Zero Trust und Digitale Souveränität - Warum die Ritterburg keine Lösung ist | Folge 4

Shownotes

Wie schlimm steht es um die Digitalisierung in Deutschland? Die letzten zwei Corona-Jahre haben Defizite schonungslos aufgedeckt. Mit der neuen Bundesregierung besteht die Hoffnung, dass insbesondere IT-Sicherheit stärker auf die politische Agenda gelangt. Die Pandemie hat aber auch die Arbeitswelt für viele Unternehmen und deren Mitarbeiter verändert. Homeoffice ist kein futuristisches Konzept mehr, sondern Realität. Für den Schutz von Organisationen wird von vielen Experten aus diesem Grund ein Modell ins Spiel gebracht, dass aus den Anfängen des Internets stammt: Zero Trust. Wie lässt sich das Umsetzen? Kriegen wir so die Digitalisierung auf staatlicher und unternehmerischer Ebene in den Griff? Christian Lueg spricht hierzu mit Thorsten Urbanski, Leiter der TeleTrust-Arbeitsgruppe "IT-Security made in EU", und Michael Schröder, Security Business Strategy Manager DACH bei ESET.

Die Gäste Michael Schröder ist als Technologieexperte und Datenschutzbeauftragter für die strategische Ausrichtung von ESET Produkten und Services in Deutschland, Österreich und der Schweiz zuständig. Michael ist seit mehr als 25 in der IT-Welt unterwegs und kennt die Branche aus verschiedenen Blickwinkeln. Neben seiner umfassenden Expertise im Bereich Datenschutz und -sicherheit verfügt er über ein vertieftes Wissen rund um Authentifizierungslösungen, Verschlüsselung, Cloud-Sandboxing, Endpoint Detection and Response und Threat-Intelligence Services. Thorsten Urbanski verfügt über mehr als 20 Jahre Berufserfahrung in der IT-Industrie und speziell in der IT-Sicherheit. Er leitet er unter anderem die TeleTrusT-Arbeitsgruppe „IT-Security made in EU “ und war langjähriges Mitglied des Experten-Panels „Strategische Plattform IKT/ Horizon 2020“ des Bundesministeriums für Bildung und Forschung.

Was ist digitale Souveränität und das Problem bei dem Thema? Home-Schooling, kontaktloses Bezahlen, auch die Digitalisierung in Unternehmen wird immer wichtiger. Die digitale Souveränität hat durch die Corona-Pandemie enorm an Bedeutung gewonnen.
Digitale Souveränität gerade in Deutschland und Europa ist eine enorme Herausforderung. Aber was steckt hinter diesem sperrigen Wort? Souveränität bedeutet zunächst die Selbstbestimmung über etwas zu behalten und somit auch die Spielregeln bestimmen zu können. Hierbei gibt es unterschiedliche Dimensionen, wie zum Beispiel die staatliche, die unternehmerische und die private. Bei der staatlichen Dimension sind damit Organisationen gemeint wie der Bundestag oder die Kommunen und diese selbständig funktionieren können. Bei Unternehmen sieht es ähnlich aus, hier geht es auch um Selbstbestimmung und Dinge durchsetzen können wie Patente. Bei der digitalen Souveränität spielen natürlich Daten eine zentrale Rolle. Was passiert mit diesen? Bürgerinnen und Bürger sollen Online-Dienste sicher nutzen können. Das ist eine Herausforderung für die Zukunft und es müssen hierbei Spielregeln existieren die im Sinne des Nutzers sind.

Es geht aber auch darum die Möglichkeiten des digitalen Fortschritts nicht zu verlangsamen. Gerade Chips, die später in Autos, Computern oder Industrieanlagen verbaut werden, müssen von außerhalb der EU importiert werden. Auch das ist bei der digitalen Souveränität von enormer Bedeutung und muss sichergestellt werden. Vertrauenswürdige IT-Sicherheit ist hier ein wichtiger Punkt. In der TeleTrust-Arbeitgruppe "IT Security made in EU" ist das ein zentrales Thema. Das Ziel ist es einen Rahmen zu schaffen, um personenbezogene und unternehmerische Daten zu schützen.

