Zero-Trust-Sicherheit

Zero Trust bedeutet, dass Unternehmen Personen oder Dingen, die auf ihr Netzwerk, ihre Maschinen, ihre IP-Adressen usw. zugreifen möchten, nicht automatisch vertrauen sollten. Stattdessen sollten sie jeden Benutzer und jedes Gerät wie eine Bedrohung behandeln und die Zugriffsrechte verifizieren, bevor der Zugriff tatsächlich gewährt wird.

Zero Trust stützt sich auf vier wesentliche Prinzipien zum Absichern der IT-Umgebung von Unternehmen:

1. Niemals vertrauen, immer verifizieren

Der Gedanke hinter dem Grundsatz „Niemals vertrauen, immer verifizieren“ ist, dass Sie niemals darauf vertrauen sollten, dass Benutzer auch sind, wer sie vorgeben zu sein. Stattdessen sollten Sie ihre Identität und Zugriffsberechtigungen immer verifizieren. Dadurch verbessern sich Ihre Chancen, Cyberkriminelle oder böswillige Programme zu stoppen, bevor sie auf die sensiblen Informationen des Unternehmens zugreifen oder sonstigen Schaden anrichten können.

2. Bedrohungen kommen von innen und außen

Bei der klassischen IT-Sicherheit liegt der Fokus darauf, das Unternehmen vor externen Bedrohungen für das Netzwerk, die Anwendungen oder die Geräte zu schützen. Es wird davon ausgegangen, dass Personen im Unternehmen „sicher“ sind. Daher werden sie nur selten als Bedrohungsquellen erachtet.

Aktuelle Umfragen zeigen, dass diese Denkweise nicht nur falsch, sondern auch ausgesprochen gefährlich ist. De facto sind die Zwischenfälle, bei denen Insider involviert waren, zwischen 2018 und 2020 um 47 % gestiegen. Das zeigt, dass das von internen Bedrohungen ausgehende Risiko auch ernst zu nehmen ist und zunimmt. Sie müssen Insider-Bedrohungen also ebenfalls als solche anerkennen und entsprechende Maßnahmen ergreifen. Genau darum geht es bei Zero Trust.

3. Mikrosegmentierung verwenden

Die Mikrosegmentierung ist eine Methode zum Erstellen von Netzwerksegmenten oder „Mikroperimetern“ um spezifische Assets herum. So wird die Angriffsfläche reduziert und die IT-Sicherheitsteams von Unternehmen können granulare Richtlinienkontrollen implementieren. Das Ziel besteht darin, die laterale Bewegung von Angreifern einzuschränken und so das Unternehmen vor Sicherheitsverletzungen zu schützen.

4. Least-Privilege-Prinzip

Das Least-Privilege-Prinzip besagt, dass alle Benutzer, Geräte, Workloads oder Prozesse nur das absolute Mindestmaß an Berechtigungen erhalten, die für die beabsichtigte Funktion benötigt werden. So werden Unternehmensassets vor unbefugten Benutzern geschützt – ganz gleich, ob die Zugriffsversuche von innerhalb oder von außerhalb des Unternehmensnetzwerks kommen.

Zwischen dem ersten und dem zweiten Quartal 2021 hat die Anzahl an Datensicherheitsverletzungen um 38 % zugenommen. 2021 lagen die durchschnittlichen Kosten einer Datensicherheitsverletzung bei 4,24 Millionen USD, 2020 waren das noch 3,86 Millionen USD. Außerdem sollen die durch Cyberkriminalität verursachten Schäden Prognosen zufolge bis 2025 10,5 Billionen USD überschreiten. Zum Bewältigen dieser Bedrohungen wurden die IT-Sicherheitsinvestitionen erhöht. Dennoch glauben 78 % aller IT-Führungskräfte im Sicherheitsbereich, dass ihre Unternehmen nicht ausreichend vor Cyberangriffen geschützt sind. Um diese Herausforderung zu meistern, implementieren viele Unternehmen Zero-Trust-Sicherheitsmodelle.

Beim klassischen Vertrauensmodell wird davon ausgegangen, dass innerhalb des Unternehmensnetzwerks allem vertraut werden kann. Zero Trust ist komplett anders. Hier wird „Vertrauen“ mit „Schwachstelle“ gleichgesetzt. Um Ihr Unternehmensnetzwerk vor Bedrohungsakteuren zu schützen, muss diese Schwachstelle komplett beseitigt werden. Aus diesem Grund benötigen Sie Zero-Trust-Sicherheit.

