Sehr geehrte Damen und Herren,
Security by Design ist in der IT ursprünglich als Prinzip für die Entwicklung von sicherer Software entstanden. Ziel ist es, Softwarelösungen im Kern so zu designen, dass sie im Praxiseinsatz nicht, oder nur mit hohem Aufwand angreifbar werden. In der Softwarebranche hat sich dieses Prinzip bereits vielfach durchgesetzt, denn die damit verbundenen Kosten sind deutlich geringer, als die Folgekosten durch Cyberkriminalität.
Wie sieht es aber mit der Umsetzung von Security by Design bei der Konzeption von IT-Infrastruktur aus? Ist es möglich Netzwerke so zu betreiben, dass Sicherheit, Skalierbarkeit und Nutzbarkeit im Einklang bleiben?
Wie können Anforderungen der DSGVO, oder Prinzipien wie der Zero Trust Network Access (ZTNA) so umgesetzt werden, dass Cyberangriffe bereits durch die Konzeption des Netzwerks und Auswahl der eingesetzten Komponenten unwahrscheinlicher werden? Der Reduzierung möglicher Angriffsflächen für Cyberkriminelle kommt dabei eine immer wichtiger werdende Rolle zu. Besondere Bedeutung hat dabei, dass dem Anwender nur die zur Durchführung seiner Aufgabe notwendigen Privilegien zugewiesen werden (PoMP – pricipal of minimal privilege).
Befindet sich der Arbeitsplatz im Unternehmen, genügt ein ausreichender Perimeterschutz durch Firewalls oder ähnliche Maßnahmen um diesen abzusichern. Mobile Arbeitsplätze oder das Homeoffice haben allerdings dazu geführt, dass dieser Schutz durch die hohe Zahl der Endgeräte um ein Vielfaches komplexer geworden ist.
Die neue Arbeitswelt hat aufgezeigt, dass herkömmliche Methoden der Anbindung durch VPNs schnell an ihre Grenzen stoßen, nicht nur technisch, sondern auch finanziell. Auch lässt sich das vorher beschriebene PoMP-Prinzip beim Einsatz von VPNs in der Praxis nicht vernünftig realisieren. Denn ein VPN ermöglicht zunächst den Zugriff des Anwenders auf das gesamte Netzwerk, der anschließend mühsam wieder eingeschränkt werden muss. Ursprünglich wurden VPNs zur sicheren Standortvernetzung eingesetzt und dort haben sie nach wie vor ihre Daseinsberechtigung. Aber in einer „work from anywhere“ dominierten Arbeitswelt passt diese Technologie nicht mehr. |