"Discover.Classify.Encrypt"
Cloud 1st-Strategien und die Digitalisierung im Allgemeinen verändern die IT-Landschaft grundlegend und in atemberaubender Geschwindigkeit. Verteilte Datenhaltung und unterschiedliche Datenspeicher in den verschiedensten Cloud-Providern verschärfen Anforderungen aus Datenschutz und Informationssicherheit.
In knapp 60 Minuten erhalten Sie Einblick in die Thales-Methodik zum automatisierten Finden, Klassifizieren und Verschlüsseln von Daten in AWS, Azure und Co. Mit Hilfe der neuen Lösung „Thales Data Discovery and Classification“ wird die Methodik in einer Live-Demo praktisch angewandt.
Die wichtigsten „Take Aways“ für Sie:
- Stichwort Schlüsselmanagement - BYOK vs HYOK, welches Modell ist wann realisierbar?
- Datenklassifizierung entsprechend dem Schutzbedarf automatisieren - wo liegen meine sensiblen Daten und sind sie ausreichend geschützt?
- Bring-Your-On-Encryption zur Risikoreduktion bei externer Datenhaltung
IT Security CYBER Lounge – Wichtige Daten finden, verschlüsseln und sichern
Die aktuellen Corona-Maßnahmen erlauben wieder physische Events. Unsere LSZ-Webinare dienen als hervorragende Ergänzung, um Interessierte über IT-Security zu informieren. IT-Security ist ein heikles und zugleich schwieriges Kapitel. Tatsache ist, dass durch das vermehrte Arbeiten via Homeoffice die IT-Security immer mehr ins Zentrum der Aufmerksamkeit gerät. Durchs Webinar führte der Experte Florian Bogner. Zum Webinar eingeladen wurden Walter Hölblinger, CIO von Steyr Arms, und Martin Gegenleitner von Thales Cloud Protection & Licensing.
Wir befinden uns immer noch inmitten einer Pandemie
Laut Walter Hölblinger hat kaum ein Bürger Mitteleuropas bislang eine derartige Pandemie je in seinem Leben erleben müssen. Die Pandemie ist eine Challenge, die aufgrund nicht vorhandener Erfahrungen weiterhin unglaubliche Anforderungen sowie Kraftakte erfordern wird, um halbwegs heil wieder zurück ins normale, gewohnte bzw. bekannte Leben zurückkehren zu können.
Als Waffenhersteller verfügt das Unternehmen über äußerst schützenswerte Daten. Die Datensicherheit und das Thema Cyberangriffe sind somit in so einem erfolgreichen Unternehmen omnipräsent. Daher auch der hohe Anspruch an die CIA Triade, an die Verfügbarkeit, Vertraulichkeit und Integrität. Das Unternehmen Steyr Arms versucht deshalb, sich stets in der Mitte dieser Triade zu befinden.
Ziel und Sinn der CIA Triade
In Bezug auf die Informationssicherheit ist es wichtig, dass Unternehmen sich an die CIA Triade halten. Die TeilnehmerInnen des LSZ-Webinars erfuhren vom Vortragenden explizit, wie wichtig es für ein Unternehmen ist, sich in puncto Triade genau in der Mitte einzupendeln. Nur auf diese Weise wird vermieden, dass es zu keiner Unausgeglichenheit innerhalb der drei Eckpfeiler der CIA-Triade kommen kann.
Die besondere Zeit ist noch nicht vorbei
Auch im Unternehmen Steyr Arms musste man im Frühjahr 2020 sehr schnell für viele MitarbeiterInnen das Arbeiten im Homeoffice organisieren, planen und sichern. Homeoffice ist gerade bei der Verarbeitung von sensiblen Daten ein extrem heißes Pflaster. Die Data-Security musste vorab sichergestellt werden. Die MitarbeiterInnen und auch andere Personen im Unternehmen hatten Angst, da sie nicht so technikaffin waren wie andere Angestellte im Betrieb. Es gab, so Walter Hölblinger, aber auch MitarbeiterInnen, die das alles gar nicht wollten. Homeoffice war für viele zu Beginn eine kaum zu bewältigende Challenge.
Der CIO von Steyr versuchte im IT-Bereich den Beschäftigten im Unternehmen das Mantra vorzugeben: In unsicheren Zeiten ist es unsere Aufgabe, einen Ansatz von Sicherheit zu vermitteln. Es war eine Notsituation und besondere Zeiten erfordern auch besondere Maßnahmen. Das Räderwerk des Unternehmens muss sich dennoch weiterdrehen. Daher gilt es vor allem für jene Personen, die im IT-Security-Bereich tätig sind, dafür zu sorgen, das Unternehmen vor Schäden soweit wie nur möglich zu bewahren.
Die Analyse der Situation
Kommt es innerhalb der CIA Triade zu einer unausgeglichenen Situation, gilt es diese zu beheben. Ein Unternehmen wie Steyr Arms, so der Experte, ist natürlich für Hacker und Konsorten immer ein gutes und lohnenswertes Angriffsziel. Vertrauliche Daten und Dinge, die für das Unternehmen einen gewissen Wissensvorsprung bedeuten, gilt es natürlich zu schützen. Denn das ist gemäß des CIOs von Steyr Arms das Know-how.
