Herzlich willkommen zu unserem KuppingerCole Webinar "Wir, die Nutzer: Die Demokratisierung der Cybersicherheit". Dieses Thema wird unterstützt von Duo Security und die Gesprächspartner heute sind einerseits Wendy Nather, Sie ist Head of Advisory CISOs bei Duo Security, einer Tochterfirma von Cisco, und auf der anderen Seite, ich, Martin Kuppinger. Ich bin einer der Gründer und Principal Analyst bei KuppingerCole. Im Gegensatz zu den typischen Webinare, die wir machen, haben wir heute eine etwas andere Struktur.
Das heißt, es wird nicht so sein, dass wir zwei Powerpoint Vorträge hintereinander haben und dann Frage und Antwort, sondern es wird eine Mischung aus Interview und Gespräch sein zwischen Wendy und mir. Das heißt, ich werde Fragenstellen Punke aufbringen. Wir werden diese diskutieren. Immer zu dieser Frage Wie muss man Nutzer eigentlich richtig im Bereich Cybersicherheit einbeziehen, um hier in dieser veränderten Welt, in dieser veränderten Bedrohungslage erfolgreich zu sein?
Bevor wir starten, eine ganz kurze, ganz kurzes Housekeeping und dazu nur ein paar wenige Punkte auf der einen Seite zum Thema Audio, das kontrollieren wir. Aber dazu muss man nichts machen. Das Webinar wird natürlich aufgenommen und als Download, als Podcast zur Verfügung gestellt. Recording zur Verfügung gestellt das Leitz auch, wobei das im Wesentlichen ja nur die Kernpunkte der Diskussions sind. Das heißt, im Detail geht es wirklich um die Tonspur und wir werden eine Frage und Antwort teilhaben am Ende des Lévinas.
Indem wir eben auch noch auf Fragen, die sie uns stellen, die sie benennen, wenn die Stellen immer mir stellen oder beiden Wert auf diese Fragen am Schluss ein eingehen, bevor wir jetzt richtig anfangen, möchte ich eigentlich erst mal, bevor in den ersten Diskussionen gehen, wenn Sie die Möglichkeit geben, sich auch nochmal selbst kurz vorzustellen, sie alle zu begrüßen, wenn die ja.
Hallo! Hallo zusammen.
Ja, ich bin, wenn die Natur und ich arbeite als Advisory CISO Chief Information Security Officer bei Duo Security und das heißt in kurzem, dass ich die Perspektive der Chief Information Security Officer vertrete innerhalb der Firma, also innerhalb der Security und Cisco und außerhalb der Firma. Und ich rede mit vielen, vielen Security Practitioners.
Gut und auf der Basis dann auch jetzt das, was wir diskutieren werden, nachdem wir die Herausforderung und doppelten Mutes erfolgreich gemeistert haben.
Das war gute Sicherheit.
Gut, die Herausforderungen an! Das ist der erste Punkt, auf dem Mike Small fokussieren möchten. Warum wird Sicherheit eigentlich immer komplexer und teurer? Und sehr viele Unternehmen stecken ja selbst in diesen herausfordernden Zeiten sehr viel Geld in Sicherheit. Und auf der anderen Seite, warum dieses immer höhere Maß an Kontrolle nicht unbedingt zu mehr Erfolg führt, sondern weil das, was ist, die Perspektive dazu.
Ja, meine Perspektive dazu ist, dass wir nicht so ganz sicher sind, was wir für die Sicherheit brauchen und was funktioniert, was effective ist und deswegen tun, war alles Neues. Einfach drauflegen und ja, hoffen, dass es funktioniert. Und deswegen wird alles immer komplizierter, als wir alles neu erfinden und bauen. Und wir tun nichts wegnehmen davon. Deswegen wird es nicht einfacher. Es kann sein, dass es niemals eine Sicherheitskontrolle gibt, die wir abgeschaltet haben.
Ja, aber. Aber wir könnten es ja machen. Also wenn ich jetzt mal den Advocatus Diaboli spiele, dann könnten wir ja hergehen und sagen Okay, jetzt haben wir ein Risiko Konzept. Wir verstehen, welches Tool am besten welche Risiken mitregierte und wir versuchen, die Menge an Werkzeugen zu reduzieren. Warum passiert sich.
