Die US-Bundesregierung ist verpflichtet, die Zero-Trust-Cybersicherheit in allen Regierungsbehörden zu implementieren. Im Jahr 2021 erließ das Weiße Haus die Executive Order (EO) 14028, die Bundesbehörden anwies, Zero-Trust-Netzwerkarchitekturen zu übernehmen. Einige Monate später folgte CISA mit einem Entwurf des Zero Trust-Reifegradmodells. Anfang 2022 veröffentlichte das Office of Management and Budget (OMB) das Memorandum M-22-09, das die Behörden verpflichtet, bis Ende des Geschäftsjahres 2024 bestimmte Zero-Trust-Standards und Ziele zu erfüllen. Später in diesem Jahr veröffentlichte das Verteidigungsministerium (DoD) seine eigene Zero-Trust-Strategie und -Roadmap.
Das ist eine Menge Bewegung über einen kurzen Zeitraum, besonders wenn man bedenkt, dass die Räder der Regierung in der Regel sehr langsam drehen. Trotz all dieses Drucks von der Spitze sind die Entscheidungsträger in Regierungsbehörden jedoch nach wie vor skitotisch, wenn es um die Übernahme der cloudbasierten Technologie geht, die es ihnen ermöglichen würde, Zero-Trust-Ziele zu erreichen: Software-as-a-Service (SaaS)-Lösungen. Viele Missverständnisse in Bezug auf die zugrunde liegende Technologie gibt es zuhauf; insbesondere ein hartnäckiger Mythos, dass „SaaS“ bedeutet, dass Benutzerdaten in der Cloud gespeichert werden, wo Cyberkriminelle darauf zugreifen können.
In diesem Beitrag wird erklärt, was SaaS wirklich bedeutet, und diese Ängste zerstreuen.
Was ist SaaS?
SaaS ist eine Methode der Softwarebereitstellung, bei der ein Drittanbieter die Server, Datenbanken und den Code hostet und pflegt, die eine Anwendung ausmachen. Kunden greifen über das Internet auf SaaS-Anwendungen zu, in der Regel über einen Webbrowser. Einige SaaS-Apps bieten auch Desktop-Apps, mobile Apps und Browsererweiterungen.
So ziemlich jeder verwendet SaaS-Produkte jeden Tag, ohne es zu merken. Beispiele für SaaS-Produkte sind Gmail, Salesforce und sogar Social-Media-Apps wie Instagram.
Ist SaaS das Gleiche wie Cloud Computing?
Nein. SaaS ist nicht gleichbedeutend mit Cloud Computing.
„Cloud Computing“ ist ein Überbegriff, der sich auf jede Lösung bezieht, die aus der Ferne gehostet und an Kunden über das Internet geliefert wird. Gesamt „SaaS“ bedeutet, dass die Anwendung in der Cloud gehostet und über sie geliefert wird. Das bedeutet jedoch nicht, dass eine Anwendung keine lokalen Komponenten hat, noch bedeutet es, dass Ihre Daten in den Cyberspace geschossen werden, wo jeder sie haben kann.
SaaS-Plattformen haben oft sowohl lokale als auch cloudbasierte Komponenten. Vielleicht noch wichtiger, wenn der SaaS-Anbieter eine Zero-Knowledge-Sicherheitsarchitektur verwendet, werden Ihre Daten nie „im Klaren“ in der Cloud gespeichert. Sie werden lokal auf Ihrem Gerät gespeichert; selbst der SaaS-Anbieter kann nicht darauf zugreifen, geschweige denn jemand anderes.
Was ist Zero Trust?
Zero Trust ist ein modernes Sicherheitsmodell, das unbefugten Zugriff auf Daten und Dienste verhindert, indem es Benutzer beweisen lässt, dass sie der sind, der sie vorgeben, zu sein, bevor sie ihnen den Zugriff auf ein Netzwerk ermöglichen. Darüber hinaus erhält ein Benutzer, selbst wenn er sich einmal in einem Netzwerk authentifiziert hat, gerade so viel Zugriff auf Systeme und Daten, wie er für seine Arbeit benötigt – und nicht mehr.
