Cyber-Security-Ansatz
Mit Zero Trust Security und Usability unter einen Hut bringen
Die Kontrolle über Identitäten, Zugriffe und Daten behalten, ohne die Benutzerfreundlichkeit aus den Augen zu verlieren. Geht das? Einen Lösungsweg liefert Zero Trust. Mir dieser Strategie können Unternehmen Zugriffe absichern und Reibungsverluste vermeiden.
- Wie haben sich Sicherheitsvorfälle seit der Pandemie entwickelt?
- Wie sieht der Zero-Trust-Ansatz aus?
- Welche Technologien helfen dabei, Reibungsverluste zu vermeiden?
Die letzten beiden Jahre der Pandemie haben unser Arbeitsleben von Grund auf verändert. Vor allem für Security-Verantwortliche führte das zu großen Herausforderungen und einem deutlichen Mehraufwand: „Work from Home“ beziehungsweise hybride Arbeitsumgebungen sowie der vermehrte Einsatz von Cloud Computing und mobilen Anwendungen haben die Angriffsflächen von Unternehmen exponentiell vergrößert. Denn wenn Akteure die geschützten Unternehmensumgebungen verlassen, verliert der bewährte Perimeterschutz seine Wirkung. Um die Kontrolle über Identitäten, Zugriffe und Daten verteidigen zu können, müssen Unternehmen fortan eine Zero-Trust-Strategie verfolgen, ohne dabei die Benutzerfreundlichkeit aus den Augen zu verlieren.
Je mehr Mitarbeiter – und damit Geräte, Identitäten und Zugriffe – den geschützten Perimeter eines Unternehmens verlassen, desto größer wird seine Angriffsfläche. Kommt eine eskalierende Bedrohungslandschaft in Form von hoch motivierten Hackern und immer raffinierteren Angriffsmethoden hinzu, geraten die Security-Abteilungen mehr und mehr unter Druck. Genau dies mussten viele Unternehmen in den vergangenen beiden Jahren der Pandemie erleben: Die IT-Teams waren nicht nur damit belastet, sichere Fernarbeit zu gewähren, sondern sahen sich auch immer häufiger Cyberangriffen ausgesetzt.
So zeigt eine Umfrage des Branchenverbandes Bitkom1, dass seit Pandemiebeginn fast 60 Prozent der Unternehmen in Deutschland Sicherheitsvorfälle verzeichneten, die auf Remote-Arbeit ihrer Mitarbeiter zurückgeführt werden können. In 24 Prozent dieser Unternehmen war das laut Studie sogar häufiger der Fall. Für die Unternehmen selbst, lässt dies nur eine Konsequenz zu: Sie müssen ihre Systeme und die Zugriffe darauf noch besser kontrollieren und absichern. Nur so können Unachtsamkeiten, menschliche Fehler oder Manipulationsversuche nicht zu einer Katastrophe führen und das gestiegene Risikopotenzial unter Kontrolle gehalten werden. In vielen Security-Abteilungen ist das bewährte Credo „Vertrauen ist gut, Kontrolle ist besser“ deshalb längst dem viel schärferen Sicherheitsmotto „Vertraue nie, prüfe stets“ gewichen.
Im Wesentlichen bedeutet dies, dass sie einen Zero-Trust-Ansatz verfolgen, indem sie keinem Gerät, Nutzer oder Dienst innerhalb oder außerhalb des eigenen Netzwerks vertrauen und den Datenverkehr grundsätzlich verschlüsseln. Konkret besteht dieser Ansatz aus verschiedenen Technologien und Schutzmaßnahmen, die sicherstellen, dass nur einwandfrei authentifizierten Anwendern Systemzugriff ermöglicht wird. Eng verbunden mit dem Zero-Trust-Ansatz ist das bewährte Least-Privilege-Prinzip, bei dem Benutzer nur auf die Ressourcen zugreifen können, die sie für die Erledigung ihrer Aufgabe benötigen. Nach anfänglicher Authentifizierung verlangen Zero-Trust-Maßnahmen eine zusätzliche Verifizierung mittels weiterer Faktoren, wie etwa Biometrie, und verwehren Benutzern den Zugriff auf sämtliche Anwendungen oder Dienste, für die sie nicht autorisiert sind. Ein Ausbreiten von Angriffen in den Systemen kann so unterbunden und die Angriffsfläche minimiert werden.
Konnten sich in den letzten Jahren immer mehr Security-Verantwortliche für einen „Null-Vertrauen“-Ansatz in ihrer Sicherheitsstrategie begeistern, erlebte Zero Trust spätestens mit dem Einsetzen der Pandemie einen wahren Boom. Flächendeckende Remote-Arbeit – und damit verbunden immer mehr und immer neue Geräte, die plötzlich außerhalb der geschützten Netzwerke agieren –, haben das Sicherheitsbewusstsein nochmals geschärft.