Ja, wie schon gesagt, ich glaube, es liegt daran, dass wir nicht so ganz verstehen, was wir für die IT-Sicherheit brauchen und deswegen vertrauen wir uns nicht, irgendetwas wegzunehmen z.B. Antivirus. Oder wir sorgen jetzt unter uns, dass es nicht mehr so ganz funktioniert und das vielleicht wieder deswegen besser wird oder sowas. Aber wir bringen uns nicht dazu, zum Management zu gehen und sagen Ja, das brauchen wir nicht mehr. Schauen wir das ab.
Merkt, was ihr auf Gründe hat. Einerseits man hat viel Geld ausgegeben und sagt Naja, eigentlich braucht man es nicht.
Ja.
Ja, eine unschöne Situation ist anderes. Natürlich immer die Angst. Wenn ich dann abgeschaltet habe und es passiert was, dann ist es trotzdem. Denn dann hab ich etwas falsch gemacht und ich glaube es gibt schon auch würde ich auch zustimmen bei bei IT-Sicherheit dieses Denken. Viel hilft viel. Also je mehr ich mache, desto sicherer bin ich, wo ich auch sehr skeptisch bin, weil oft warum verwenden Firmen was wir auch sehen mehr Zeit damit Tools zu integrieren und Tools überhaupt zu managen als die, die Sicherheit zu managen.
Man beschäftigt sich nur noch mit der damit, die Technologie bald zum Laufen zu bringen, aber hat gar nicht den Überblick. Jetzt ist aber die Frage Was hat das mit der Demokratisierung der Sicherheit zu tun?
Ja, und das heißt, es war damals so, dass wir als Sicherheits Professionellen immer die Regeln und die Kontrollen eingesetzt haben und gesagt Ja, wir verstehen am besten, was man machen darf, was man nicht machen darf und das können wir einfach nicht mehr machen, weil wir nämlich nicht die jenigen sind, die die Business am besten verstehen und das wir die Bedürfnissen am besten verstehen. Ein Freund von mir, der ein Ziesel ist bei einer grossen Netzwerk Firma. Er meint jemand, dass die Leute zu ihm kommen und sagen Ja, das wollen wir machen. Ja ist das sicher und es auch.
Ich weiß es nicht. Was machen sie dazu? Was? Was meint ihr? Und er besteht darauf, dass die Mitarbeiter selber entscheiden, was sicher sein kann, was das Risiko ist, weil sie das am besten verstehen. Und gegen die Gelegenheit, die Business Opportunity. Und dass sie sich selber entscheiden sollten, was die Controllers sein sollten.
Ja, aber.
Zieht sich dann der CSU nicht aus seiner Verantwortung? Zu sagen Okay, da sind die Maßnahmen, die aus IT-Sicherheit Sicht am meisten Sinn waren.
Wir sind dran gewohnt, aber das Problem ist jetzt, dass nicht alle in einem Bioshock drin arbeiten und dass die Technologie jetzt steht für alle die, die das verwenden, nicht nur ihr.
Ja, sagen wir Technologie Mitarbeiter, sondern auch Bauern und Künstler und Ärzte und Lehrer und Kinder. Und es gibt keinen Chef oder kein Kiesow. Die zu denen sagen kann ja soll, sollten, sollt ihr alles das machen. Das durfte nicht machen. Die Sicherheits entscheidungen können nicht mehr von einer. Zentraler Theorie sozusagen getroffen werden, sondern. Wir müssen das an jeden Anwender legen, dass sie selber entscheiden.
Also an die, die. Der Punkt ist letztlich wenn ich. Kosten werden also bei der Herausforderung das Thema Kosten und Komplexität bin ich das reduzieren möchte.
Dann werde ich es nicht schaffen, wenn ich immer mehr, immer größere Heikki Sicherheitsteams baue, sondern nur, wenn ich eben mich auch darauf verlassen, dass jeder, der irgendwelche Daten nutzt, seinen Teil zur Sicherheit beiträgt.
Ja, da auch das. Aber das Problem ist jetzt, dass wir irgendwie erwarten, dass jede, die die Technologie verwendet, seine Security Grouper hat. Und das stimmt nicht. Das stimmt nicht bei der bei den Schulen. Das stimmt nicht. Beim Krankenhäuser, die können es das nicht. Einfach nicht so aufbauen, wie wir uns dran gewöhnt haben.