Mehr Infos zu Digitaler Souveränität gibt es im ESET Corporate Blog.

IT-Sicherheit und Zero Trust IT-Sicherheit ist, wie schon gehört, ein wichtiges Element, um digitale Souveränität zu gewährleisten. Hierzu zählt auch die Arbeitswelt. Durch die Corona-Pandemie hat sich hier einiges verändert. Home-Office und mobiles Arbeiten sind keine Zukunftsvisionen mehr, sondern gelebte Realität. Unternehmen können hier das Rad auch kaum noch zurückdrehen und müssen ihre IT-Sicherheit diesen neuen Gegebenheiten anpassen. Hier gibt es das "Zero Trust"-Modell, das in den letzten Jahren enorm an Popularität gewonnen hat. Dabei ist dieses Konzept gar nicht so neu, aber war seiner Zeit voraus. Zero Trust folgt dem Grundsatz: "Vertraue keiner Entität, weder innerhalb noch außerhalb deines Perimeters." Entität kann beispielsweise eine Server, eine Verbindung, eine Applikation, eine Person oder ein Endgerät sein. Man könnte auch sagen "Traue Niemandem!". Perimeter ist ein Begriff aus der IT-Security oder dem militärischen Bereich. Der Begriff beschreibt einen geschützten Bereich, dieser war früher zum Beispiel das Büro. Alle Server, Zugänge oder Rechner standen in einem geschützten Umfeld. Die Arbeitswelt hat sich komplett verändert. Server stehen in der Cloud, Endgeräte sind mobil und außerhalb des Büros, in Bahnhöfen, an Flughäfen oder im Home Office. Zahlreiche externe Dienstleister werden benötigt. Hier muss mehr Sicherheit erreicht werden vor dem Hintergrund der aktuellen Situation.

Zero Trust = Dem Mitarbeiter wird nicht mehr vertraut? Diese Frage kommt häufig beim Thema Zero Trust auf. Soll der Geschäftsführer oder der IT-Verantwortliche dann seinen Mitarbeitern misstrauen? Laut Michael Schröder ist das gar kein Bestandteil dieses Modells. Gerade im Bereich Zero Trust Security ist es wichtig einen gewissen Grundschutz sicherzustellen. Home Office ist hier ein gutes Beispiel. Greift dieser Mitarbeiter von zu Hause auf Dienste, Dateien, Programme oder Server zu, kann ich zwar sehen, dass es sein Endgerät ist, aber nicht, ob es auch der Mitarbeiter ist. Daher ist es wichtig hier einen Schritt der Authentifizierung zu implementieren. Ist das der richtige Mitarbeiter oder wurde schlimmstenfalls das Gerät gestohlen? Wichtig ist es natürlich auch, dass Geräte so weit gehärtet werden, dass sie sicherheitstechnisch überall gleichwertig funktionieren. Die Sicherheit muss immer die gleichen Normen erfüllen.

**Was erwarten die Experten von der neuen Bundesregierung? ** Die neue Bundesregierung geht einige Dinge, gerade im Bereich Digitalisierung, anders an und versucht frischen Wind in das Thema zu bringen. IT-Sicherheit und "Security by Design" spielen hier eine wichtige Rolle. Ein Schwachstellenmanagement soll implementiert werden. Laut Thorsten Urbanski war es bereits mit der alten Bundesregierung unter der EU Ratspräsidentschaft 2020 schon auf der Agenda. Das Thema ist natürlich eine Herausforderung. Im Koalitionsvertrag steht die Digitalisierung ganz weit oben. Deutschland will eine digitale Gesellschaft werden - hier besteht in vielen Bereichen noch Nachholbedarf. Erstmal muss eine Infrastruktur geschaffen werden, die jedem eine Teilnahme ermöglicht. Dabei ist dann die Frage immanent: Wie mache ich das sicher? Im Bereich Hardware ist "Security by Design" natürlich schwierig, wenn ich gar keinen Einfluss auf die Produktion der Komponenten habe. Hier muss man tunlichst aufpassen, dass IT-Sicherheit nicht wirklich zu ein bisschen "Feenstaub" wird, dass ich verstreue und alles ist sicher. Wenn ich über Digitalisierung rede, muss ich mir bewusst sein, dass Deutschland alleine viel zu klein ist. Zumindest auf EU-Ebene muss es hier eine gemeinsame Anstrengung und Strategie geben. Da ist Deutschland eine der Lokomotiven und das muss die neue Bundesregierung nach vorne bringen. Thorsten Urbanski schiebt hier noch den Punkt ein, dass es in den vergangenen zehn Jahren in Deutschland und der EU einen immensen Ausverkauf an Technologie und Know-How im Bereich IT-Sicherheit an nicht aus der EU-stammende Unternehmen gab. Hier müssen politische Akteure sehr aufpassen, dass dieser Trend nicht fortgesetzt wird.

