IT Infrastruktur aus Deutschland - noris network
SECURITY13. Juni 2025

Zero Trust, Automatisierung, Verschlüsselung – die Dreifaltigkeit der Cybersecurity?

Giacomo Marinangeli, DSwiss, präsentiert sich in einem formellen, schwarzen Hemd. Seine Körperhaltung vermittelt Selbstbewusstsein und Professionalität. In der Diskussion um Cybersecurity sind Fehlkonfigurationen ein zentrales Thema, das besondere Aufmerksamkeit erfordert.
Giacomo Marinangeli, DSwiss DSwiss

Perimeter-Modelle hatten ihre Zeit – heutige Bedrohungen verlangen ein radikal anderes Denken. Angreifer verzichten längst auf Brute-Force: sie nutzen Fehlkonfigurationen und agieren von innen. Es braucht eine Strategie, die kompromittierte Systeme einkalkuliert – mit schneller, präziser Reaktion statt spätem Aufräumen.

von Giacomo Marinangeli, DSwiss

Warum moderne Sicherheitsstrategie auf drei Säulen bauen muss

Die wachsende Komplexität der IT – von hybriden Clouds bis hin zu unstrukturierten Daten – vergrößert die Angriffsfläche. Klassische Modelle greifen nicht mehr. Schwachstellen, Social Engineering und schlechte Datenkontrollen bieten Angreifern zusätzliche Fläche. Echter Schutz beginnt heute mit einem Umdenken: Jede Verbindung muss überprüft, Kompromittierung einkalkuliert und Datenlecks sofort neutralisiert werden. 

Das bedeutet: Zero Trust, um Zugriffe kontinuierlich zu überprüfen, Automatisierung, um Bedrohungen einzudämmen, bevor Menschen reagieren können und Verschlüsselung, damit selbst gestohlene Daten verschlüsselt – und für Cyberkriminelle wertlos – bleiben.

Diese drei Säulen schließen nicht nur Sicherheitslücken, sondern schaffen die Basis für Innovation, Compliance und Resilienz.

Zero Trust: Nie vertrauen, immer verifizieren

Autor: Giacomo Marinangeli, DSwiss
Giacomo Marinangeli absolvierte sein Studium in Computer Science an der Università degli Studi di Perugia in Italien. Aktuell ist er CTO des Schweizer Unternehmens DSwiss AG (Website). Zuvor war er u.a. CTO bei Anthropos, nachdem er zunächst das Unternehmen Cloud Academy als Mitgründer und CTO mitaufgebaut hatte.
Herkömmliche Perimeter-Sicherheit scheitert an der Annahme, alles innerhalb des Netzwerks sei vertrauenswürdig. Doch Insider-Bedrohungen und kompromittierte Accounts machen gerade das zur Gefahr – insbesondere in hochregulierten Sektoren wie Finanzdienstleistungen, wo privilegierte Zugriffe auf sensible Daten zur Tagesordnung gehören. Hier ist Zero Trust längst  absolute Notwendigkeit.

Zero Trust erfordert starke IAM-Systeme, die sicherstellen, dass nur autorisierte Nutzer situativ auf kritische Ressourcen zugreifen. Das bedeutet:

  • Multi-Faktor-Authentifizierung (MFA) & passwortlose Authentifizierung: Biometrie, Hardware-Sicherheitsschlüssel (FIDO2) und risikobasierte Authentifizierung stärken die Identitätssicherheit und reduzieren das Risiko von Passwortdiebstahl.
  • Rollen- und attributbasierte Zugriffskontrolle (RBAC & ABAC): Berechtigungen basieren dynamisch auf Nutzerattributen, Gerätestatus und Bedrohungsinformationen in Echtzeit.
  • Just-in-Time (JIT) & Privileged Access Management (PAM): Statt dauerhafter Adminrechte kommen JIT/PAM-Lösungen zum Einsatz: Temporäre Zugriffe auf privilegierte Ressourcen, ausgelöst durch Genehmigungsworkflows und technische Richtlinien, werden automatisch protokolliert – inklusive Sitzungsaufzeichnung und Echtzeitüberwachung.

Konkret bedeutet das: Zero Trust wird in bestehende Compliance-Standards wie ISO 27001 oder NIST 800-207 eingebettet; so lassen sich Auditoren einfacher zufriedenstellen und gleichzeitig höhere Sicherheitsstandards etablieren.

Viele Unternehmen kämpfen mit Rollenexplosionen oder übermäßigen Berechtigungen.”

Automatisierte Rechteprüfungen und Anomalieerkennung beim Einsatz von privilegierten Zugängen helfen, dem entgegenzuwirken. Eine Zero-Knowledge-Architektur geht dabei noch einen Schritt weiter: Sie stärkt das Zero-Trust-Modell, indem selbst der Dienstanbieter keinen Zugriff auf sensible Inhalte hat, und so echte Ende-zu-Ende-Vertraulichkeit garantiert.