Ich würde sogar, glaube ich in vielen Firmen nicht mehr werben. Grenzen from home Zeit jetzt, wo dann eben sehr oft einfach einmal zu. Oder Regs oder Teams oder was auch immer genutzt wurde. Wo andere Wege für die Zusammenarbeit genutzt wurden. In großen Firmen dann oft trotzdem mit zentralen Vorgaben, aber ab einer gewissen Firmengründung für die große Masse der Firmen ja auch, sodass letztlich die Mitarbeiter einfach ihre Wege gefunden haben zusammenzuarbeiten.
Oder wenn ich meine Tochter nehme in der Schule, wo die Lehrer halt dann mal ausprobiert haben, welches diese Werkzeuge wies, Zoom und Skype und so weiter funktioniert am besten, damit wir überhaupt was machen kann.
Ja, ja. Und die die Huskies sind ganz anders bei der Schule als im Büro. z.B. Wir könnten Habecks oder sowas verwenden, aber die Sicherheitsrisiken sind anders. Zuhause oder in der Schule, als was wir in unseren Büros verstehen. Und deswegen können wir nicht so entscheiden, wie alles funktionieren sollte. Wir sind nicht mehr die Experten. Oder wir sitzen.
Wir sind nicht allein die Experten.
Aber was wird den nächsten Punkt ein bisschen auch schon nehmen, der passt auch ganz gut. Das hat ja auch ein bisschen auf der einen Seite damit zu tun, dass man nicht alles jeden machen kann, aber auch ich glaube, das kann auch Forschung. Beide antworten durch der Sicherheit im Business ja, oft und das ist die Realität. Im Weg steht also, dass man sagt Ihr könnt aber das nicht machen und zeigt Wir brauchen es aber und natürlich auch dieses, dass Benutzer versuchen, Sicherheitsmaßnahmen zu umgehen.
Aber trotzdem können wir aus der bisherigen Argumentation ja auch noch so ein bisschen sagen Naja, da wo ich ein gutes Sicherheitsteam habe, kann das ja machen, nur dort, wo wo ich es halt nicht habe. Bei Schulen usw. Da müssen es halt die Leute selber machen. Warum sollen die Leute auch in Unternehmen die eine ein gutes IT Sicherheitsteam haben, bei dem die ein gut funktionierendes und das gibts ja genug davon haben zwischen besprichst?
Ja, permanent mit Sisu. Da gibt's ja wirklich sehr viele, die einen sehr sehr guten Job machen. Warum muss trotzdem der Benutzer eine andere Rolle kriegen?
Ja, wir, wir erleben das auch selber bei. Bei jeder Applikation, die wir verwenden. Wenn das ein ganz bisschen zu lange brauchte. Wenn das nur eine Sekunde länger dauert, um irgendetwas zu machen, dann nervt das uns auch.
Ich meine, wir verstehen das ganz gut. Wir müssen das Design ändern, dass alles einfacher funktioniert, schneller funktioniert, einfacher zu bedienen ist auch für uns sowie für die Benutzer. z.B. Hab ich vor vielen vielen Jahren beim schweizerischen Wahlverein gearbeitet in in der Sicherheitskopie und damals, als ich ja rumgelaufen bin, um um alles zu kontrollieren, haben die die Händler ihre Modems von mir verstecken wollten. Weil als ich vorbeigelaufen bin, haben sie alles ausgezogen und und in in dem Schreibtisch reingesteckt.
Und als ich dann wieder weg war, haben sie alles wieder eingesteckt. Ja. Weil ich war das das größte Risiko. Nicht was Sie, was sie befürchten sollten. Aber ich war da. Ich war nah dran. Und die haben nicht an Hackel gedacht, sondern an an mich als die aus das größte Risiko. Und selbst die Händler wollen alles umgehen, was ich da einsetzen wollte.
Ja, das ist ganz normal.
Ja, ich glaube, das macht ja jeder von uns. Ich meine ja. Hat man irgendeinen eine vorwagt, dann muss man Daten austauschen. Dann kommt irgendeine Restriktion, weil das oder das auf der einen oder anderen Seite nicht gemacht wird. Was machen die Leute als erstes? Sie überlegen sich, wie kann ich diese Beschränkung umgehen? Und dann Daten auf Bocks oder Öko anders? Weil man eben feststellt Zurück auf den Weg, den ich nehmen sollte, kann ich es nicht machen. Also passt nicht mehr irgendetwas. Irgendwie finden die Leute ja Lösung.