Wie hilft mir Zero Trust bei Schwachstellen in der IT? Sicherheitslücken wie Kaseya, Log4j oder bei Exchange sind eine enorme Gefahr für Unternehmen. Wie kann Zero Trust hier das Sicherheitsprofil eines Unternehmens schärfen? Für Michael Schröder ist das ein sehr breites Feld und darüber könnte man über Stunden referieren. Zero Trust bietet Lösungskonzepte für den Handwerker, aber auch für Großkonzerne. Dieses Konzept verfolgt auch ESET und hat hier einen roten Faden in Form eines Reifegradmodells etabliert. Je nach Schutzbedarf und Komplexität der Infrastruktur gibt es hier verschiedene Stufen. Ein Handwerker mit zwei Auszubildenden und zwei Festangestellten benötigt natürlich keine komplexe Sicherheitslösung für seinen Betrieb, weil er es zum einen kaum betreiben kann und er auch keinen nutzen daraus ziehen kann. Im Gegensatz dazu hat natürlich einen Finanz- oder Versicherungsunternehmen ein ganz anderes Schutzbedürfnis. Zero Trust ist, zumindest in den einfachen Stufen, für jeden umsetzbar, egal ob Verein oder Handwerksbetrieb. Je größer der Betrieb und je umfangreicher die Anforderungen, so umfassendere Schutztechnologien gibt es. Wo bekommt ein interessiertes Unternehmen Unterstützung oder Hilfe bei dem Thema? Wie diese Stufen des Reifegradmodells aussehen und wie ESET dies umgesetzt hat, erläutert Artikel "Warum IT-Security ohne Voraussicht nicht funktioniert" im Corporate Blog. Michael Schröder hat zu diesem Thema auch ein Webinar gehalten, dass auf Youtube verfügbar ist.

Was muss bei digitaler Souveränität auf deutscher und EU-Ebene getan werden? Transparenz ist für Thorsten Urbanski ein zentrale Forderungen bei der digitalen Souveränität. Zero Trust ist hier ein Beispiel für. Wenn ich dieses Modell in einem Unternehmen einführen möchte, muss ich wissen, was ich da überhaupt kaufe. Gerade im IT-Sicherheitsbereich ist das enorm wichtig. Habe ich einen Komponentenhersteller, der Technologien aus aller Welt einkauft und dann als sein Produkt zusammenstellt, oder habe ich einen echten Hersteller, der auch die Technologien im Produkt selber entwickelt. Das muss dann auch in einem bestimmten Rechtssystem geschehen. Die EU und ihre Mitgliedsstaaten sind hier absolut in der Lage auf eigene Technologien im Bereich IT-Sicherheit zurückzugreifen. Im Hardware-Bereich ist die Situation viel schwieriger, da hier echte Hersteller Mangelware sind. Bei der IT-Sicherheit ist die Situation günstiger. Daher ist hier Transparenz und eine wertebasierte IT-Security essentiell. So kann digitale Souveränität in der EU gewährleistet werden. Nicht nur die Bandbreite sollte hier das bestimmende Thema sein.

