Zero-Trust – Sag mir, wer du bist, dann sag ich dir, was du darfst

Ist bei vertrauensbasierten Sicherheitsansätzen ausschlaggebend, wo sich eine Person aufhält, steht bei Zero-Trust die Identität des Mitarbeiters im Fokus. Neue Technologien und veränderte Arbeitsweisen machen ein benutzerzentriertes Schutzkonzept über kurz oder lang unausweichlich. Darauf muss sich auch der Fachhandel einstellen. Ein Vier-Stufen-Modell zeigt deshalb, wie sich eine Zero-Trust-Architektur implementieren lässt.

Herkömmliche Sicherheitsarchitekturen unterscheiden zwei Bereiche: das vertrauenswürdige Unternehmensnetzwerk, in dem Mitarbeiter uneingeschränkten Datenzugriff haben, und das nicht vertrauenswürdige Umfeld jenseits des Perimeters. Überwacht wird die dazwischen liegende Grenze in der Regel durch Firewalls, die das Netzwerk vor unerlaubtem Eindringen schützen.

 

Schluss mit Schwarz-Weiß-Denken

Das vertrauensbasierte Modell hat jedoch seine Tücken. Denn ist die Netzwerkbarriere erst einmal durchbrochen, kann ein Angreifer relativ einfach im privilegierten Intranet eines Unternehmens an Informationen gelangen. Auch Insider-Threats haben leichtes Spiel: So kann ein Mitarbeiter mit böswilligen Absichten großflächig Schaden anrichten, ohne dafür die Netzwerkgrenze überhaupt durchbrechen zu müssen.

Aber vor allem neue Technologien wie Cloud-Computing, die ständig wachsende Nutzung von Mobilgeräten sowie Remote-Zugriffe aus dem Homeoffice sorgen dafür, dass der Dualismus eines nicht vertrauenswürdigen externen und eines vertrauenswürdigen internen Netzwerks nicht mehr wirklich praktikabel ist. Mitarbeiter und Geschäftspartner müssen von überall auf Daten und Dokumente zugreifen können, egal wo diese gespeichert sind.

 

Arbeitsplätze der Zukunft

Die Corona-Pandemie hat das flexible Arbeiten zusätzlich stark vorangetrieben, wie die internationale Studie „Arbeitsplätze der Zukunft“ des sysob-Herstellerpartners Okta belegt. Im Auftrag des Anbieters von Identitätslösungen befragte Yougov 6.000 Büroangestellte in Deutschland, Frankreich, Großbritannien und den Niederlanden zu ihren Arbeitsbedingungen vor und während der Pandemie.

In Deutschland gab beispielsweise die Mehrheit der Befragten (59 %) an, vor der Corona-Zeit nie von zu Hause aus, sondern fünf Tage die Woche in einem Büro gearbeitet zu haben. Dies gilt insbesondere für bestimmte Branchen, wie das verarbeitende Gewerbe (65 %), das Baugewerbe (54 %) und den Immobiliensektor (50 %), die tendenziell auf ein traditionelles Arbeitsumfeld setzen. Doch während der Pandemie sind flächendeckend und branchenübergreifend so viele Menschen ins Homeoffice gewechselt wie nie zuvor – und dies prägt den Wandel der Arbeitswelt nachhaltig: Die Mehrheit der Umfrageteilnehmer wünscht sich für die Zukunft eine flexible Regelung, um teilweise von zu Hause und im Büro arbeiten zu können. Von allen Befragten in Europa bevorzugten etwa 35 % diese Arbeitsweise, in Deutschland waren es 32 %. Etwa 16 % aller Befragten sagten zudem, künftig gerne vollständig remote bzw. im Homeoffice arbeiten zu wollen.

In puncto IT-Sicherheit waren viele Unternehmen scheinbar nicht besonders gut auf die Pandemie vorbereitet. In Deutschland gaben nur 18 % der Befragten an, vollkommen überzeugt zu sein, dass die von ihrem Arbeitgeber eingesetzten Online-Sicherheitsmaßnahmen sie am Heimarbeitsplatz vor Cyberangriffen schützen. Immerhin 5 % sagten sogar, sie haben überhaupt keinen Glauben daran. Hier variieren die Zahlen von Sektor zu Sektor; während 27 % der Arbeitnehmer aus der IT-Branche voll und ganz zuversichtlich waren, dass ihr Arbeitgeber im Bereich Sicherheit „vollständig vorbereitet“ sei, waren nur 11 % der Befragten im Gesundheitswesen und Bildungssektor derselben Meinung.

 

Zero-Trust: personenbezogener Security-Ansatz

Insgesamt scheint bei der Absicherung von Remote Work noch viel Luft nach oben zu sein. Dies ist eine Chance für Systemhäuser und Fachhändler, bei ihren Kunden ein Zero-Trust-Konzept umzusetzen. Hierbei ist nicht mehr nur entscheidend, von wo eine Person auf das Unternehmensnetz zugreift. Ganz nach dem Motto „Vertraue nichts und niemandem, kontrolliere alles“ wird der gesamte Netzwerkdatenverkehr als grundsätzlich nicht vertrauenswürdig betrachtet und es kommt auf den Mitarbeiter und seine individuellen Zugriffsrechte auf bestimmte Ressourcen an. Traffic und Nutzerverhalten unterstehen einer permanenten Überprüfung, Protokollierung und adaptiven Bewertung, um so die IT-Sicherheit zu gewährleisten.

Die zentrale Technologie für den Einstieg von Unternehmen in Zero-Trust-Strategien ist das Identitäts- und Zugriffsmanagement.