Das ist sicherlich ein Punkt, den wir haben. Wir müssen Sicherheit so machen, dass sie dem Business nicht im Weg steht. Und das wird nur gehen, wenn man das Business als erstes aber Sicherheit richtig macht. Also einfach, wie du gesagt hast. Sie muss in vernünftiger Weise dasein, aber sie darf nicht im Weg stehen. Sie muss von Anfang an richtig konfiguriert sein. Und auf der anderen Seite, wenn man die Leute die Entscheidung treffen lässt, die sie wirklich treffen können.
Ja, ja, ganz genau. Und das ist ganz normal. Also bei beim Geschäft finden wir raus, dass wir irgendetwas Neues machen müssen und dann nachher müssen wir die Sicherheit Maßnahmen dazu irgendwie konfigurieren. Erst nachher und das wird niemals so perfekt, wie wir das haben wollen.
Ja, also Sicherheit muss. Zum Teil der kulturellen. Das wäre dann ja letztlich auch diese Aussage, dass man auf der einen Seite eben. Nicht nur das Sicherheitsteam hat das. Vorgaben macht, dass Kontrollen implementiert, dass. Letztlich auch sagt. Bestimmte Dinge dürfen nicht gemacht werden, sondern auf der einen Seite wird Demokratisierung dann bedeuten, dass jeder auch die Entscheidung zur Sicherheit, die er treffen kann, trifft. Und da sind wir treffen kann.
Auf der anderen Seite aber auch, dass jeder ein Teil der Sicherheitskultur ist, also dass Sicherheit nicht mehr nur ein kleines Team ist von Experten, sondern dass jeder Mitarbeiter, jeder Nutzer seinen Beitrag auch leisten muss.
Ja, ganz genau. Aber das heißt nicht, dass wir unsere Sicherheitskultur überall verbreiten sollten.
WÃlder, dass das funktioniert nicht z.B. Kinder in der Schule, wenn sie nicht einmal ihre Buchstaben schon kennen. Wie sollen die, die dann ein Passwort eintippen, das? Das funktioniert nicht. Meine 16 jährige Tochter zum Beispiel ist. Ich verwende die Parenthese Kontrolle aus Sicherheits Maßnahmen für Kinder auf ihre Geräte nicht. Ich verwende sie nicht zu Hause, aber meine. Meine Tochter ist zu mir gekommen und sie wollte, dass ich bei ihrem Handy diese dieser Kontrolle einschalte. Und ich dachte Warum denn? Und sie meinte, dass sie besser studieren wollte.
Und sie wollte sich nicht ablenken lassen und deswegen wollte sie das. Das ich das. Sie hat es konfiguriert, so wie sie das haben wollte. Dann hab ich ein Passwort drauf Blick und jedesmal wo sie das umkränzt figurieren will, dann kommt sie zu mir und ich tippe das Passwort wieder ein und sie kann das so ändern, wie sie das haben will. Aber sie trifft die Entscheidungen nicht ich. Und das ist, was wir unsere Kinder beibringen müssen.
Auf der einen Seite ist es auch ein Thema.
Wenn ich mal wieder aus dem privaten Umfeld auf das Unternehmen transferierte, mache ich ja seit Urzeiten Alternativen Access Management. Da gibt es dieses wunderschöne Thema der Rollen und diese Projekte scheitern mit schöner Regelmäßigkeit, weil dann ein Raj Hegde Mensch im Team die Rollen machen soll, aber ich keine Ahnung hat. Was die Business Rollen sind, die Kommunikation nicht klappt. Und das kann nur funktionieren, wenn das Business seinen Teil beiträgt. Da muss man andere Dinge machen als Rollenmustern. Axel Proles sind andere Sachen nachhing aber schon anderes Thema.
Nur ohne den Nutzer einzubeziehen, werde ich das nicht machen können, oder? Informations Klassifizierung Die Nutzer wissen am besten selbst, wer. Auf Daten zugreifen darf und wer nicht. Da gibt es vielleicht eine bestimmte Leitlinie, die verstehen die Leute aber auch. Dann muss ich aber auch den Leuten eine Eigenständigkeit geben, die sie auch heute erweitern. Wenn ich die Kooperations Werkzeuge mit mit Volm für die Zusammenarbeit anschaue.
