende Lektüre.

 

Artikel teilen