Von Zero Trust zu Adaptive Zero Trust

Cybersicherheit ist inzwischen ein zentrales Thema bei allen Gesprächen auf Vorstandsebene weltweit. Schwerwiegende Vorfälle (wie etwa der Cyberangriff auf Colonial Pipeline) im Jahr 2021 haben uns die potenziell verheerenden Folgen unzureichender Identitätssicherheit noch deutlicher vor Augen geführt – branchenübergreifend und unabhängig von der Größe des Unternehmens.

Das Zero-Trust-Konzept hat sich schnell als Muss für die Erhöhung der Widerstandsfähigkeit gegen Cyber-Angriffe (Business Resilience) in Unternehmen herauskristallisiert. Ein bewährtes Modell, wenn es darum geht, robuste und selektive Sicherheit im großen Maßstab zu implementieren. Im letzten Jahr konstatierte Microsoft, dass 96 % der Entscheidungsträger im Bereich Sicherheit, Zero Trust als für den Erfolg ihres Unternehmens unerlässlich erachten.

Anzeige

In der „Executive Order on Improving the Nation’s Cybersecurity“, des Weißen Hauses, erlassen im Mai 2021, wird Zero Trust ausdrücklich als Best Practice für moderne Cybersicherheitsprogramme in allen Bereichen gefordert (und vorgeschrieben). Im Anschluss daran veröffentlichte das U.S. Office of Management and Budget im Januar 2022 ein Memo, welches Zero Trust erneut als entscheidendes Element  einer modernen Cybersicherheitsstrategie hervorhebt.

Dem zum Trotz sind die Hürden auf dem Weg zu einer umfassenden Cybersicherheit heute dieselben wie vor 12 Monaten: Unternehmen werden sich genauso stetig weiterentwickeln, wie es Angreifer und Bedrohungsvektoren tun. Tatsächlich werden sie nie aufhören, sich weiterzuentwickeln. Ein (zu) eng gefasster und statischer Sicherheitsansatz ist also von vorneherein zum Scheitern verurteilt. 

Von Zero Trust zu „Adaptive Zero Trust“

Was aber genau versteht man unter „Adaptive Zero Trust“? Es handelt sich um eine evolutionäre Denkweise, die eng mit dem Zero-Trust-Axiom verbunden ist. Eine Denkweise, die es Unternehmen ermöglicht, sich an externe Veränderungen (z.B. solche der Risikolandschaft oder der Weiterentwicklung der IT) und interne Veränderungen (z.B. neue Mitarbeiter, die zum Unternehmen stoßen oder eine andere Position mit zusätzlichen Berechtigungen übernehmen) anzupassen und sich mit ihnen weiterzuentwickeln. Der Ansatz basiert auf moderner Technologie (denken Sie an adaptive Authentifizierung), die mit den sich stetig wandelnden Herausforderungen für CISOs und Sicherheitsexperten Schritt halten kann. 

Mit anderen Worten: Adaptive Zero Trust ist eine unverzichtbare Cybersicherheitsstrategie für alle, die in die Langlebigkeit ihres Unternehmens investieren und über Jahre hinweg „business resilient“ bleiben wollen. Zu wissen, was man zu tun hat, und zu wissen, wie man dieses Ziel am besten erreicht, sind allerdings zwei Paar Schuhe. Es gibt dennoch einige grundlegend wichtige Punkte, die Sie nicht außer Acht lassen sollten: 

• 360-Grad-Transparenz: Der Erfolg von adaptivem Zero Trust basiert darauf, das Netz weit genug auszuwerfen. Es reicht nicht, sich allein auf die Mitarbeiter zu konzentrieren. Dazu kommen maschinelle Identitäten und immer mehr Konten, weil Unternehmen sich auf eine multigenerationale, hybride und Edge-IT-Landschaft zu bewegen. Wenn man den Kreis zu eng zieht, bleiben Seitentüren für einen Cyberangriff sperrangelweit offen.

• Alles überprüfen: Ein zweites Schlüsselelement des adaptive Zero Trust-Konzepts ist die Bereitstellung eines Rechtekontinuums innerhalb des gesamten Unternehmens, dass Sie in der Lage, versetzt zunächst alles zu überprüfen, bevor Sie den Zugriff auf wichtige und sensible Assets/Systeme gewähren. Dank mehr Transparenz können Sicherheitsexperten Privilegien schneller, effizienter und zeitnah zuweisen, entfernen oder anpassen. Damit beschränken Sie den Benutzerzugriff auf das, was für die jeweilige Arbeitsanforderung notwendig ist, und dies genau im richtigen Moment. 

• Intelligente Kontrollen: Risikobewertungen ändern sich ständig, weil sich die Anforderungen an das Zugriffs- und Privilegien-Management weiterentwickeln, Richtlinien sich verändern und neue Bedrohungen auftauchen. Das Bewusstsein für den jeweiligen Kontext und die Analyse des Benutzerverhaltens geben Firmen wichtige Werkzeuge an die Hand. Sie erlauben es, Korrekturmaßnahmen schneller und effizienter zu antizipieren, zu erkennen und umzusetzen. Wenn man beispielsweise verdächtige Aktivitäten bei der Anmeldung an einem Konto beobachtet oder ein Verhalten, das von der vorab definierten Norm abweicht (z.B. ein Benutzer, der sich zur gleichen Zeit auf zwei verschiedenen Kontinenten anmeldet), muss ein Sicherheitsexperte über die entsprechende Transparenz verfügen. Gepaart mit geeigneten Tools, um die Autorisierung zu ändern oder zu verschärfen.

• Ganzheitlicher Ansatz: So wie die Bedrohungslandschaft, muss sich auch die Sicherheit eines Unternehmens weiterentwickeln  – wie auch Mitarbeiter, Anwendungen und Daten, die das Herzstück einer Firma sind. Das bedeutet nicht selten, bei Bedarf neue Funktionen hinzuzufügen, ohne den Geschäftsbetrieb übermäßig zu stören. Viele Unternehmen entscheiden sich im Zuge dessen für konvergente Plattformen bei der Identitätssicherheit. Das vereinfacht die aktuelle Zugriffsverwaltung, erlaubt es aber auch im Laufe der Zeit zusätzliche Funktionen zu implementieren wie etwa die Verwaltung privilegierter Zugriffe.

Fazit 

Derzeit fragt sich wohl so gut wie jedes Unternehmen, wie es sich gegen die Flut von Angriffen und Sicherheitsverletzungen im Cyberspace am besten wappnet. Für die meisten von ihnen ist der beste Weg der nach vorn. Dazu zählt sowohl jetzt als auch auf lange Sicht die Erkenntnis, dass der traditionelle Perimeter ausgedient hat. Angreifer finden einen Weg ins Unternehmensnetz. Und wenn das so ist, sollte man ihren potenziellen Wirkungsradius so weit als eben möglich begrenzen. 

Der Erfolg dieser Initiative steht und fällt mit der Einsicht, dass eine Zero-Trust-Strategie so flexibel sein muss wie die Bedrohungslandschaft, in der man mit ihr operiert. Technologie ist durchaus in der Lage die Erfolgschancen drastisch zu verbessern. Vorausgesetzt, Sie priorisieren einige wichtige Elemente eines adaptiven Zero Trust Frameworks.

Autor: Bhagwat Swaroop, Präsident und General Manager bei One Identity

Anzeige

Weitere Artikel

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button “Zum Newsletter anmelden” stimme ich der Datenschutzerklärung zu.