Da verschiebe ich ja auch der Verlag riche auch Verantwortung hin zu demjenigen, der sagt ich habe hier ein Raum für dieses Projekt und dann hat er auch die Verantwortung. Das ist ja auch. Also auch dort ist es ja so, wir können es ja gar nicht alles zentral entscheiden und wenn wir es zentral entscheiden, gehts mit schöner Regelmäßigkeit schief.
Ja, und bei großen Firmen funktioniert das überhaupt nicht. Ich meine, eine kleine Sicherheitscode hat keine Zeit dafür, die die Rollen ständig Umzug konfigurieren. Und meistens sagen wir dann halt Ja, wir verstehen es nicht, geben die, geben wir sie einfach alles, damit sie das machen kann, was sie wollen. Und das funktioniert natürlich auch nicht so Delegation. Also das alles an an das Business direkt gehen, damit sie sich dasselbe verwalten können. Das funktioniert dann am besten.
Ja, also letztlich glaube ich, haben wir eine sehr, sehr einheitliche Meinung. Ich bin dann mal ein bisschen rüber gehen auch schon zu unserem nächsten Diskussionspunkt. Wir haben schon ein bisschen diese Lösung natürlich immer wieder implizit angeschnitten, dass es darum geht. Eben wegzukommen von rigider Kontrolle hin zur Zusammenarbeit und ich finde, das will ich gelegentlich ein Cybersecurity Awareness Training mache. Dann beginne ich immer bei dem Endgerät des Nutzers und sage Okay, Leute, das, was ihr für euch privat macht auf eurem Gerät.
Das ist erst mal ganz wichtig für die Firma zu machen und. Die, die, die Mitarbeiter, die selbst, die Kinder, alle sie haben einen gesunden Menschenverstand und meine Sicht ist es schafft mehr Verständnis und Akzeptanz. Wie siehst du das?
Ja, genau. Also speziell jetzt, wo alle Leute von zu Hause aus arbeiten müssen. Und es fehlen dann viele Corporate Laptops und soder. Die kriegt man nur schwierig heute. Dann muss man einfach das Gerät verwenden, was man zur Hand hat und dann meistens ist. Sind das jetzt persönliche Geräte und die Verbände sagen ja eh ich. Ich mag nicht, dass ich dann Zug kontrolliert wird, wenn ich das mein mein Handy verwende. Und ich will ja nicht, dass meine persönliche Daten irgendwie kontrolliert oder gelöscht werden.
Und ja, wie? Wie arbeiten man da damit? Und es wird einfacher, wenn wir das so sagen als Firma.
Ja, ihr könnt machen, was ihr wollt mit euren Geräte. Nur wer in ihr Zugriff wollen auf unsere Resourcen. Dann müssen wir unsere Sicherheitsmaßnahmen treffen und wir sagen genau was die sind. Und ihr seid dann dafür verantwortlich, dass sie ihr Gerät so verwalten, dass es dran passt. Und das ist Milner Kollaboration.
Nun, aber es müssen natürlich auch Maßnahmen sein, die der einzelne Nutzer in sinnvoller Weise umsetzen kann. Das ist die andere Seite. Also ich muss es dann natürlich so machen, dass der Nutzer diese Maßnahmen einfach umsetzen kann, weil sonst Putz verfolgt werden.
Ja, also einfach z.B. ein Screen Loop verwenden, Passwort verwenden. Da müssen alle Software Versionen aktuell sein, dass es das kann man die, die benutzt es schon beibringen, weil das. Das ist einfach genug und das funktioniert. Wir sehen das jetzt heute. Bei vielen, vielen Kunden, bei vielen Firmen.
Ja, es ist halt manchmal meine ich meine erste Regel immer auch in diesen Hinweisen und eine andere Video, das ich dazu gemacht habe. Der erste Punkt ist, wenn ein Windows-Rechner habt, da gibt es diesen, das ist Windows Sicherheitsventil. Schau da unten an, auf welcher Farbe das steht. Wenn das Ding grün ist, dann sei hier schon mal ziemlich weit. Wenn es nicht grün ist, dann müsste im Zweifelsfall fragte nach. Aber guck mal nach was, warum ist es gelb? Und dieses einfach für dieses Nachschauen. Damit kann ich jetzt auf dieser Plattform ja schon relativ viel erreichen.