Misstrauen als Basis für Sicherheit
Die Idee des Zero-Trust-Ansatzes ist einfach: Indem auch legitimen Nutzern erst einmal misstraut wird und sie ihre Identität so oft wie möglich bestätigen müssen, können Account-Kompromittierung und Missbrauch stark reduziert werden. Die praktische Umsetzung des Modells bedeutet für Unternehmen jedoch einen großen Aufwand. Das liegt zum einen daran, dass Zero Trust einen kulturellen Wandel erfordert. So muss es für die Mitarbeitenden ganz natürlich sein, dass ihre Legitimität fortwährend in Frage gestellt und Aktivitäten konstant überprüft werden, wobei sie verstehen müssen, dass dies nichts mit ihnen als reale Personen zu tun hat und keine moralische Bewertung darstellt. Zum zweiten ist Zero Trust keine bestimmte Technologie, die einmal installiert werden muss, sondern vielmehr eine spezielle Denk- und Herangehensweise, die verschiedene, auf das jeweilige Unternehmen zugeschnittene Maßnahmen, Techniken und Produkte vereint. Drittens darf bei der Durchsetzung von Autorisierungsmaßnahmen und Zugriffskontrollen das Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit nicht gestört werden. Die Basis für dieses Gleichgewicht ist der Einsatz eines risikobasierten Ansatzes mit verschiedenen Maßnahmen zur Kontrolle. Sie hängen von Faktoren wie dem Gerät des Benutzers, dem Standort, der Tageszeit oder den Systemen und Informationen, auf die sie zugreifen, ab. Jede Interaktion wird also gemäß ihrem Risikopotential behandelt und die Benutzer mit so wenig Reibungsverlusten wie möglich entsprechend authentifiziert.
So lassen sich Reibungsverluste bei Zero Trust verhindern
Die Umsetzung einer nachhaltigen Zero-Trust-Strategie mag auf den ersten Blick aufwendig erscheinen und einige Nachteile für die Nutzer mit sich bringen. Doch setzen Security-Abteilungen dabei auf die richtigen Technologien, sind sie durchaus in der Lage, die negativen Auswirkungen auf die Nutzer zu minimieren und die Benutzerfreundlichkeit zu erhöhen. Folgende Technologien sollten dabei zum Einsatz kommen:
- Single Sign-On (SSO): Der erste Schritt für weniger Reibungsverluste beim Nutzerzugriff ist die Single Sign-On-Authentifizierung. Diese stellt sicher, dass ein Nutzer nach einer einmaligen Authentifizierung auf alle Systeme, für die er berechtigt ist, vom selben Arbeitsplatz aus zugreifen kann – und zwar ohne sich bei jedem einzelnen Dienst zusätzlich einloggen zu müssen. Dies wäre erst nach einem Wechsel des Arbeitsplatzes vonnöten. Zwar spart SSO den Benutzern Zeit und erhöht die Sicherheit, da ein Passwort nur einmal übertragen werden muss, dennoch sollte die Authentifizierung mittels SSO nicht die einzige Sicherheitskontrolle sein.
- Privileged Access Management (PAM): Generell sollte die Security-Strategie von Unternehmen immer umfassende Privileged Access Management-Lösungen beinhalten. Diese ermöglichen den Sicherheitsverantwortlichen eine nahtlose Umsetzung einer minimalen Rechtevergabe, so dass sichergestellt wird, dass Nutzer nur auf die Daten und Anwendungen zugreifen können, die sie tatsächlich benötigen, und zwar auch nur dann, wenn sie sie benötigen. PAM kontrolliert dabei insbesondere die Privilegien von sensiblen Administratorkonten, die bei Cyberkriminellen hoch im Kurs stehen. Sie sind oft der erste Anlaufpunkt für Hacker, um die Sicherheitsmaßnahmen eines Unternehmens auszuspionieren und anschließend den vollen Systemzugriff zu erhalten, und bedürfen daher einer strengen Überwachung.
- Endpoint Privilege Management (EPM): Ein weiteres wichtiges Tool, welches das Risiko einer Kompromittierung lokaler Administrator-Zugriffe minimiert, ist Endpoint Privilege Management. Dies ist umso wichtiger, als Endpunkte nach wie vor eine der kritischsten Schwachstellen in der Unternehmens-IT darstellen. In Zeiten, in denen Mitarbeiter dezentral arbeiten und Endgeräte immer häufiger die geschützte Unternehmensumgebung verlassen, ist diese Maßnahme unerlässlich. EPM kombiniert Anwendungskontrolle und PAM, so dass nur vertrauenswürdige, bekannte Anwendungen auf Benutzergeräten ausgeführt werden können. Auf diese Weise hilft EPM, Bedrohungen wie Ransomware, Datendiebstahl oder Manipulationen auszumerzen.
- Multi-Faktor-Authentifizierung (MFA): Schließlich sollte auch die bewährte MFA Erwähnung finden. Sie ist ein sehr wirksames Mittel zur Durchsetzung einer adaptiven Authentifizierung, da Zugangsberechtigungen hier durch mehrere unabhängige Faktoren überprüft werden. In den letzten Jahren ist MFA dank verschiedener biometrischer Verfahren zudem äußerst benutzerfreundlich geworden.
Zero Trust ist keine Einzellösung, welche, einmal implementiert, dauerhaft für Sicherheit sorgt. Sie muss vielmehr als ein Weg verstanden werden, wie Unternehmen ihre Zugriffssicherheit gewähren. Dabei muss jedes Unternehmen für sich selbst bewerten, welche Kontrollen die größte Risikominderung bewirken, und ihre Zero-Trust-Strategie darauf basierend in einzelnen Schritten und mit einzelnen Maßnahmen aufbauen. Um Unterbrechungen der Arbeitsabläufe zu vermeiden, muss diese Risikominderung ohne spürbar höhere Reibungsverluste für die Nutzer erreicht werden.
Andreas Müller, Regional Director DACH, Delinea
Lesen Sie mehr zum Thema
