Ich vertraue nichts, bis ich überprüfen konnte, ob es gut ist
Das Gegenteil von meiner Erziehung, wo mir beigebracht wurde, immer an die Güte der Menschen zu glauben. Jemandem immer im Zweifelsfall vertrauen und seine Idee oder sein Urteil erst im Nachhinein anpassen, wenn es nötig ist. Leider funktioniert dies in der IKT nicht auf diese Weise.
Angesichts der ständigen Bedrohung durch Cyberkriminelle muss man umdenken und eigentlich nichts vertrauen, bis man weiß, mit wem oder was man es zu tun hat. Scheint ein bisschen wie ein Zitat des berühmten niederländischen Spitzenfußballers und der Fußballlegende Johan Cruyff zu sein; „Ich bin gegen alles. Bis ich eine Entscheidung treffe, bin ich damit einverstanden. Scheint mir logisch.“
In der IT-Sicherheit könnten wir etwas Ähnliches sagen: Ich vertraue nichts, bis ich überprüfen konnte, ob es gut ist, das scheint logisch. Es ist einfach nicht so einfach herauszufinden, wie man etwas vertrauen kann.
Vertrauenswürdige Autorität
Denn welchen Servern, PCs, Websites, Netzwerken, Anwendungen, E-Mails und Einzelpersonen können Sie vertrauen? Dies alles beginnt mit der Einrichtung einer vertrauenswürdigen Autorität. In der IKT ist dies normalerweise eine Zertifizierungsstelle oder CA. Diese CA ist für die Ausstellung digitaler Zertifikate verantwortlich. Wir erkennen Zertifikate an dem Schlosssymbol, das angezeigt wird, wenn Sie eine Website besuchen, die ein Zertifikat verwendet. Anschließend kann die Identität ermittelt werden. Die meisten Menschen sind mit der sicheren Banking-Website vertraut. Diese Zertifikate bieten nicht nur Verifizierungsmethoden, sondern werden auch zur Sicherung von Daten durch Verschlüsselung verwendet.
Für Organisationen ist es wichtig, über eine eigene CA zu verfügen. In der Welt von Microsoft ist dies häufig eine Rolle, die mit Active Directory verknüpft ist. Dann ist es möglich, Mitarbeitern eine ID zusammen mit einem Zertifikat zur Verfügung zu stellen, das den Zugriff auf (Cloud-)Dienste ermöglicht. Dieses Zertifikat kann beispielsweise auf einer Smartcard gespeichert werden, die neben dem Passwort eine zweite Authentifizierungsebene darstellt. Die Identität der Mitarbeiter wird zentral mit dieser Unternehmens-ID oder diesem Arbeitskonto verwaltet und bietet sicheren Zugriff nicht nur auf Microsoft Cloud Services wie Exchange, SharePoint und Teams, sondern auch auf Cloud-Dienste von Drittanbietern.
Sichere Kette von IKT-Systemen
Um noch einen Schritt weiter zu gehen; Alle Geräte in der Kette, wie Smartphones, Laptops und WLAN-Zugangspunkte, sollten mit einem digitalen Zertifikat versehen sein. Eine genaue Verwaltung dieser Zertifikate ist dann unerlässlich. Die Auswirkungen eines abgelaufenen Zertifikats auf die Verfügbarkeit von Diensten sind enorm. Ein abgelaufenes Zertifikat wird als ungültig markiert und ist daher nicht mehr vertrauenswürdig, was bedeutet, dass Sie nicht mehr der gesamten Kette vertrauen.
Bei Universal stellen wir sicher, dass unsere Ingenieure die Hunderte von Zertifikaten, die wir für unsere Kunden verwalten, erneuern und neu installieren. Dies können Zertifikate für Server, Docker-Container, Websites, Firewalls, Smartcards und Verwaltungsdienste für mobile Geräte wie InTune sein.
Sobald Sie dies mit einem integrierten Ansatz umsetzen, ist es für Endbenutzer in Ordnung, zu ihren alten Gewohnheiten zurückzukehren. Da sie ihrem Computer vertrauen und dieser Computer beispielsweise durch biometrische Identifizierung verifizieren konnte, dass er vom autorisierten Mitarbeiter verwendet wird, entsteht ein gegenseitiges Vertrauen. Sie können dann davon ausgehen, dass die Dienste, die Sie innerhalb Ihrer Organisation nutzen, tatsächlich zu Ihrer Organisation gehören, andernfalls würde sie durch die Anzeige eines defekten Schlüssels als nicht vertrauenswürdig markiert werden.
Mein Team bei Universal hilft Organisationen beim Aufbau einer sicheren Kette von IKT-Systemen. Dies beginnt mit der Einrichtung einer Infrastruktur zur Ermöglichung eines Firmenkontos, umfasst aber auch die gesamte Kette von der Ausrüstung bis hin zu Cloud-Diensten. Dabei ist die Ereignisprotokollierung unerlässlich, um das Geschehen ständig überwachen zu können. In einem späteren Blog werde ich meine Gedanken über die Bedeutung eines geeigneten Erkennungs- und Reaktionsmechanismus zur Sicherung der IKT-Infrastruktur mitteilen.