Vielleicht noch nicht alles, was ich brauche. Komme viel erreichen. Genauso wie ich einem Kollaborationen Tool den Raum besitzt und sagen kann Okay, Weltenraum macht je nachdem was das für der Zusammenarbeit ist. Das bedeutet kritische externe Daten sind da. Müsste vielleicht noch anders agieren über andere Sachen. Aber es ist so, wenn ich da einfache Regel mache, stehen die Leute sehen können ihren Teil zur Sicherheit beitragen.
Ja, ja, genau so müssen wir das bauen und das bauen wir so jetzt wir können. Wir können den Benutzer sagen Ja, genau das bei dem das Design vereinfachen und sagen Ja, wenn, wenn das es muss grün sein. Wenn Sie hier einladen wollen, wenn es nicht grün ist, dann müssen Sie so schauen, dass es grün wird und hier drauf klicken. Dann können Sie sehen, wie Sie ein Software-Update machen müssen, ohne oder sowas.
Aber auch heißt das Software-Hersteller an dem Thema Security beides sein, ein by default ganz intensiv arbeiten müssen.
Ja, ja, noch intensiver als jetzt. Weil heute legen wir zu viel auf die Anwender und sagen Ja, die. Ja. Du musst hier auf klicken, aber du darfst hier nicht klicken und nicht dort klicken. Aber hier doch. Aber dort nicht. Und wie sollen dieses die überhaupt verstehen? Das ist nicht fair. Wir müssen das Design so machen, dass egal wo sie draufklicken, es wird kein Problem sein.
Und das, glaube ich, können wir machen. Aber wissen ja denken einfach nicht dran. Heutzutage.
Ja. Riecht kaputt. Hübsches Beispiel bei meiner Frau. Wenn sie dann eine E-Mail versendet. Also geschäftlich bei der Behörde hier in Deutschland drin. Und als Anhang ist ein anderes Office Dokument dran. Dann sagte das wenn man kann ich nicht versenden, dann muss sie das will ich in die neueste Dokument Version. Also das heißt x 11 x transformieren und dann geht das Ganze. Könnte man vielleicht auch einfach automatisch machen und sagen okay, gut.
Also entweder stelle ich sicher, dass keine alten Dokumente Bertas das ist auch schwierig oder ich hab halt eine automatische Konvertierung. Gibt ja alles Möglichkeiten und so schaffe ich aber immer die Komplexität für den Benutzer, die für ihn dann eine, für sie eine Hürde ist. Und das muss ich natürlich. Vermeiden. Jetzt haben wir auch so ein bisschen, sondern einen anderen Aspekt Es wird ja im Bereich Sicherheit jetzt. Redest du der Demokratisierung der Sicherheit mit sehr guten Gründen?
Ich finde, da gibt es auf der anderen Seite ja dieses große Thema Всего Trust. Wie hängen die beiden Themen jetzt zusammen?
Ja, also es gibt manche Leute, die wie die Worte CEO Trust nicht mögen und das kann ich schon gut verstehen, weil das wie sagt man, dass sie überhaupt auf Deutsch Null vertrauen oder sowas. Es heißt nicht, dass wir unsere Benutzer nie vertrauen können, weil so. So funktioniert das nicht. So geht das nicht. Aber wir müssen uns immer fragen, was für Annehmen wir verwenden und was wir vielleicht wieder genauer ansehen müssen. Was die Sicherheit betrifft z.B..
Und das funktioniert ganz gut mit Demokratisierung, weil wir können nämlich sagen Ja, wir haben das so konfiguriert, dass es sie machen können, was sie wollen. Mit Frau Direktoren, was mit mit ihrem Gerät, was sie will, egal wo sie sind, egal welches Gerät sie verwenden.
Und ja, wir sorgen dafür, dass es sicher wird, wenn Sie an wenn Sie Zugriff möchten auf unsere Firmen Resourcen. Und das hängt mit Zero Trust finde ich sehr gut zusammen. Wir machen es einfach so. Egal wo die Leute sind, egal was sie machen, egal wo die Applikationen sind, verwenden wie wir dieselben Controllern.
Und das ist ja auch so das Thema Trust letztlich ja nicht. Vertrauen ist, sondern ein ein Vorteil des Vertrauens, eine wiederholte Prüfung. Und da kann sie gleich.
