Der rasche Wandel hin zu mehr Remote-Arbeit und die damit verbundene explosionsartige Zunahme von Geräten hat die Zahl der Cyber-Bedrohungen drastisch erhöht. Vor diesem Hintergrund stehen Unternehmen vor der Herausforderung, ihre hochkomplexen Cloud-basierten Technologie-Ökosysteme zu schützen, da Mitarbeiter, Software und selbst Partnerorganisationen eine Bedrohung für die Sicherheit wertvoller Systeme und Daten darstellen können. In Konsequenz hat sich der Zero-Trust-Ansatz als ein populäres Security-Framework etabliert. Das Analystenhaus Markets and Markets prognostiziert, dass die weltweiten Ausgaben für Zero-Trust-basierte Software und Dienstleistungen von 27,4 Milliarden US-Dollar im Jahr 2022 auf 60,7 Milliarden US-Dollar im Jahr 2027 steigen werden.
Was ist Zero Trust?
Bei einer Zero-Trust-Architektur wird das inhärente Vertrauen in das Netzwerk aufgehoben. Stattdessen wird das Netzwerk als feindlich eingestuft und jede Zugriffsanfrage auf der Grundlage einer Zugriffsrichtlinie überprüft. Ein effektives Zero-Trust-Framework kombiniert mehrere Tools und Strategien und basiert auf einer goldenen Regel: Vertraue niemandem. Stattdessen muss jede Entität (Person, Gerät oder Softwaremodul) und jede Zugriffsanfrage auf technologische Ressourcen genügend Informationen bereitstellen, um sich dieses Vertrauen zu verdienen. Wird der Zugriff gewährt, so gilt er nur für das spezifische Asset, das für die Ausführung einer Aufgabe erforderlich ist, und nur für einen begrenzten Zeitraum.
Die Rolle der Zero-Trust-Authentisierung
Da passwortbasierte, traditionelle Multi-Faktor-Authentisierung (MFA) von Cyberkriminellen leicht ausgehebelt werden kann, erfordert ein effektiver Zero-Trust-Ansatz eine starke Validierung der Benutzer durch eine Phishing-resistente, passwortlose MFA. Außerdem muss das Vertrauen in das Endgerät hergestellt werden, das für den Zugriff auf Anwendungen und Daten verwendet wird. Wenn Unternehmen dem Benutzer oder dessen Gerät nicht vertrauen können, sind alle anderen Komponenten eines Zero-Trust-Ansatzes nutzlos. Die Authentisierung ist daher für eine erfolgreiche Zero-Trust-Architektur entscheidend, da sie den unbefugten Zugriff auf Daten und Dienste verhindert und die Durchsetzung der Zugriffskontrolle so granular wie möglich gestaltet. In der Praxis muss diese Authentisierung möglichst reibungslos und benutzerfreundlich sein, damit Nutzer diese nicht umgehen oder den Helpdesk mit Supportanfragen bombardieren.
Die Vorteile einer passwortlosen Authentisierung
Das Ersetzen herkömmlicher MFA durch starke, passwortlose Authentisierungsmethoden ermöglicht Sicherheitsteams den Aufbau der ersten Schicht ihrer Zero-Trust-Architektur. Das Ersetzen von Passwörtern durch FIDO-basierte Passkeys, die asymmetrische Kryptografie verwenden, und deren Kombination mit sicherer gerätebasierter Biometrie, schafft einen Phishing-resistenten MFA-Ansatz. Benutzer werden authentifiziert, indem sie nachweisen, dass sie das registrierte Gerät besitzen, welches kryptografisch an ihre Identität gebunden ist, und zwar durch eine Kombination aus einer biometrischen Authentisierung und einer asymmetrischen kryptografischen Transaktion. Die gleiche Technologie wird bei der Transaction-Layer-Security (TLS) genutzt, mit der die Authentizität einer Website sichergestellt und ein verschlüsselter Tunnel aufgebaut wird, bevor Benutzer sensible Informationen austauschen, beispielsweise beim Online-Banking.
