Anzeige

Anzeige

Identity

Zero-Trust-Modelle stehen aktuell hoch im Kurs und basieren auf einem einfachen Prinzip: Um IT-Systeme vor Cyber-Bedrohungen zu schützen, muss man alles anzweifeln und in nichts vertrauen. Doch was wäre, wenn man das Vertrauen nicht abschaffen, sondern verlagern würde?

Zwischen dem was sich innerhalb eines Firmennetzwerks befand (vertrauenswürdig) und dem, was sich außerhalb befand (potenzielle Bedrohung) existierte lange eine klare Trennung. Diese Trennung bot eine Form von physischer Sicherheit, bei der nur aus den Räumlichkeiten des Unternehmens auf die Netzwerkressourcen zugegriffen werden konnte. Und ohne die Büroräume zu betreten, gab es keinen Zugang zum Netz außer via VPN.

Die digitale Transformation hat die Systemarchitektur tiefgreifend verändert: Von der weit verbreiteten Nutzung von VPN-Zugängen bis hin zu Cloud-Anwendungen und gehosteten Infrastrukturen verschwinden buchstäblich die Grenzen des Netzwerkperimeters, so schnell, dass es fast keinen Sinn mehr ergibt, den Schutz des Unternehmens auf seine Netzwerkumgebung zu beschränken.

Problemstellung Fernzugriff

Neben dem Aufkommen der Cloud und dem mittlerweile weit verbreiteten Smart Working führt auch die Nutzung von Eigengeräten für Berufszwecke („Bring Your Own Device“) zum Verblassen der Grenzen von Unternehmensnetzwerken und beschert IT-Managern zusätzlichen Bedarf an Sicherheitsmaßnahmen. Dies mit zwei Prioritäten für die Sicherung von Fernzugriffen: Benutzer zu authentifizieren und zu autorisieren.

Dabei kann Ersteres (zum Teil) mit VPN angegangen werden. Durch die Schaffung eines sicheren und verschlüsselten Zugangstunnels ermöglicht es das Unternehmen dem Mitarbeiter auf Unternehmensressourcen zuzugreifen und Daten «abhörsicher» zu übertragen, unabhängig davon wo sich der Mitarbeiter befindet. Damit verlagert das Unternehmen sein Vertrauen auf das VPN, was viele Vorteile bietet: hochstandardisierte Protokolle, bekannte Verschlüsselungsalgorithmen und Schlüsselgrößen sowie gut identifizierte Kapazitäten und Grenzen. Die Aufgabe der Identifizierung und Authentifizierung der Mitarbeiter wird hingegen von Tools für die Fernverbindung und 2FA-Lösungen übernommen. Doch es gibt immer noch das Problem der Zugangskontrolle für heterogene Anwendungen und nicht unternehmenseigene. Daher der vermehrte Einsatz vom Zero-Trust-Ansatz in den letzten Jahren.

Zero-Trust oder die zentrale Frage des Vertrauens

Anders als bei VPN, das Vertrauen in eine sichere Verbindung zwischen zwei Entitäten setzt, wird beim Zero-Trust-Modell grundsätzlich alles überprüft: Zugänge, Identitäten und Berechtigungen, und zwar an jedem Zugangspunkt – auch innerhalb des Unternehmensnetzwerks. Dies bedeutet allerdings nicht, Vertrauen abzuschaffen, sondern es auf den Benutzer zu verlagern, zunächst einmal nach einem einfachen Prinzip: Wenn der Benutzer erwartungsgemäß authentifiziert ist, kann man ihm vertrauen. Doch, wir sind der Meinung, dass dies nicht ausreicht: Beim Zero-Trust-Ansatz geht es nicht rein um den Zugang zum Unternehmensnetzwerk, sondern um eine umfassende, personen- und gerätebezogene Sicherheit, die Benutzer- und Geräteidentifikation, Multi-Faktor-Authentifizierung und Zugriffsmanagement umfasst.

Die Zugangsberechtigungen werden je nach Art des Arbeitsgerätes (beruflich oder privat), der verwendeten Software, des Aktualitätsniveaus der Sicherheitslösung auf dem Rechner oder sogar des Ortes, an dem sich der Benutzer befindet (zu Hause, im Büro, unterwegs usw.) zugewiesen. Um das zu bewerkstelligen, müssen Schutzlösungen für Arbeitsplätze kontextbezogene Richtlinien unterstützen und das gebotene Sicherheitsniveau dynamisch an die Umgebung anpassen können. Ein Beispiel für solch eine dynamische Lösung ist Stormshield Endpoint Security (SES), die auf Kontextwechsel schnell reagiert und so ein hohes Schutzniveau gewährleistet.

Diese Granularität setzt eine gewisse Reife der Unternehmen voraus, insbesondere bei der klaren Festlegung der Zugriffsrechte der einzelnen Mitarbeiter, was problematisch sein kann. Denn das Identitäts- und Zugangsmanagement (Identity and Access Management – IAM) liegt nicht nur in der Verantwortung der IT-Abteilung, sondern auch anderen Geschäftsbereichen wie der Personalabteilung. Jeder Manager muss in der Lage sein, zu bestimmen, wer in seinem Team, wann, womit und worauf Zugriff hat und wer was tun darf. Die wachsende Anzahl an eingesetzten Arbeitstools im Unternehmen kann die nahtlose Verwaltung aller Berechtigungen und deren Aktualisierung schnell zu einem Kraftakt werden lassen, der jedoch für die Sicherheit eines Unternehmens essenziell ist, besonders wenn unternehmenskritische Anwendungen in einer Cloud gehostet werden.

Die Identität als neues Sicherheitsperimeter

Durch die Verlagerung des Vertrauens auf die Identifizierung und Authentifizierung des Benutzers, seines Zugangs und seines Gerätes macht der Zero-Trust-Ansatz die Identität zum neuen Sicherheitsperimeter. Das verhindert keineswegs die Implementierung bewährter Praktiken rund um das ZTN, wie zum Beispiel die Segmentierung des Netzwerkes, die jedoch nach dem Grad des Vertrauens vorzunehmen ist, das der jeweiligen „Identität“ entgegengebracht wird. Der Fokus liegt dabei auf der kontinuierlichen Neubewertung des dem Benutzer zu gewährenden Vertrauensgrades. Was wiederum erneut bestätigt, dass Cybersecurity niemals statisch sein kann, sondern sich ständig entwickelt.

www.stormshield.com
 


Weitere Artikel

Digitale Identität

EUid: Bürger sollen sich europaweit mit digitaler Identität ausweisen

Die Europäische Kommission hat in der vergangenen Woche einen Rahmen für eine europäische digitale Identität (EUid) vorgestellt, die allen Bürgern, Einwohnern und Unternehmen in der EU bis September 2022 zur Verfügung stehen soll.
PKI

Cloud-basierte PKI-Lösungen sind auf dem Vormarsch

Immer mehr Unternehmen kehren kostenintensiven On-Premises-PKI-Systemen den Rücken und setzen stattdessen auf leicht skalierbare und flexible Cloud-Lösungen. HID Global erklärt die Vorteile Cloud-basierter PKI-Lösungen.
Password

Mehrheit der Deutschen zu leichtsinnig beim Passwortschutz

In der Corona-Krise haben die Deutschen mehr digitale Dienste mit Login ausprobiert: Inzwischen ist ein Drittel (33%) bei bis zu 20 Online-Diensten mit Nutzername und Passwort registriert. Gegenüber dem Vorjahr (18%) ist dies fast eine Verdoppelung.
Passwortsicherheit

Unternehmen erfüllen nicht die Login-Erwartungen der Verbraucher

Online-Einkäufe, Abwicklung von Bankgeschäften oder Musik- und Videostreaming: verstärkt durch die Pandemie loggen sich Verbraucher täglich über unzählige Portale ein, um auf bestimmte Services zugreifen zu können.
RSA

RSA ist tot – wir wollen es nur nicht wahrhaben

Eine der typischen Eigenschaften des Internets ist die Geschwindigkeit mit der es sich weiterentwickelt. Die freundliche AOL-Stimme, die uns früher mit „Sie haben Post“ begrüßte, wirkt heute wie ein Relikt aus längst vergangenen Zeiten. Warum aber verlässt…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.