Vertraue nicht mit der einzelnen Instanz wie der einzelne Firewall, also innere Firewall, denn er schützt ja gut vor der Firewall das Böse. Es ist differenzierter. Ich habe verschiedene prüft Punkte, was aber nicht heißt, dass ich beliebig viele Tools war, nur am Anfang mal warm in der Sicherheit haben sollte und trotzdem gut überlegen sollte, was ich habe. Und eigentlich kommt der Benutzer dann dazu und sagt Ich leiste meinen Teil dazu. Das heißt, er RAM liefert letztlich ein Beitrag und diese ganze Sicherheit so zu erleichtern erreichen.
Ich glaube auch, dass das die zwei Konzepte nicht gegeneinander sprechen, sondern dass die sehr, sehr gut zusammen passen, weil es ja auch z.B. so ist, dass ich dann ja auch auf der anderen Seite prüfen kann. Ist das System in einem okee Status, also wo der Benutzer einerseits prüft bin ich da und andererseits, wenn ich einen kritischen Zukunft habe, sage ich vielleicht in der Firma Okay, in welchen Gerät Status ist das Endgerät? Und dann haben beide Seiten letztlich ihren Teil dazu beigetragen.
Aber die ganz wichtige Aussage ist ja letztlich Wenn wir versuchen nur versuchen die Sicherheitskontrollen und Vorgaben zu oktroyieren, die Benutzer aufzudrücken, dann werden wir. Die Herausforderung, die wir heute in der Sicherheit haben, nicht lösen nur wenn wir mit dem Benutzer arbeiten, wird das Ganze gelingen. Was ist jetzt der Beitrag?
Den, den du Security da leistet?
Ja. Wir machen das. Wir ermöglichen das Zero Trust, indem wir die Sicherheitskopie. Ja sagen muss. Also wir wir machen es möglich, dass die Sicherheitskopie das kontrollieren sollen, was sie wissen müssen, um Zugriff zu erlauben, ohne dass wir zu viel Kontrolle haben. Auf die End Points, auf die Josey Geräte. Und das heißt, dass wir das eben eine Kollaboration daraus machen, dass wir können mit Multi Faktoren Authentifizierung überprüfen, dass die, dass der Benutzer isten. Genau der das will glauben, dass er ist. Aber egal welches Gerät er verwendet.
Egal wo er ist und egal, wo die Applikation sich befindet. Wir verwenden dieselben Kontrollen.
Okay, ich habe auch noch zwei, drei Fragen hier. Vielleicht kommt noch ein Verweis von den Teilnehmern. Die erste Frage ist, wenn man diesen diesen Satz, dem dieses Demokratisierung der Sicherheit oder wir wie wieder people Demokratie demokratiefähig security jarvis englischen Original ja sozusagen geheißen hat. Wie wie würde, wie würdest du jetzt? Oder welche Ratschläge würdest zu geben, um eine Segmentierung in der Organisation für Benutzer und für die, die die Work Force zu unterstützen? Was gibt es ein Ratschläge wie hat traditionell diesen einen Perimeter?
Da hat mir oft auch noch viele andere Zonen und. Wie verändert sich das beispielsweise?
Ah ja, das ist eine gute Frage, weil der segmentieren. Er ist sehr schwierig. Wir wissen, dass vor allem im Netzwerk, wo alles schon jahrelange ganz gut funktioniert hat, das aufzuteilen ist, ist schwierig. Es kann sein, dass wir das nicht in Netzwerk Lage machen können, sondern bei der Applikation. So also zum Beispiel. Es kann sein, dass wir Teile von dem Netzwerk segmentieren können, aber aber mehr nicht, weil alle Zugriff brauchen. Aber dann können wir per Application A Kontrolle einsetzen, dass man nur das verwenden können wird, wozu Sie das Feld nicht brauchen.
Wäre sie denn Sie nicht dann auch nicht am einfachsten eigentlich vom vom Denken radikal zu? Sagen wir, wir behandel einfach jede Applikation so, als ob sie ein Cloud-Dienste wäre, also ein sonst Lichtblitze. Und wir gehen davon aus, dass wir eben irgendwelche Endgeräte haben, die über irgendwelche Netze darauf zugreifen und sagen Das ist unser. Unser Grundgedanke. Wenn man dann Dinge besser machen können. Passt es. Aber im Grundsatz könnte man sagen Jeder kann mit jedem Gerät grundsätzlich auf jede Applikation zugreifen, solange bestimmte Voraussetzungen erfüllt sind.