Zero Trust gibt IT-Administratoren vollständige Transparenz über alle Benutzer, Systeme und Geräte. Es ermöglicht es Menschen, Anwendungen und Dienste, sicher zu kommunizieren, auch über Netzwerkumgebungen hinweg. Es spielt keine Rolle, ob Benutzer von ihren Häusern oder Hotels oder Cafés oder Flughäfen aus eine Verbindung herstellen oder selbst wenn sie ihre eigenen Geräte verwenden. Administratoren können genau sehen, wer sich von wo aus mit dem Netzwerk verbindet und worauf sie zugreifen – und Benutzer können überhaupt nicht hereinkommen, bis sie gründlich authentifiziert sind.
Was ist Zero Knowledge?
Zero Knowledge ist eine Sicherheitsarchitektur, die nicht in das traditionelle Modell von dem, was viele als „Cloud Computing“ bezeichnen, passt, in dem Daten ausschließlich in der Cloud leben. Stattdessen gewährleistet es das höchste Maß an Datensicherheit und Datenschutz, indem es die folgenden Prinzipien befolgt:
Daten werden auf Geräteebene verschlüsselt und entschlüsselt (nicht auf dem Server).
Die Anwendung speichert niemals Klartextdaten (von Menschen lesbar) in der Cloud
Der Server erhält keine Daten als Klartext
Niemand außer Ihnen kann Ihre Daten anzeigen
Das Teilen von Daten verwendet Kryptografie mit öffentlichen Schlüsseln für die sichere Schlüsselverteilung
Wenn Daten mit einem anderen Gerät synchronisiert werden, bleiben die Daten verschlüsselt, bis sie auf dem anderen Gerät entschlüsselt werden
Das ist großartig. Was bedeutet das alles im Klartext?
Wenn Ihre Augen beim Lesen des vorherigen Abschnitts glasig geworden sind, sind Sie nicht allein! Zero Knowledge ist ein kniffliges Konzept, auch für Menschen, die sich mit Technologie auskennen. Hier ist eine Metapher für die Erklärung von Zero Knowledge im Klartext:
Stellen Sie sich eine magische Box mit einem magischen Schlüssel vor. Sobald Sie etwas in die Box legen und sie mit diesem Schlüssel verschließen, wird der Inhalt zu Staub. Nur der magische Schlüssel kann den Inhalt wieder zusammenfügen, also würde jemand in die Box einbrechen, würde er nur Staub finden.
So funktioniert das mit einem Zero-Knowledge-SaaS-Anbieter:
Sie legen einen Gegenstand in die magische Box und dann sperren Sie sie mit dem magischen Schlüssel zu ab.
Sie geben die magische Box an den SaaS-Anbieter, aber Sie behalten den magischen Schlüssel.
Wenn Sie den Gegenstand zurückhaben möchten, gibt Ihnen der SaaS-Anbieter die gesperrte Box.
Sie verwenden Ihren magischen Schlüssel, den Sie die gesamte Zeit behalten haben, um die Box zu entsperren und Ihren Gegenstand abzurufen.
In diesem Fall enthält die „magische Box“ Ihre verschlüsselten Daten (was so nützlich wie Staub ist), und der magische Schlüssel ist Ihr Entschlüsselungsschlüssel – auf den nur Sie Zugriff haben, da er auf Ihrem Gerät gespeichert wird, nicht in der Cloud.
Darüber hinaus liegt dieser magische Schlüssel nicht irgendwo herum, wo er gestohlen werden kann. Er wird von Ihrem Passwort abgeleitet, also existiert er nicht einmal, bis Sie Ihr Passwort und einen zweiten Authentifizierungsfaktor wie einen Hardware-Schlüssel oder eine CAC-Karte eingeben. Nachdem Sie sich abgemeldet oder ein Timeout ausgelöst haben, erlischt der Schlüssel, bis Sie sich erneut authentifizieren.