Automatisierung: Cybersicherheit in Echtzeit

Das eigentliche Einfallstor für Angriffe findet sich oft im Zeitraum zwischen Erkennung und Reaktion.”

Gerade in regulierten Branchen, in denen Vorfälle schnell gemeldet und eingedämmt werden müssen, sind manuelle Prozesse nicht nur ineffizient, sondern riskant.

SIEM/XDR müssen in regulierten Umgebungen nicht nur hybride Infrastrukturen abdecken, sondern auch Audit- und Datenresidenzpflichten erfüllen. Legacy-Systeme liefern oft unzureichende Telemetrie, automatisierte Reaktionen müssen manipulationssicher dokumentiert werden – ein Spagat zwischen Tempo und Revisionssicherheit.

Für eine wirklich reaktionsfähige Sicherheitsarchitektur gilt:

  • Verhaltensbasierte Erkennung durch Baselines und Anomalie-Erkennung.
  • Security Orchestration, Automation & Response (SOAR) zur Definition automatisierter Playbooks, etwa zur Geräteisolation oder Credential-Reset – ohne menschliche Verzögerung.
  • Automatische Kontextanreicherung mit Informationen wie Systemkritikalität, Risikobewertung des Nutzers und Threat Intelligence – für schnellere und präzisere Entscheidungen in der Alarmbewertung.

Auch automatisierte Maßnahmen müssen auditierbar und manipulationssicher protokolliert werden. Sicherheitsoperationen müssen heute nicht mehr nur auf dem Papier existieren, sondern ihren Schutzstatus auch nachweislich belegen können; das ist zum Standard geworden.

Echtzeit-Reaktion ist keine Option mehr, sondern entscheidet darüber, ob ein Angriff abgewehrt wird oder Schlagzeilen macht.”

Verschlüsselung & Backups: Was man nicht sehen kann, kann man nicht stehlen

Wenn alles andere versagt, schützt Verschlüsselung sensible Daten als letzte Verteidigungslinie. Doch sie entfaltet ihre Wirkung nur bei korrekter Umsetzung. Und: Nicht jede Verschlüsselung ist gleichwertig.

Verschlüsselung in Ruhe und während der Übertragung

Effektiver Schutz erfordert Verschlüsselung in Ruhe und während der Übertragung. Bewährte Standards sind AES-256 für ruhende Daten und TLS 1.3 mit Forward Secrecy für Netzwerkverbindungen. Ebenso entscheidend ist ein sicheres Schlüsselmanagement – etwa durch Hardware Security Modules (HSMs) oder cloud-native Key Management Services (KMS). Regelmäßige Schlüsselrotationen und Widerrufrichtlinien erhöhen die Sicherheit zusätzlich und stellen die Einhaltung von Standards wie ISO 27001 und PCI DSS sicher.

Häufige Fallstricke vermeiden

In der Praxis scheitert Verschlüsselung selten an der Technik, sondern an deren Umsetzung. Ein häufiger Fehler: Die Schlüssel werden gemeinsam mit den verschlüsselten Daten gespeichert. Auch fehlende Rotation oder Ablaufdaten führen zu erhöhtem Risiko. Ohne automatisierte Prozesse entsteht schnell eine gefährliche Angriffsfläche.

Auditfeste Backup-Strategien

Backups sind nur dann eine zuverlässige Absicherung, wenn sie auch gegen Manipulation geschützt sind. Auditfeste Backups nutzen WORM-Speicher (Write Once, Read Many, werden geografisch verteilt und luftgetrennt gespeichert.

Wiederherstellungstests und manipulationssichere Protokolle sind essenziell – besonders in regulierten Sektoren.”

Gerade für Finanzinstitute ist die lückenlose Kontrolle über Datenzugriff, -speicherung und -wiederherstellung nicht nur ein Sicherheitsaspekt, sondern oft auch Voraussetzung für die Betriebserlaubnis.

Sicherheit, die ermöglicht, statt hemmt

Richtig umgesetzt ist Sicherheit ein Enabler für Cloud, Remote Work und DevOps. Adaptive Zugriffskontrollen, Security-as-Code und CI/CD-Integration vereinen Schutz und Agilität. Indem Cybersecurity-Strategien eng an Geschäftsziele angelehnt werden, lassen sich Reibungsverluste reduzieren, digitale Initiativen beschleunigen und Compliance gewährleisten – ohne die Kreativität zu bremsen. Ziel ist vertrauenswürdige Innovation in großem Maßstab. Giacomo Marinangeli, DSwiss

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/228481

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert