Anzeige

Identity

Zero-Trust-Modelle stehen aktuell hoch im Kurs und basieren auf einem einfachen Prinzip: Um IT-Systeme vor Cyber-Bedrohungen zu schützen, muss man alles anzweifeln und in nichts vertrauen. Doch was wäre, wenn man das Vertrauen nicht abschaffen, sondern verlagern würde?

Zwischen dem was sich innerhalb eines Firmennetzwerks befand (vertrauenswürdig) und dem, was sich außerhalb befand (potenzielle Bedrohung) existierte lange eine klare Trennung. Diese Trennung bot eine Form von physischer Sicherheit, bei der nur aus den Räumlichkeiten des Unternehmens auf die Netzwerkressourcen zugegriffen werden konnte. Und ohne die Büroräume zu betreten, gab es keinen Zugang zum Netz außer via VPN.

Die digitale Transformation hat die Systemarchitektur tiefgreifend verändert: Von der weit verbreiteten Nutzung von VPN-Zugängen bis hin zu Cloud-Anwendungen und gehosteten Infrastrukturen verschwinden buchstäblich die Grenzen des Netzwerkperimeters, so schnell, dass es fast keinen Sinn mehr ergibt, den Schutz des Unternehmens auf seine Netzwerkumgebung zu beschränken.

Problemstellung Fernzugriff

Neben dem Aufkommen der Cloud und dem mittlerweile weit verbreiteten Smart Working führt auch die Nutzung von Eigengeräten für Berufszwecke („Bring Your Own Device“) zum Verblassen der Grenzen von Unternehmensnetzwerken und beschert IT-Managern zusätzlichen Bedarf an Sicherheitsmaßnahmen. Dies mit zwei Prioritäten für die Sicherung von Fernzugriffen: Benutzer zu authentifizieren und zu autorisieren.

Dabei kann Ersteres (zum Teil) mit VPN angegangen werden. Durch die Schaffung eines sicheren und verschlüsselten Zugangstunnels ermöglicht es das Unternehmen dem Mitarbeiter auf Unternehmensressourcen zuzugreifen und Daten «abhörsicher» zu übertragen, unabhängig davon wo sich der Mitarbeiter befindet. Damit verlagert das Unternehmen sein Vertrauen auf das VPN, was viele Vorteile bietet: hochstandardisierte Protokolle, bekannte Verschlüsselungsalgorithmen und Schlüsselgrößen sowie gut identifizierte Kapazitäten und Grenzen. Die Aufgabe der Identifizierung und Authentifizierung der Mitarbeiter wird hingegen von Tools für die Fernverbindung und 2FA-Lösungen übernommen. Doch es gibt immer noch das Problem der Zugangskontrolle für heterogene Anwendungen und nicht unternehmenseigene. Daher der vermehrte Einsatz vom Zero-Trust-Ansatz in den letzten Jahren.

Zero-Trust oder die zentrale Frage des Vertrauens

Anders als bei VPN, das Vertrauen in eine sichere Verbindung zwischen zwei Entitäten setzt, wird beim Zero-Trust-Modell grundsätzlich alles überprüft: Zugänge, Identitäten und Berechtigungen, und zwar an jedem Zugangspunkt – auch innerhalb des Unternehmensnetzwerks. Dies bedeutet allerdings nicht, Vertrauen abzuschaffen, sondern es auf den Benutzer zu verlagern, zunächst einmal nach einem einfachen Prinzip: Wenn der Benutzer erwartungsgemäß authentifiziert ist, kann man ihm vertrauen. Doch, wir sind der Meinung, dass dies nicht ausreicht: Beim Zero-Trust-Ansatz geht es nicht rein um den Zugang zum Unternehmensnetzwerk, sondern um eine umfassende, personen- und gerätebezogene Sicherheit, die Benutzer- und Geräteidentifikation, Multi-Faktor-Authentifizierung und Zugriffsmanagement umfasst.