Was sind die Hauptvorteile von Zero-Knowledge-SaaS?
Zero-Knowledge-SaaS-Lösungen ermöglichen es Unternehmen, alle Vorteile von Cloud Computing zu genießen, verbunden mit dem höchsten Maß an Sicherheit, Datenschutz und der vollständigen Kontrolle über ihre Daten. Diese Vorteile sind:
Geringere Kosten: Robuste SaaS-Plattformen lassen sich in praktisch jeden Tech-Stack integrieren, ohne dass zusätzliche Software oder Hardware erforderlich ist. Der SaaS-Anbieter übernimmt alle Wartung und Upgrades.
Einfache Integration mit zentralisierten Identitätssystemen: Die Zero-Trust-Strategie der Bundesregierung, wie in EO 14028 und OMB M-22-0-9 skizziert, legt erheblichen Wert auf eine starke Unternehmensidentität und Zugriffskontrollen, einschließlich der Multifaktor-Authentifizierung (MFA). Zero-Knowledge-SaaS-Plattformen lassen sich leichter in moderne Identitätsmanagementsysteme integrieren als traditionelle lokale Lösungen.
Erhöhte Sicherheit: EO 14028 weist an, dass alle Daten während der Übertragung verschlüsselt werden, eine Anforderung, die Zero-Knowledge-Lösungen sofort haben.
Schnelle Installation und Bereitstellung: Da keine Hardware zu konfigurieren ist, und keine Software auf den Computer jedes Benutzers einzeln herunterladen muss, sind SaaS-Lösungen viel einfacher zu installieren und zu konfigurieren als lokale Lösungen.
Skalierbarkeit und Flexibilität: SaaS-Produkte können an jede Größe skalieren, und da sie auf Abonnementbasis verkauft werden, können Kunden ihre Lizenzen leicht anpassen, wenn sich die Geschäftsanforderungen ändern.
Es gibt keinen Grund für staatliche Entscheidungsträger, SaaS-Produkte zu fürchten, solange sie eine Lösung wählen, die Zero-Knowledge-fähig und natürlich FedRAMP-autorisiert ist. Zero-Knowledge-FedRAMP-autorisierte SaaS-Lösungen bieten eine bessere Sicherheit zu geringeren Kosten als traditionelle lokale Software, während sie Bundesbehörden ermöglichen, die Dienste zu verbessern, die sie den amerikanischen Bürgern bieten, und diese Dienste effizienter zu erbringen.
Keeper Security
Keeper Security verändert die Art und Weise, wie Menschen und Organisationen auf der ganzen Welt ihre Passwörter, Geheimnisse und vertraulichen Daten schützen. Die benutzerfreundliche Cybersicherheitsplattform von Keeper basiert auf Zero-Trust- und Zero-Knowledge-Sicherheit, um jeden Benutzer auf jedem Gerät zu schützen. Keeper ist der Marktführer für Passwortverwaltung, Geheimnisverwaltung, privilegierten Zugriff, sicheren Remote-Zugriff und verschlüsselte Nachrichten.
Erhalten Sie die neuesten Nachrichten und Updates zur Cybersicherheit direkt in Ihren Posteingang.
Blog teilen
Könnte Ihnen ebenfalls gefallen
Was ist Chiffriertext?
Chiffriertext bezieht sich auf Daten, die verschlüsselt und unlesbar sind. Die einzige Möglichkeit, verschlüsselte Daten zu lesen, ist die Entschlüsselung mit einem Verschlüsselungsschlüssel. Da Chiffriertext ohne Angabe des Verschlüsselungsschlüssels nicht gelesen werden kann, ist dies der...