Diese starke Authentisierungsmethode bietet nicht nur erheblichen Schutz vor Cyberangriffen, sondern kann auch die Kosten und administrativen Aufgaben reduzieren, die mit dem Zurücksetzen und Sperren von Passwörtern bei herkömmlichen MFA-Tools verbunden sind. Vor allem aber ergeben sich langfristige Vorteile durch verbesserte Arbeitsabläufe und Produktivität der Mitarbeiter, da die Authentisierung besonders benutzerfreundlich und ohne Reibungsverluste gestaltet ist.
Anforderungen einer Zero-Trust-Authentisierung im Überblick
Es ist wichtig, dass sich Unternehmen, die ein Zero-Trust-Framework implementieren möchten, so früh wie möglich mit der Authentisierung befassen. Dabei sollten sie auf die folgenden Punkte achten:
1. Starke Benutzervalidierung: Ein starker Faktor, um die Identität des Nutzers zu bestätigen, ist der Besitznachweis seines zugewiesenen Geräts. Dieser wird erbracht, wenn sich der autorisierte Benutzer nachweislich am eigenen Gerät authentisiert. Die Identität des Geräts wird dafür kryptographisch an die Identität des Benutzers gebunden. Diese beiden Faktoren eliminieren Passwörter oder sonstige kryptographische Geheimnisse, die Cyberkriminelle von einem Gerät abrufen, über ein Netzwerk abfangen oder Benutzern durch Social Engineering entlocken können.
2. Starke Gerätevalidierung: Mit einer starken Gerätevalidierung unterbinden Organisationen die Nutzung unbefugter BYOD-Geräte, indem sie nur bekannten, vertrauenswürdigen Geräten Zugang gewähren. Der Validierungsprozesses prüft, ob das Gerät an den Benutzer gebunden ist und die nötigen Sicherheits- und Compliance-Anforderungen erfüllt.
3. Benutzerfreundliche Authentisierung für Nutzer und Administratoren: Passwörter und herkömmliche MFA sind zeitaufwändig und beeinträchtigen die Produktivität. Eine passwortlose Authentisierung ist einfach einzuführen und zu verwalten und verifiziert Benutzer innerhalb von Sekunden über einen biometrischen Scanner auf ihrem Gerät.
4. Integration mit IT-Verwaltungs- und Sicherheitstools: Das Sammeln von möglichst vielen Informationen über Benutzer, Geräte und Transaktionen ist bei der Entscheidung, ob ein Zugriff gewährt wird, sehr hilfreich. Eine Zero-Trust-Richtlinien-Engine erfordert die Integration von Datenquellen und anderen Software-Tools, um korrekte Entscheidungen zu treffen, Warnungen an das SOC zu senden und vertrauenswürdige Protokolldaten für Auditing-Zwecke zu teilen.
5. Fortschrittliche Richtlinien-Engines: Der Einsatz einer Richtlinien-Engine mit einer benutzerfreundlichen Oberfläche ermöglicht es Sicherheitsteams, Richtlinien wie Risiko-Level und Risiko-Scores zu definieren, die den Zugriff kontrollieren. Automatisierte Richtlinien-Engines helfen bei der Erfassung von Daten aus Zehntausenden von Geräten, einschließlich mehrerer Geräte sowohl von internen Mitarbeitern als auch von externen Dienstleistern. Da die Nutzung von Risiko-Scores anstelle von Rohdaten in vielen Situationen sinnvoll ist, muss die Engine auch auf Daten aus einer Reihe von IT-Verwaltungs- und Sicherheitstools zugreifen. Nach der Erfassung wertet die Richtlinien-Engine die Daten aus und ergreift die in den Richtlinien festgelegten Maßnahmen, zum Beispiel die Genehmigung oder das Blockieren eines Zugriffs oder die Quarantäne eines verdächtigen Geräts.
Die traditionelle passwortbasierte Multi-Faktor-Authentisierung stellt für Angreifer inzwischen eine sehr niedrige Hürde dar. Ein Authentisierungsprozess, der sowohl Phishing-resistent als auch passwortlos ist, ist deshalb eine Schlüsselkomponente eines Zero-Trust-Frameworks. Hierdurch werden nicht nur Cybersecurity-Risiken erheblich verringert, sondern auch die Produktivität der Mitarbeiter und Effizienz des IT-Teams verbessert.
Von Jasson Casey, Chief Technology Officer, Beyond Identity