Digitale Souveränität auf der privaten Ebene In der Folge wurde viel von staatlichen Akteuren und Unternehmen gesprochen. Aber wie sieht die digitale Souveränität konkret für eine Privatperson aus? Smartphone, smarte Geräte, Tablets und Computer sind in fast jedem Haushalt zu finden. Für Thorsten Urbanski bedeutet digitale Souveränität Selbstbestimmung. Anwender kaufen ein Gerät und setzen dies ein. Große Player schreiben einem bis zu einem gewissen Grad die Spielregeln bereits vor. Grundsätzlich ist Thorsten Urbanski kein Freund von regulatorischen Maßnahmen durch den Gesetzgeber. Aus seiner Sicht ist es aber wichtig zu einem "digital Mindset" zu kommen. Es setzt voraus, dass die Schule hier bereits ansetzt. Digitale Kompetenz wird den heutigen Schülerinnen und Schülern in vielen Fällen nur am Rande vermittelt. Selbst in MINT-Schulen (MINT steht für Mathematik, Informatik, Naturwissenschaften, Technik) gibt es oft keinen Informatikunterricht. Häufig beschränkt sich die Wissensvermittlung auf PowerPoint und Word. Zudem müssen Anwender, wenn sie wissen, was mit ihren Daten passiert, mündig werden. Hier muss dann aber der Staat schützend eingreifen und klare Spielregeln definieren. Unternehmen aus der EU sind da auch verpflichtet diese Regeln einzuhalten. Ein Beispiel nennt der Experte auch. Vor einigen Jahren wollte er sich eine neue Kaffeemaschine kaufen. Diese hatte einen Netzwerkanschluss. Den Händler fragte er, was es mit diesem Anschluss auf sich hat. Dieser sagte, dass der Hersteller dadurch Updates und neue Services einspielen. Im Umkehrschluss erhält er aber auch Zugriff auf das Netzwerk des Kunden und wie sind da die Schutzmechanismen. Der Händler konnte dies dann nicht beantworten. Thorsten Urbanski rät jedem Konsumenten gerade solche Dinge zu hinterfragen. Hier setzt er Hoffnung in die neue Regierung, dass hier Grundlagen geschaffen werden, und das Thema nicht verschlafen wird.

Zero-Trust und digitale Souveränität: Transparenz als Lösung? Bei Michael Schröder schlagen, da er auch Datenschutzbeauftragter ist, verschiedene Herzen. Privat als auch betrieblich herrscht oft noch eine digitale Sorglosigkeit vor. Weiterhin beobachtet er in vielen Unternehmen, dass bestimmte Grundfeste gar nicht überprüft werden. Gerade durch die Pandemie wurden Geräte und Technologien bestellt, ohne sich darüber Gedanken zu machen, ob diese ins Konzept passen. Hier macht Zero Trust als Basis durchaus Sinn, um wieder auf den Boden der Tatsachen zu kommen.

Tipps am Ende Statt eines Serviceteils gibt es in dieser Sendung einen Tipp der Experten. Thorsten Urbanski rät Nutzern den Kopf einzuschalten und nicht im Standby durch die digitale Welt zu schreiten. Beim Kauf eines Gerätes oder Technologie sollten Fragen gestellt werden. Beispielsweise wie viele Updates es für ein Gerät gibt.

Michael Schröders Top-Tipp ist es aus der eigenen Komfortzone rauszukommen. Denn er sieht oft Situation: "Bequemlichkeit frisst Security". Das gilt sowohl für Privatanwender als auch Unternehmen. Identitätsdiebstahl und andere Gefahren sind die Folgen, wenn diese Bequemlichkeit zu lange anhält.

Neuer Kommentar

Dein Name oder Pseudonym (wird öffentlich angezeigt)
Mindestens 10 Zeichen
Durch das Abschicken des Formulars stimmst du zu, dass der Wert unter "Name oder Pseudonym" gespeichert wird und öffentlich angezeigt werden kann. Wir speichern keine IP-Adressen oder andere personenbezogene Daten. Die Nutzung deines echten Namens ist freiwillig.