Dem National Institute of Standards and Technology (NIST) zufolge ist eine Zero-Trust-Architektur (ZTA) eine Cybersicherheitsarchitektur in Unternehmen, die auf Zero-Trust-Prinzipien beruht und auf das Verhindern von Datensicherheitsverletzungen und das Beschränken von internen lateralen Bewegungen abzielt.

Eine Zero-Trust-Architektur (ZTA) soll die Cybersicherheit eines Unternehmens stärken und dessen Assets vor Bedrohungen schützen. Sie erkennt an, dass Bedrohungen sowohl innerhalb als auch außerhalb des klassischen Netzwerkperimeters existieren, und geht davon aus, dass Sicherheitsverletzungen unvermeidbar sind. Vor allem aber gewährt sie Benutzern nur Zugriff auf das, was sie für ihre Aufgaben benötigen. Schließlich identifiziert sie anormale oder potenziell böswillige Aktivitäten, um zu verhindern, dass Cyberangriffe sich im Netzwerk ausbreiten.

Im Mai 2021 unterzeichnete Joe Biden den Präsidentenerlass zur Verbesserung der nationalen Cybersicherheit. Diese Anordnung schreibt vor, dass alle öffentlichen Behörden planmäßig und auf koordinierte Weise eine ZTA implementieren müssen. Böswillige Cyberkampagnen bedrohen sowohl den öffentlichen als auch den privaten Sektor der USA. In dem Präsidentenerlass wird dem Rechnung getragen. Behörden sowie deren Auftragnehmer müssen eine ZTA zu implementieren, um solche Bedrohungen zu identifizieren, zu erkennen, abzuwenden und sich davor zu schützen.

Die US-Bundesregierung beauftragt Serviceanbieter aus dem Bereich Informationstechnologie (IT) und Betriebstechnologie (Operational Technology, OT) mit der Ausführung verschiedener alltäglicher Aufgaben auf staatlichen Informationssystemen. Infolge dieses Präsidentenerlasses werden wahrscheinlich alle Verträge zwischen Regierungsstellen und Auftragnehmern von Behörden neue integrierte Cybersicherheitspraktiken wie eine ZTA vorschreiben. Das gilt auch für Anbieter kommerzieller Standardsoftware. Gemäß dem Erlass wird das NIST Sicherheitsrichtlinien für die Softwarelieferkette veröffentlichen. Diese Initiativen gelten nur für die Auftragnehmer von Behörden. Allerdings kann es in Zukunft auch Erwartungen an den Privatsektor geben, eine ZTA und andere Sicherheitsmaßnahmen zu implementieren. Aus diesem Grund müssen alle Unternehmen auf diese Richtlinien achten und sie zum Verbessern ihrer Cybersicherheit nutzen.

Seit der Coronapandemie ist die Remote-Arbeit für Tausende von Unternehmen zur Normalität geworden. Durch dieses Modell entstehen aber auch ernste Herausforderungen in puncto Cybersicherheit. Beim Arbeiten von zu Hause verwenden Benutzer oft unsichere Privatgeräte, Remote-Kanäle und Tools für die Zusammenarbeit. Cyberkriminelle nutzen diese Schwachstellen aus, um Unternehmen anzugreifen und ihre Daten zu stehlen. Zwischen Februar und Mai 2020 haben Hacker die persönlichen Daten von mehr als 500.000 Videokonferenz-Benutzern gestohlen und sie im Darkweb verkauft. Seit dem Beginn der Pandemie haben Ransomware-Angriffe um fast 500 % zugenommen. Auch die Phishing-Angriffe mit Bezug auf die Coronapandemie haben sich vermehrt. In den Spitzenzeiten der Pandemie im Jahr 2020 waren solche Angriffe um 220 % gestiegen.

Viele Unternehmen haben ein virtuelles privates Netzwerk (VPN) implementiert. Ein VPN ermöglicht es Remote-Mitarbeitern, auf die Netzwerkassets und Daten zuzugreifen, die sie für ihre Arbeit benötigen. Allerdings kann ein VPN die Cybersicherheit eines Unternehmens beeinträchtigen:

• Ein VPN kann die Netzwerke, Daten oder Mitarbeiter von Unternehmen nicht gänzlich vor Malware, Hackern oder Sicherheitsverletzungen schützen.

• VPNs können auch keine Richtlinien erstellen oder erzwingen, um Anmeldeinformationen wie Kennwörter zu schützen. Wenn Drittanbieter Zugriff auf das Netzwerk oder die Daten eines Unternehmens haben, können böswillige Hacker schwache VPN-Protokolle ausnutzen, um Datensicherheitsverletzungen zu verursachen.

• Bereits ein einziger kompromittierter Remote-Mitarbeiter, der das VPN nutzt, kann die Tür für einen Cyberangriff öffnen.

Je mehr Remote-Mitarbeiter ein VPN verwenden, umso höher ist das Risiko von Cyberangriffen. Eine Zero-Trust-Architektur ist essenziell, um dieses Risiko zu minimieren.

Mit einem VPN können Benutzer in der Regel auf große Teile der Unternehmensinfrastruktur zugreifen. Mit einer ZTA können sie aber nur auf die Assets und Anwendungen zugreifen, die sie für ihre Aufgaben benötigen. In einer ZTA werden Geräte auch kontinuierlich überwacht, sodass nur autorisierte Geräte auf das Unternehmensnetzwerk zugreifen können. Als zusätzliche Sicherheitsmaßnahme werden alle Zugriffsversuche von Benutzern und Geräten nachverfolgt. Eine ZTA bietet also höhere und zuverlässigere Sicherheit als ein VPN.

Mit einer ZTA wird die Vertrauenskomponente eliminiert. Benutzeridentitäten werden immer wieder überprüft, der Zugriff auf Unternehmensressourcen durch Benutzer und Geräte wird beschränkt und es werden kleinere Bereiche innerhalb des Netzwerks erstellt. Diese Prinzipien sind extrem wichtig, da im Falle einer Sicherheitsverletzung die mögliche Angriffsfläche minimiert werden kann. Außerdem kann die laterale Bewegung im Netzwerk begrenzt werden. So können Sie die Ausbreitung von Malware im Netzwerk verhindern und die Auswirkungen einer Datensicherheitsverletzung beschränken.

Für umfassende Rundumsicherheit sollten Sie Folgendes implementieren:

• Zero-Trust-Netzwerkzugriff

• Zero-Trust-Anwendungszugriff

• Zero-Trust-Datenzugriff

Branchen wie der Öl- und Gassektor, die Versorgungsindustrie und die Energiebranche haben ihre Cybersicherheitsinfrastruktur etwas langsamer aufgerüstet. Tendenziell wird hier eine Kombination aus Legacy- und moderner Ausrüstung verwendet, was die Absicherung erschwert. Außerdem mangelt es oft an aktualisierten und zuverlässigen Sicherheitskontrollen zum Schutz von Kennwörtern, VPNs usw. Auch das effektive Identifizieren, Isolieren und Ausräumen von Cyberangriffen bereitet Probleme. Ein gutes Beispiel für die Defizite in der Industriebranche ist der Ransomware-Angriff auf Colonial Pipeline. Im Mai 2021 kompromittierten Hacker das IT-Netzwerk von Colonial Pipeline mit einem VPN und gestohlenen Anmeldeinformationen eines einzigen Insiders, der mit den entsprechenden Berechtigungen ausgestattet war. Eine ZTA hätte diesen Angriff womöglich verhindert, weshalb Zero Trust für diese Branchen besonders wichtig ist.

Eine ZTA behandelt die Identität jeder Maschine, Anwendung und jedes Benutzers wie einen unabhängigen Perimeter. Das ermöglicht es solchen Unternehmen, ihre Assets zu schützen und die Ausbreitung von Cyberangriffen zu verhindern.

Zum Vereinfachen der ZTA-Implementierung sind die folgenden Tools unerlässlich:

Single Sign-On

Single Sign-On (SSO) ermöglicht es Benutzern, mit einem einzigen Satz Anmeldeinformationen auf alle Konten und Anwendungen zuzugreifen. SSO erhöht die Sicherheit durch Eliminierung von Kennwörtern bei gleichzeitiger Steigerung der Benutzerfreundlichkeit und Mitarbeiterzufriedenheit.

Multi-Faktor-Authentifizierung

Die Multi-Faktor-Authentifizierung (MFA) ist ein kritisches Tool für Identity and Access Management (IAM), das jedes Unternehmen zum Schützen seiner kritischen IT-Assets nutzen sollte. Anders als kennwortbasierte Systeme verlangt die MFA, dass Benutzer zusätzliche Faktoren für den Zugriff auf ein Konto oder eine Anwendung verwenden. Sie müssen beispielsweise eine PIN oder biometrische Daten zusätzlich zum Benutzernamen und Kennwort angeben. So wird sichergestellt, dass nur die richtige Person auf die richtigen Anwendungen oder Konten zugreifen kann.

Idealerweise sollten Sie versuchen, MFA mit SSO zu kombinieren. Andernfalls müssen Ihre Benutzer mehr Schritte durchlaufen, um sich bei einem System anzumelden. Dies kann eine mühsame und frustrierende Erfahrung sein, insbesondere wenn sich Benutzer mehrmals am Tag anmelden müssen.