Die langersehnte Anerkennung der IT-Leitung
Hacker werden zunehmend professioneller. Daher ist es erstrebenswert, bei der Triade eine Art Balance zu finden und diese zu halten. Natürlich auch in unsicheren und zum Teil turbulenten Zeiten wie diesen. Der Betrieb muss sichergestellt werden. Er muss aber auch weiterhin die Vertraulichkeit und Integrität gewährleisten. Mit einer Kombination aus einfachsten Maßnahmen hat man in der Not versucht, das Ganze irgendwie zurechtzurücken. Man hat gemerkt, argumentierte Walter Hölblinger weiter, dass viele User in den ersten Wochen des Lockdowns unsicher waren. E-Mails zu kontrollieren ist immer besser, als ein unnützes Risiko einzugehen.
Laut Walter Hölblinger ist es wichtig, ein Mittelmaß zu finden zwischen Wirksamkeit und Wirtschaftlichkeit. Es ist ein Fakt, dass es auch in Zukunft immer wieder Vorfälle geben wird, auf welche die Menschen nicht vorbereitet sein können. Darum ist Agility und konkretes Handeln im IT-Sektor so entscheidend. Bei Weitem nicht für alles findet sich eine universal gültige Lösung. Aus diesem Grund ist es von großer Bedeutung, auch zukünftige Herausforderungen mit Herz und Verstand zu meistern. Es kommt auch immer darauf an, in welchem Kontext man sich befindet. Die Corona-Krise hat eines mit Sicherheit verdeutlicht: Wie wichtig es ist, kompetente und geistig mobile Leute in der IT-Leitung zu haben. Der IT-Bereich kann sehr viel Gutes für das Unternehmen in relativ kurzer Zeit bewirken.
Die Integrität und die Vertraulichkeit der Daten
Der Experte Martin Gegenleitner konzentrierte sich in seinem Vortrag weniger auf die Verfügbarkeit von Daten. Vielmehr lag sein Anliegen darin, den Teilnehmenden des Webinars die Bedeutung der Integrität sowie der Vertraulichkeit von wichtigen und firmensensiblen Daten zu veranschaulichen.
Wo und was sind „meine“ wichtigsten Daten?
Diesbezüglich erklärte Martin Gegenleitner von der eigenen Lösung der Firma THALES. Es wird die Data Security Plattform genutzt. Diese Plattform ist nicht nur in der Lage, Daten zu verschlüsseln und diese zu managen, sondern man ist sogar imstande zu entdecken, wo die Daten sind. Das ist relativ neu, so der Experte. Es geht hierbei nicht um irgendwelche Daten, nein, es handelt sich explizit um die Kronjuwelen.
Was ist die Kernfrage in Bezug auf die Informationssicherheit?
Wenn man mit dem Aufbau eines Informationssicherheits-Managementsystems beginnt, dann stellen sich vorab folgende Fragen: Wo sind denn meine Assets? Und: Was sind denn überhaupt meine äußerst bedeutenden firmeninternen Assets? Hier setzt die Firma THALES an und will beim Verstehen der sensitiven Daten helfen. Man hat nicht nur den Schutz des Datensystems, sondern auch den Regulationsdruck. Es gibt die Datenschutzgrundverordnung. Wenn also mehrere Services verwendet werden, muss der Nutzer auch selbst dafür Sorge tragen, dass der Service so läuft, dass er konform zu den Regularien ist, denen der Benutzer des Service selbst unterworfen ist.
Das Unternehmen THALES beliefert viele Banken sowie Versicherungen. Das große Problem liegt hier gemäß dem Experten darin, dass nicht selten Kronjuwelen, also enorm wichtige Firmendaten, einer dritten Partei anvertraut werden müssen. Und da ist es natürlich entscheidend zu wissen, in welchen Bereichen sich dann genau welche Daten befinden.
Fazit aus den wegweisenden Erörterungen in unserer IT-Security CYBER Lounge:
Die meisten Nutzer sind am risikoorientierten Arbeiten interessiert. Es kommt in der IT-Branche stets auch auf den Use Case an. Also wie sich das System aus der Sicht des Anwenders verhält. Es geht auch darum, die Wirtschaftlichkeit der gewählten Schutzmaßnahmen genau abzuwägen. Mit der gebotenen Lösung gelingt es dem Nutzer, das sehr gut umzusetzen. Die Kunden möchten für gewöhnlich in einer Plattform Folgendes sehen: Was haben wir für Assets und welche Daten-Vermögenswerte können geschützt werden? Für Unternehmen stellt sich somit häufig die Frage, in welchen Bereichen es sich lohnt, Geld und Zeit zu investieren. IT-Fachleute sind bemüht, kundenorientiert zu arbeiten. Ihre Prozesse zur Lösung der Datensicherheit sind daraufhin angelegt, dass sie dem Kunden gerecht werden. Diverse Lösungsmöglichkeiten werden somit in den meisten Fällen ganz dezidiert an das jeweilige Unternehmen angepasst.