 

Implementieren von Zero-Trust-Architekturen in vier Phasen

  • Phase 0: Fragmentierte Identität

Vor der Einführung von Zero-Trust arbeiten viele Unternehmen mit einer Vielzahl von lokalen und Cloud-Anwendungen, die weder untereinander noch mit dem Onpremises-Active-Directory verknüpft sind. Die IT-Abteilung steht vor der Herausforderung, unterschiedliche Identitäten für diverse Systeme und Dienste zu verwalten. Für Benutzer bedeutet dies wiederum, dass sie zahlreiche Passwörter benötigen, die sehr wahrscheinlich einem geringen Sicherheitslevel entsprechen und schlimmstenfalls mehrfach verwendet werden. Ohne Transparenz und Kontrolle über diese fragmentierten Identitäten sind Sicherheitsteams der Tatsache ausgeliefert, dass Angreifern viele potenzielle Einfallstore für den unbefugten Zugriff zur Verfügung stehen.

  • Phase 1: Einheitliches Identity and Access-Management (IAM)

Es gilt zuerst, die unterschiedlichen Identitäten in einem professionellen IAM mit zentralem Verzeichnisdienst zu konsolidieren. Unverzichtbare Basis einer Zero-Trust-Strategie sind dabei Funktionen wie Single-Sign-On (SSO) und Multi-Faktor-Authentifizierung (MFA). Diese Zugriffstechnologien sollten nicht nur bei den eigenen Mitarbeitern zum Einsatz kommen, sondern alle Benutzer mit einbeziehen, die Zugang zu Systemen und Anwendungen benötigen, d.h. auch Geschäftspartner, Zulieferer und Dienstleister. Darüber hinaus ist die Vereinheitlichung von Zugriffsrichtlinien für alle Anwendungen und Server wichtig, damit die IT-Abteilung die Infrastruktur ganzheitlich verwalten und kontrollieren kann.

  • Phase 2: Kontextabhängiger Zugriff

Die nächste Implementierungsphase von Zero-Trust-Sicherheit beinhaltet die Erstellung kontextbasierter Zugriffsrichtlinien. Zum Kontext gehören Informationen über den Benutzer, die Anwendung, auf welche zugegriffen werden soll, das verwendete Gerät, den Standort sowie das Netzwerk. So kann beispielsweise mit einer Richtlinie festgelegt werden, dass verwaltete Endpoints aus dem Firmennetzwerk nahtlosen Zugriff erhalten, während noch nicht erfasste Endgeräte, die sich zudem von öffentlichen Standorten aus anzumelden versuchen, zur Multi-Faktor-Authentifizierung aufgefordert werden. Unternehmen können auch über Benutzergruppen hinweg mehrere Faktoren einsetzen und so eine Step-up-Authentifizierung umsetzen. Beispielsweise könnte für risikoarme Benutzer ohne Smartphones eine Einmalkennung ausreichen, während für risikoreiche Ziele eine Authentifizierung mittels zweier Faktoren notwendig wäre.

Auch das sichere Offboarding sollte in dieser Implementierungsstufe geregelt werden. Verlässt ein Mitarbeiter das Unternehmen, stellt dann die automatisierte Identitätsvergabe sicher, dass sein Zugriff ab dem Ausscheidungsdatum gesperrt ist. Wechselt jemand nur innerhalb des Unternehmens seine Funktion, kann die IAM-Software ebenfalls automatisiert dafür sorgen, dass der Benutzer fortan nur Zugriff auf die Tools hat, die er für seine neue Tätigkeit benötigt. Schließlich sollte das Richtlinienmanagement auch den sicheren Zugriff auf APIs umfassen.

  • Phase 3: Adaptive Workforce

Am Schluss der Zero-Trust-Implementierung steht die Authentifizierung und Autorisierung des Zugriffsprozesses. Diese Sicherheitsfunktion geht über die punktuelle Authentifizierung am Ort des Zugangs hinaus und ergänzt diese um eine fortlaufende adaptive und risikoabhängige Bewertung des Nutzerverhaltens. Auf der Grundlage der Kontextdaten aus Phase 2 lässt sich das Risiko jedes Authentifizierungsvorgangs bestimmen und das Sicherheitslevel bei Bedarf anpassen. Ändert sich ein Aspekt des Benutzerkontexts, reagiert die adaptive Authentifizierungslösung sofort und fordert gegebenenfalls einen zweiten Faktor an. Letztendlich entsteht so nicht nur mehr Sicherheit durch intelligente Zugangskontrollen, sondern auch mehr Benutzerfreundlichkeit. Denn sogar eine Authentifizierung ohne Kennwort ist möglich, sofern der IT-Administrator in einer entsprechenden Richtlinie festgelegt hat, dass beispielsweise ein Hardware-Token als primärer Authentifizierungsfaktor das Passwort ersetzt.

 

Fazit

Die meisten Unternehmen stehen beim Thema Zero-Trust heute noch ganz am Anfang. Doch angesichts dynamischer Arbeitswelten und wachsender Cyberbedrohungen besteht Handlungsbedarf bei der IT-Sicherheit. Fachhändler und Systemhäuser sollten ihre Kompetenzen dahingehend ausbauen und Unternehmen bei der Implementierung eines Zero-Trust-Ansatzes unterstützen. Hersteller wie Okta haben sich auf ein richtliniengesteuertes und verhaltensbezogenes Identitäts- und Zugriffsmanagement spezialisiert und bieten hierfür entsprechende Cloud-Lösungen.

#Sysob