Ja, genau. Oder z.B. Wir können sagen Ja, bei dieser Applikation ist alles sehr, sehr kritisch. Die Daten sind sehr kritisch und deswegen darf man nur eigene Corporate Greed rankomme, darf und. Für für das Menü BÜ bei der Mensa ist das uns egal, was was sie dazu verwenden, weil das nicht so kritisch ist. Man könnte das sie je nachdem Arten nach nach den Daten konfigurieren
adaptiv im Kontext
lesen. Ganz genau.
Ich habe noch eine zweite Frage hier vor mir. Wenn man sagt, man hat diese, muss ja diese Policies, diese Leitlinien letztlich trotzdem definieren.
Die, die dann gelten, die werden sich auch natürlich verändern durch das Feedback der Nutzer. Das ist richtig machen. Das heißt, die Nutzer werden auch sagen das funktioniert für uns nicht. Müsste es aber. Was ist das für ein Prozess? Ist es einfach Trial and Error? Oder wie würdest du rangehen, um uns zu gut funktionierenden Policies zu kommen, die das leisten, was sie leisten müssen für die Sicherheit, die aber gleichzeitig die Benutzer nicht in ihrem Arbeiten hindern?
Ja, man muss ganz vorsichtig dran kommen und vielleicht ganz einfach damit anfangen. Zum Beispiel wollen sind wir uns einig, dass ein Gerät nicht Repetitor, die Geoblocking sein darf. Können wir uns darauf einigen? Wenn schon, dann können wir diese Richtlinie einsetzen. Fangen wir damit an und dann ganz langsam. Wer braucht Zugriff, wer nicht? Wenn wir das rausfinden, können wir das einsetzen. Sagen wir das zumindest mal die Software. Alles up to date sein muss und ganz langsam so drauf bauen. Und das dauert dann eine Weile. Man kann z.B.
mit der Benutzergruppe anfangen, die, die ja die am freundlichsten sind, die das gut verstehen und eher die, die viel mehr tolerieren als als die anderer Benutzer und mit denen anfangen und sagen Ja, das probieren mehr. Und weil es muss langsam gehen. Es funktioniert nicht, dass man alles auf einmal einsetzbaren, man nie weiß, was man wirklich in in der Firma braucht.
Aber ich glaube, das gut ist, auch wenn wir über Policies redeten, hat man eine einfache Gesprächsgrundlage, weil bei jeder kann eigentlich eine Policy, also welche Gruppe von Leuten darf was unter welchen Bedingungen machen.
Das kann man sehr gut beschreiben und sehr gut besprechen, weil man eben nicht über technische Implementierung Details erst mal spricht, sondern eingesackt. Geht es ihm um die Frage Zugriffs Regeln, wer darf unter welchen Bedingungen was tun wird? Und da gibt es nur eine Regel. Grundsätzlich darf man zugreifen, aber nicht mit einem rodet. Gewiß.
Ja, genau. Es sei denn, man kommt an einem Tag und sagt Ja, wenn die fällt heute. Ich muss alles machen, was sie normalerweise tut im Büro. Und deswegen brauche ich Zugriff auf alles, was man hat. Und auf einmal sind die Policies jetzt im Weg. Das ist das System. Mir das Problem, weil ja, das Business ändert sich fast täglich und jama wir. Deswegen ist es einfacher, wenn sie selber alles verwalten.
Aber am Ende an dem Punkt zu sagen Sieg Sicherheit in der heutigen Zeit wird nicht funktionieren, wenn wir die Benutzer nicht einbeziehen.
Also eine von oben vorgegebene Sicherheit alleine reicht nicht aus.
Ja, wir sind die Sicherheitskopie ist nämlich eine Dienstleistung mit nicht eine Kontrolle Grupe. Und wenn wir uns, wenn wir so dran denken, dass dass wir Dienste leisten, dann wird es einfacher, mit den Mitarbeite zusammenzuarbeiten. Und dann steht die Sicherheit nicht mehr im Weg, sondern wir sind für die Benutzer da.
Grude. Wenn die Glaube damit haben einen guten Abschluss, einen guten Schlusssatz auch wir sind für die Nutzer da, auch als Sicherheit, gerade als Sicherheit.
Ich danke ganz herzlich für deine Zeit, für das Gespräch. Ich hoffe, dass es für alle, die das jetzt gehört haben oder in den nächsten Wochen anhören werden, genauso interessant ist. Ist die Gespraech für mich. Dankeschön. Danke.
