Warum Sicherheit Transparenz erfordert

Jeder Anbieter behauptet bis zu einem gewissen Grad, sein Produkt sei „sicher“, doch das Wort hat seine Bedeutung verloren. Sicherheit ist zu einem Marketingbegriff geworden statt zu einer messbaren Eigenschaft. In Backup- und Speichersystemen, wo am meisten auf dem Spiel steht, ist Transparenz der einzige Weg, Sicherheit von einem Slogan in etwas zu verwandeln, das Organisationen bewerten können.  

Administratoren müssen nicht nur verstehen, was ein Anbieter behauptet, sondern auch, auf welchen Annahmen diese Aussagen beruhen, wogegen die Architektur ausgelegt ist und wie diese Ziele validiert wurden. 

Um Zero Trust- und Zero-Trust-Datenresilienz-Architekturen zu bewerten, müssen Anbieter darlegen, was sie annehmen, was während eines Angriffs passieren wird, was ihrer Annahme nach nicht passieren wird und wie sich ihr System verhält, wenn diese Annahmen in Frage gestellt werden. Ohne diese Klarheit bleiben Organisationen dabei, vage Zusicherungen statt belastbarer Nachweise zu interpretieren. 

Wenn Anbieter nicht transparent sind, müssen Kunden Realität von Rauschen trennen. Transparenz ermöglicht ihnen zu verstehen, was tatsächlich stimmt. 

Zero Trust beginnt mit der Annahme, dass es zu einem Sicherheitsvorfall kommen wird.

Zero Trust wird oft auf eine Reihe von Härtungsfunktionen wie MFA, TLS und rollenbasierte Zugriffskontrolle reduziert; das übergeordnete Prinzip, auf das es am meisten ankommt, ist jedoch eine „Assume Breach“-Mentalität. Das bedeutet, eine Kompromittierung nicht nur der Netzwerkumgebung, sondern auch des Produkts des Anbieters selbst anzunehmen. Wenn ein Angreifer administrativen Zugriff erlangt, Anmeldedaten stiehlt oder sich als Operator ausgibt, muss das Speichersystem die Backup-Daten dennoch schützen. Ein Zero Trust-Design kann nicht erfolgreich sein, wenn nicht alle Beteiligten die „Assume Breach“-Mentalität mittragen.  

Wenn Sie akzeptieren, dass es nicht die Frage ist, ob, sondern wann, dann müssen Sie darauf vorbereitet sein, sich von einem Worst-Case-Angriffsszenario zu erholen – nicht nur vom erwarteten. 

Deshalb sind Architekturentscheidungen wichtiger als Härtungs-Checklisten. Das Prinzip der geringsten Privilegien muss durchgesetzt werden, damit keine einzelne Person die Backup-Daten eines Unternehmens zerstören kann. Funktionale Segmentierung stellt sicher, dass Backup-Software und Backup-Speicher nicht Teil derselben Vertrauensdomäne sind.  

Die Segmentierung von Authentifizierungsdomänen verhindert, dass eine Kompromittierung in einer Identitätsebene in eine andere übergreift. Und Netzwerksegmentierung reduziert die Pfade, die ein Angreifer nutzen kann, um kritische Systeme zu erreichen. 

Härtungsfunktionen beantworten nicht die Kernfrage: Was passiert, wenn der Angreifer die Schlüssel bereits hat?  

Deshalb setzt sich Object First mit Nachdruck für Zero Trust ein und belegt dies durch unabhängige Tests, dass sich das System wie vorgesehen verhält – selbst wenn alle Geheimnisse bekannt sind. 

Warum Transparenz historisch entmutigt wurde 

Aussagekräftige Sicherheitstests erfordern Unabhängigkeit, Transparenz und Wiederholbarkeit. Reine interne Tests des Anbieters reichen nicht aus, weil sie nicht von internen Zwängen sowie Anreizen getrennt werden können.  

Unabhängige Tests durch Dritte liefern eine externe Bewertung, ob sich das System wie behauptet verhält – insbesondere unter adversarialen Bedingungen. Diese Berichte müssen vollständig veröffentlicht werden, nicht selektiv auszugsweise, um eine falsch konstruierte, positive Fassade zu erzeugen. 

