Wendy Nather ist Vorsitzende des CISO-Fachbeirats bei Cisco, unter anderem auch Board Member der RSA Conference und eine ausgewiesene Expertin in allen Security-Bereichen. IT WELT.at hat mit ihr über die gegenwärtige Sicherheitslage gesprochen und gefragt, welche Tipps sie für kleine und mittelständische Unternehmen hat. [...]
Kann die Zero-Trust-Technologie jemals alle Angriffe verhindern, oder wie effektiv ist diese Technologie?
Zero Trust ist weniger eine Technologie als vielmehr eine Denkweise – ein Design-Muster. Sie können dieses Muster bei jedem Teil Ihrer Infrastruktur sehen: Sie entscheiden, wie und wo Sie eine Zugriffsanfrage anhand mehrerer Faktoren validieren und unter welchen Bedingungen Sie sich veranlasst sehen, sie in Zukunft erneut validieren müssen. Aus dieser Perspektive könnte man Zero Trust genauso gut als „bessere Sicherheit“ bezeichnen. Niemand kann behaupten, dass dieser Rahmen alle Angriffe verhindern kann, aber wir versuchen nicht, einen Zustand der Perfektion zu erreichen; wir versuchen, die Sicherheit stetig zu verbessern, und die Implementierung von Zero Trust hilft ganz sicher dabei.
Sind sich die Unternehmen, mit denen Sie zu tun haben, der immensen Bedrohungslage bewusst?
Die Unternehmen, mit denen ich spreche, sind sich der Bedrohungslandschaft größtenteils bewusst, aber sie müssen mit Ein- und Beschränkungen umgehen, von denen man üblicherweise nichts mitbekommt, etwa Zeit, Geld, Fachwissen, Abhängigkeiten von Anbietern, rechtliche Anforderungen und Fachleute. In dem Maße, in dem wir Informationen über Sicherheitsverletzungen besser weitergeben, können wir diesen Unternehmen helfen, herauszufinden, worauf sie ihre Bemühungen konzentrieren müssen.
Wenn Sie die Sicherheitsmaßnahmen von Unternehmen in den USA mit denen in Europa vergleichen, welche Unterschiede stellen Sie fest?
Viele Sicherheitsaspekte sind nicht technologischer, sondern kultureller und rechtlicher Natur. In Ländern, in denen das Vertrauen in die Regierung größer ist, bieten sich großartige Möglichkeiten für Partnerschaften auf einer Ebene, die für Länder wie die Vereinigten Staaten schwieriger zu erreichen ist. Die Datenschutz-Grundverordnung betrifft jeden, der in Europa Geschäfte macht, aber die Unternehmen gehen je nach ihrem Geschäftsumfeld unterschiedlich an die Einhaltung der Vorschriften heran. Ich denke, dass die US-Unternehmen viel davon lernen können, wenn sie sich mehr über die Sicherheitsherausforderungen kleiner und mittlerer Unternehmen in Europa informieren.
Hacker verlassen sich zunehmend auf automatisierte Angriffe mit Hilfe von künstlicher Intelligenz. Auch die Verteidigung ist automatisiert. Welche Rolle wird der Mensch hier in Zukunft spielen?
Ohne die Maschinen werden wir die Abwehr nicht in dem Maß skalieren können, das wir brauchen. Die „ground truth“ kann von Menschen kommen, und dann können wir sie in Software umwandeln, so dass sie skaliert werden kann. Leider stellt alles, was wir schaffen und zu einem System hinzufügen, auch eine neue potenzielle Angriffsfläche dar, so dass wir der Komplexität wenn irgend möglich immer einen Schritt voraus sein müssen.
Welche Sicherheitsempfehlungen haben Sie für KMUs, die sich nicht die umfassende Sicherheit großer Unternehmen leisten können?
Aus unseren Untersuchungen zu Sicherheitsergebnissen wissen wir, dass es fünf Top-Praktiken gibt, die am stärksten mit starken Sicherheitsprogrammen korrelieren. Die ersten beiden – die proaktive Aktualisierung Ihrer Technologie und deren bestmögliche Integration – erfordern möglicherweise die Hilfe von Partnern und Lieferanten. Aber die anderen drei – rechtzeitige Reaktion auf Zwischenfälle, schnelle disaster recovery und genaue Erkennung von Bedrohungen – können jedoch praktiziert werden, ohne dass man unbedingt so viel Geld ausgeben muss, wie sich das üblicherweise nur große Unternehmen leisten können. Wenn ich nur zwei Dinge empfehlen könnte, dann wäre das die Führung einer genauen Liste Ihrer Assets und Benutzer und die Implementierung einer Multi-Faktor-Authentifizierung für jeden einzelnen Benutzer.
Be the first to comment