Systeme für eine schnelle Provisionierung

Wenn Sie auf Zero Trust umsteigen, benötigen Sie eine Möglichkeit zum schnellen Provisionieren und Deprovisionieren von Benutzern. Durch die Implementierung des Zugriffs nach dem Least-Privilege-Prinzip müssen Sie womöglich regelmäßig Ausnahmen machen. Wenn Ihr aktuelles Provisionierungssystem zeitaufwendig ist, werden die Dinge beim Umstieg auf Zero Trust also nur noch komplexer werden. Für eine mühelose ZTA sollten Sie unbedingt ein System für eine schnelle Provisionierung implementieren.

Geräteschutz

Jedes Benutzergerät (auch als „Endpunkt“ bezeichnet) ist sowohl der zentrale Angriffspunkt als auch die erste Verteidigungslinie. Halten Sie also immer Ausschau nach Tools zum Schutz von Geräten, die Geräte schützen und überwachen, sodass Sie die Gefahr an der Quelle beseitigen können.

Adaptive Zugriffskontrolle

Bei der adaptiven Zugriffskontrolle wird das Benutzerverhalten kontinuierlich überwacht und die Zugriffsberechtigungen werden in Echtzeit aktualisiert. Außerdem werden Analysen des Benutzer- und Entitätsverhaltens implementiert, um das Benutzerrisiko basierend auf den Aktivitäten zu beurteilen. Durch kontinuierliche Vertrauensbewertung passt die adaptive Zugriffskontrolle das Vertrauensniveau von Benutzern an, um ihre Zugriffsmöglichkeiten einzuschränken und so das Risiko zu verringern.

Plattformen zur Sicherheitsbewertung

Mit einer Plattform zur Sicherheitsbewertung können Sie Ihre Umgebung kontinuierlich scannen, um neue Risiken zu ermitteln. Die Plattform und ihr Bewertungssystem liefern Einblicke in alle Zugriffspunkte und zeichnen ein umfassenderes Bild der Risiken. Außerdem werden priorisierte Warnmeldungen mit Bereinigungsempfehlungen generiert, sodass Ihr Sicherheitsteam unmittelbar Maßnahmen zur Verbesserung der Sicherheit des Unternehmens ergreifen kann.

Verwaltung von Sicherheitsinformationen und -ereignissen

Die Verwaltung von Sicherheitsinformationen und -ereignissen (Security Information and Event Management, SIEM) sollte ein wesentlicher Bestandteil Ihrer Zero-Trust-Strategie sein. Eine SIEM-Plattform aggregiert mehrere Datenquellen und Warnmeldungen aus der gesamten IT-Infrastruktur des Unternehmens. Sie analysiert diese Aktivitäten, um verdächtiges Verhalten zu ermitteln, und generiert auch automatische Benachrichtigungen für Sicherheitsereignisse.

Sicherheitsorchestrierung, -automatisierung und -reaktion

Ähnlich wie SIEM ermöglicht auch die Sicherheitsorchestrierung, -automatisierung und -reaktion (Security Orchestration, Automation, and Response, SOAR) die Erfassung von Daten zu Sicherheitsbedrohungen. Außerdem untersucht sie Bedrohungen und automatisiert die Reaktion und Bereinigung bei Vorfällen. Dank der Automatisierungsfunktionen kann SOAR die zum Qualifizieren und Untersuchen von Bedrohungen erforderliche Zeit reduzieren. Außerdem wird die mittlere Reparaturzeit (Mean Time to Repair, MTTR) verkürzt. Diese „Fehlermetrik“ steht für die durchschnittliche Zeit, die zum Reparieren und Wiederherstellen der Normalfunktion eines Systems nach Erkennung eines Fehlers benötigt wird.

In Anbetracht der zunehmenden Cyberangriffe auf Unternehmen ist das klassische Motto „Vertrauen, aber verifizieren“ der Netzwerksicherheit nicht mehr angemessen oder ausreichend. Sicherheitsteams sollten wissen, dass implizites Vertrauen gegenüber Benutzern und Endpunkten Risiken für ihr Unternehmen durch böswillige Angreifer, nicht autorisierte Benutzer, leichtsinnige Insider und kompromittierte Konten bedeutet.

Zum Absichern des Unternehmens ist ein Zero-Trust-Modell unerlässlich. Das Motto bei diesem Modell ist „Niemals vertrauen, immer verifizieren“ und bei Zero Trust wird auch das Least-Privilege-Prinzip angewendet. Damit wird für besseren Schutz in Anbetracht einer wachsenden Cyberbedrohungslandschaft gesorgt. Mit Zero Trust können Unternehmen eine bessere Zugriffskontrolle implementieren, ihre Assets schützen, Sicherheitsverletzungen eindämmen und das Schadenspotenzial minimieren.