Die Zugangsberechtigungen werden je nach Art des Arbeitsgerätes (beruflich oder privat), der verwendeten Software, des Aktualitätsniveaus der Sicherheitslösung auf dem Rechner oder sogar des Ortes, an dem sich der Benutzer befindet (zu Hause, im Büro, unterwegs usw.) zugewiesen. Um das zu bewerkstelligen, müssen Schutzlösungen für Arbeitsplätze kontextbezogene Richtlinien unterstützen und das gebotene Sicherheitsniveau dynamisch an die Umgebung anpassen können. Ein Beispiel für solch eine dynamische Lösung ist Stormshield Endpoint Security (SES), die auf Kontextwechsel schnell reagiert und so ein hohes Schutzniveau gewährleistet.

Diese Granularität setzt eine gewisse Reife der Unternehmen voraus, insbesondere bei der klaren Festlegung der Zugriffsrechte der einzelnen Mitarbeiter, was problematisch sein kann. Denn das Identitäts- und Zugangsmanagement (Identity and Access Management – IAM) liegt nicht nur in der Verantwortung der IT-Abteilung, sondern auch anderen Geschäftsbereichen wie der Personalabteilung. Jeder Manager muss in der Lage sein, zu bestimmen, wer in seinem Team, wann, womit und worauf Zugriff hat und wer was tun darf. Die wachsende Anzahl an eingesetzten Arbeitstools im Unternehmen kann die nahtlose Verwaltung aller Berechtigungen und deren Aktualisierung schnell zu einem Kraftakt werden lassen, der jedoch für die Sicherheit eines Unternehmens essenziell ist, besonders wenn unternehmenskritische Anwendungen in einer Cloud gehostet werden.

Die Identität als neues Sicherheitsperimeter

Durch die Verlagerung des Vertrauens auf die Identifizierung und Authentifizierung des Benutzers, seines Zugangs und seines Gerätes macht der Zero-Trust-Ansatz die Identität zum neuen Sicherheitsperimeter. Das verhindert keineswegs die Implementierung bewährter Praktiken rund um das ZTN, wie zum Beispiel die Segmentierung des Netzwerkes, die jedoch nach dem Grad des Vertrauens vorzunehmen ist, das der jeweiligen „Identität“ entgegengebracht wird. Der Fokus liegt dabei auf der kontinuierlichen Neubewertung des dem Benutzer zu gewährenden Vertrauensgrades. Was wiederum erneut bestätigt, dass Cybersecurity niemals statisch sein kann, sondern sich ständig entwickelt.

www.stormshield.com
 


Weitere Artikel

Digital Identity

Self Sovereign Identity: Wieso die selbstverwaltete digitale Identität sicher ist

Eine digitale Identität, die Nutzer selbst verwalten? Kann das überhaupt sicher sein? Absolut, denn dahinter steckt ein komplexes System aus mehreren Entitäten und modernen Technologien. Dr. Paul Muntean, Senior Cyber Security Engineer bei Swisscom Trust…
Cybersecurity

Firmen fehlt einheitlicher Überblick über internes Identitätsrisiko

Cyberangriffe sind die größte Gefahr für Firmen. Das bestätigen Fach- und Führungskräfte, die vom Versicherungskonzern Allianz im Rahmen des aktuellen Riskobarometers befragt wurden. Der zur Allianz gehörende Industrieversicherer AGCS hat dazu im vergangenen…
Cyber Security

Empfehlungen für PAM im Hotellerie- und Gastgewerbe

Reisen ist wieder möglich. Eingeschränkt zwar, aber immerhin. Das Einchecken im Hotel wird in zwischen durch ein komplexes Netz digitaler Prozesse erleichtert. Von der Reservierung über die Bezahlung bis hin zur Personalisierung des Zimmerservice und anderer…
Passwort

Die Top 10 der beliebtesten Passwörter in 2021

Der Handel mit persönlichen Daten ist ein Milliardengeschäft - doch nicht nur Unternehmen, auch Cyberkriminelle zeigen ein wachsendes Interesse an der wertvollen Ressource.
Zero Trust

Zero Trust zeigt Zero-Day-Lücken die Zähne

Die unlängst in der populären Daten-Bibliothek Apache Log4J Logging entdeckte Sicherheitslücke hat das Potenzial, die Grundfesten traditioneller Sicherheitsparameter zu erschüttern. Diese Lücke verdeutlicht die Limitierung herkömmlicher Sicherheit und zeigt…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.