Vertrauensbildende Maßnahmen

Mit der Dominanz von Smartphone und Tablet als Front-end auch in der Geschäftswelt und der Cloud als Back-end verschwimmen bisherige Grenzen zwischen innen und außen. Unternehmen benötigen deshalb einen flexibleren Sicherheitsansatz. Im Mittelpunkt dabei: der Grundsatz „Authentifizierung zuerst“.

Moderne IT-Infrastrukturen machen es möglich: Der ortsgebundene Arbeitsplatz verschwindet und die Geschäftsprozesse verlagern sich immer mehr in die „mobile Allgegenwart“. Smartphone und Tablet bilden dabei das Front-end, als Back-end fungiert die Cloud. Mit dieser Konstellation löst sich aber der traditionelle Sicherheits-rahmen mit seinem genau definierten digitalen Grenzregime (Firewall, DMZ etc.) auf. In diesem Kontext konzentrierte sich die IT auf das zuverlässige Abschotten des Netzwerks gegen Übergriffe von außen. Schutzmechanismen waren Firewalls, Einbruchserkennungs- und Präventions-Systeme und ähnliches. In der Regel konnte man davon ausgehen, dass den Operationen, die innerhalb des Schutzwalls abliefen, absolut vertraut werden konnte. Böse Buben kamen einfach nicht hinein, so die (meistens auch durchaus) korrekte Einschätzung.

In Zeiten von Mobil-IT und (mobiler) Cloud ist eine solche Vertrauensbasis nicht mehr vorhanden. Denn die neue Freiheit, Daten immer verfügbar haben zu können, hat ihren Preis. Innen und außen gibt es in der alten Form nicht mehr, jeder ist verdächtig. Wozu sind der oder die in dieser Situation und an diesem Ort und mit diesem Endgerät berechtigt und wozu nicht, heißt die zentrale Frage. Niemand sollte sich einreden, dass er oder sie in einer sicheren Zone sei, beispielsweise in einem internen Unternehmensnetz, denn sichere Zonen gibt es per se nicht. Alle Akteure – ob in einem Unternehmen oder außerhalb eines Unternehmens – sind potenzielle Gefährder.

Sichere Zonen müssen in den heutigen IT-Infrastrukturen, die durch mobile Endgeräte und in der Cloud befindliche Unternehmensdaten geprägt sind, erst geschaffen werden. Man spricht in diesem Zusammenhang auch von einer software-definierten Umgebung (Software Defined Perimeter).

Wenn innen und außen nicht mehr statisch gegeben sind, sondern durch Software erst dynamisch erzeugt werden, steht im Übrigen auch eine traditionelle Sicherheitsmaßnahme wie ein Virtual Private Network (VPN) auf dem Prüfstand. Denn wenn Daten potenziell auch im innersten Kreis abgefangen werden können, tunnelt man unter solchen Umständen per VPN ja womöglich direkt superverschlüsselt Unternehmensinformationen in falsche Hände. Deswegen muss aber nicht gleich die ganze VPN-Technik auf die technische Müllhalde geworfen werden, aber doch im Lichte des „ausgefransten Perimeters“ überarbeitet werden.

Authentifizierung zuerst
Dreh- und Angelpunkt eines Zero-Trust-Ansatzes ist die Gestaltung der Zugangsmechanismen. Was dabei zu tun ist, lässt sich gut durch einen Vergleich mit der (bisherigen) Vorgehensweise bei der Netzwerkzugangskontrolle (Network Access Control, NAC) illustrieren: Bei NAC wird bisher zuerst eine Netzwerkverbindung zu einer bestimmten Ressource hergestellt und erst dann der Benutzer, der auf die Ressource zugreifen will, authentifiziert und autorisiert. Beim Konzept des software-definierten Perimeters, den man als technische Ausgestaltung der Zero-Trust-Idee ansehen kann, wird dagegen zuerst eine kontextbasierte Authentifizierung- und Autorisierungs-Routine angestoßen. Nur wenn sich dabei eine „weiße Weste“ herausstellt, wird die Netzwerkverbindung, beispielsweise ein VPN, geschaltet.

Bei der Authentifizierungs- und Autorisierungs-Routine werden unter anderem folgende Parameter abgeprüft:

• Sind auf dem Endgerät die neuesten Patchprogramme aufgespielt?
• Ist das Endgerät manipuliert (Jailbreak oder Rooting)?
• Enthält das Endgerät technologisch fortschrittliche Schutzprogramme zur Abwehr von Cyberangriffen (beispielsweise Abwehrprogramme, die auf der Basis von maschinellem Lernen in Echtzeit Verhaltensanomalien erkennen)?
• Aus welcher Region will sich das Endgerät einwählen?
• Wird das Endgerät durch ein Enterprise-Mobility-Management-System verwaltet?
• Kommen die Apps auf dem Endgerät aus einem verlässlichen AppStore und sind sie App-Risiko-Management-System geprüft?

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

1. Vertrauensbildende Maßnahmen
2. Kontextuelle Authentifizierungs- und Zugangssysteme

Lesen Sie mehr zum Thema

Weitere Artikel zu connect professional

Meetingbox Huus Meet Pro im Test

Schöner meeten

Digitale Gesundheitsdaten

Bundesweiter Start der E-Patientenakte rückt näher

KI-Tools für die Lehre

Baustein für bessere Bildung

Kundenbarometer Internet B2B 2025

Welcher Internetanbieter überzeugt?

Eintritt in Europas größten TK-Markt

Schwedische Vinnergi beteiligt sich an deutscher Vivax Net

Weitere Artikel zu Sicherheit

Human Risk Management

Mimecast übernimmt Elevate Security

Adventskalender von Exclusive Networks

„All I want for christmas“-Gadgets bis Weihnachten

Spezialist für IT-Sceurity

BOLL Engineering baut Distributionsportfolio kräftig aus

Security-Lösungen für Service Provider

SonicWall übernimmt Solutions Granted

OT-Sicherheit

TXOne Networks nun VDMA-Mitglied

Weitere Artikel zu Viren-/Malware-Schutz

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen

VAD erweitert Portfolio

ICOS und Avast schließen Partnerschaft

Weitere Artikel zu Mobile Security

Cyan Guard 360

Cybersecurity für den Mittelstand

Videoüberwachung und LivEye

Mobile Videosicherheit als Dienstleistung

Unternehmen im Fadenkreuz

Cyberangriffe auf Rekordniveau

Onlinebetrug vorbeugen

o2 Telefónica mit neuer Identifizierungslösung für Händler

Mobiles Gerätemanagement

Samsung richtet Knox-Services neu aus