Organisationen sollten außerdem die Möglichkeit haben, das System selbst zu testen oder einen Dritten damit zu beauftragen. Viele Organisationen werden nicht die Zeit oder Ressourcen haben, solche Tests durchzuführen, aber die Möglichkeit dazu ist essenziell. Wenn die Lizenzvereinbarung eines Anbieters Tests untersagt, sollte diese Einschränkung als Warnsignal gewertet werden. Ein System, das nicht getestet werden kann, kann nicht vertrauenswürdig sein. 

Die meisten Organisationen haben weder die Zeit noch die Expertise, jede Sicherheitsbehauptung zu validieren. Deshalb müssen Anbieter Nachweise liefern und Vertrauen verdienen – nicht voraussetzen. 

Object First liefert, was es verspricht 

Unabhängige Tests sind außerdem der einzige verlässliche Weg, Aussagen zu Immutability, Zero Access und Segmentierung zu validieren. Das sind keine Eigenschaften, die sich allein anhand von Dokumentation bewerten lassen; sie müssen durch externe Penetrationstests nachgewiesen werden, die Bedingungen simulieren, wie sie während eines aktiven Ransomware-Angriffs auftreten. Das ist besonders wichtig für Absolute Immutability, das davon ausgeht, dass der Angreifer alles weiß, was der Administrator weiß, und dennoch Backup-Daten nicht verändern oder löschen kann. 

Backup-Speicher muss als letzte Verteidigungslinie dienen, wenn jede andere Kontrolle versagt, und als erste Wiederherstellungslinie, wenn die Organisation ihre Daten zurückbraucht. 

Offene Dokumentation und Definition der Angriffsfläche 

Ein Anbieter muss außerdem in der Lage sein, seine Angriffsfläche klar zu definieren. Ohne diese Definition können weder interne noch externe Tests aussagekräftig sein. Ein gut konzipiertes Backup-Speichersystem hat eine kleine, eng abgegrenzte Angriffsfläche mit klar dokumentierten Grenzen, Protokollen und Verhaltensweisen. 

Ein Anbieter, der diese Komponenten nicht dokumentiert, verlangt von Organisationen, einer Blackbox zu vertrauen. Ohne Dokumentation können Organisationen nicht verstehen, wie das System funktioniert, was es exponiert oder wie es bewertet werden sollte. Wenn Anbieter Dokumentation vermeiden, halten sie Organisationen faktisch „im Dunkeln“ darüber, wie das System entworfen ist und sich verhält. 

Versteckte oder unvollständige Dokumentation schafft ein einfaches, aber gravierendes Risiko: Organisationen wissen nicht, worauf sie sich verlassen. Sie können nicht testen, was sie nicht sehen, und sie können nicht bewerten, was sie nicht definieren können. Transparenz bedeutet nicht, IT- und Sicherheitsteams mit unnötigen Details zu überfrachten; sie bedeutet, die tatsächliche Angriffsfläche zu dokumentieren und diese Dokumentation mit plausiblen Bereitstellungsmustern und Bedrohungsmodellen in Einklang zu halten. 

Wie Käufer Sicherheitsbehauptungen von Anbietern bewerten sollten 

Jeder Anbieter fordert Kunden letztlich auf, ihm zu vertrauen. Die Frage ist, ob dieses Vertrauen verdient ist. IT- und Sicherheitsteams sollten nach klaren Erklärungen der Sicherheitsarchitektur des Anbieters suchen, einschließlich dessen, was der Anbieter annimmt, was während eines Angriffs passieren wird und was nicht. Sie sollten eine Definition der Angriffsfläche erwarten, Dokumentation, die die Nutzung in der Praxis widerspiegelt, sowie Lizenzbedingungen, die unabhängige Tests erlauben. 

Am wichtigsten ist, dass Kunden unabhängige Tests durch Dritte erwarten sollten, die Immutability, Zero-Access-Kontrollen und Segmentierung des Systems unter adversarialen Bedingungen validieren. Sie sollten außerdem auf das Engagement eines Anbieters für das CISA-Secure by Design-Versprechen achten, das die Bereitschaft signalisiert, Sicherheitsherausforderungen offen anzugehen. 

Die Aussagen eines Anbieters sollten durch Handlungen gestützt sein, nicht durch Worte. Transparenz macht diese Aussagen zu etwas Überprüfbarem.