Die Cyber-Gefahrenlage ist für deutsche Unternehmen so ernst wie niemals zuvor. In der aktuellen Studie „Cyber-Security 2022“ geben 77 % der befragten Unternehmen an, dass die Zahl der Cyber-Vorfälle 2022 im Vergleich zum Vorjahr gestiegen ist. Laut dem Digitalverband Bitkom entsteht der deutschen Wirtschaft ein jährlicher Schaden in Höhe von 203 Milliarden Euro durch Cyber-Kriminalität. Im Bericht zur Lage der IT-Sicherheit in Deutschland weist das Bundesamt für Sicherheit in der Informationstechnik (BSI) darauf hin, dass die Anzahl der Schadsoftware allein zwischen Juni 2021 und Mai 2022 um 116,6 Millionen zugenommen hat.
Etablieren Sie eine zentrale Grundlage für Zero Trust
Veränderte Arbeitswelt erhöht das Risiko
Gerade hybride IT-Umgebungen, wie sie in den meisten Unternehmen zu finden sind, stellen ein attraktives Ziel für Cyber-Kriminelle dar, wenn sie es auf den Diebstahl oder die Verschlüsselung von vertraulichen Daten abgesehen haben. Auch die veränderte Arbeitswelt trägt ihren Teil dazu bei, dass die Risiken für Unternehmen hinsichtlich Cyber-Attacken immer weiter steigt. Noch vor wenigen Jahrzehnten erfolgte der Zugriff auf IT-Anwendungen und Daten ausschließlich von einem festen Standort innerhalb des Unternehmensnetzwerks. Nach außen konnte das Netzwerk durch Firewalls wirksam geschützt werden. Innerhalb des Netzwerks hatten nur die Mitarbeiter Zugriff. Heutzutage hingegen ist Remote-Arbeit an der Tagesordnung – ob aus dem Homeoffice oder von unterwegs über mobile Geräte. Mitarbeiter greifen von nahezu überall auf Firmenressourcen und -netzwerke zu. Die Daten werden nicht mehr lokal, sondern überwiegend in der Cloud gespeichert.
Herkömmliche Ansätze kommen an ihre Grenzen
Während sich die Arbeitswelt in den vergangenen Jahren also radikal verändert hat, hinken die Sicherheitskonzepte diesen Veränderungen hinterher. Das früher gängige Sicherheitskonzept basierte darauf, dass sich der Mitarbeiter mit seinen Zugangsdaten und seinem Passwort am System anmeldet und auf diese Weise Zugriff auf nahezu alle Ressourcen erhält. In der heutigen Welt lässt sich mit einem solchen Konzept nicht mehr zuverlässig sicherstellen, dass Angreifern der Zugriff auf Daten und Anwendungen von Unternehmen verwehrt bleibt. Zumal der Faktor Mensch nach wie vor das größte Einfallstor darstellt, weil er oft auf die mittlerweile äußerst ausgefeilten Social-Engineering- und Phishing-Methoden hereinfällt und seine Login-Daten preisgibt.
Video: Zero Trust in zwei Minuten erklärt
Was bedeutet Zero Trust?
Folglich braucht es neue Sicherheitskonzepte, die den veränderten Realitäten in Sachen Cyber-Gefahren Rechnung tragen. Zero Trust basiert auf dem Grundsatz, keinem Gerät, Nutzer oder Dienst und keiner Anwendung innerhalb oder außerhalb des eigenen Netzwerks zu vertrauen. Das bedeutet, dass jeder Zugang zu Systemen und Anwendungen überprüft wird. Vertrauen wird beim Zero-Trust-Ansatz als dynamische Größe betrachtet und darf niemals stillschweigend gewährt werden. Vielmehr laufen permanent verschiedene Schutzmechanismen und Echtzeit-Analysen, um die Rechtmäßigkeit der Anfrage immer wieder aufs Neue zu ermitteln.
Alle Entitäten müssen explizit validiert, authentifiziert und autorisiert werden. Findet eine solche Prüfung nicht statt, wird der Zugriff verweigert. Ebenso darf der Zugriff niemals über das festgelegte Maß an Vertrauen hinaus gewährt werden. Es erfolgt eine kontinuierliche Überwachung und Neubewertung, ob Vertrauen gewährt wird. Darüber hinaus gehört zu Zero Trust auch das Prinzip der minimalen Berechtigungen. Der Mitarbeiter erhält nur auf die Anwendungen und Daten Zugriff, die er für die Erledigung seiner Aufgaben auch wirklich benötigt. Weitere wichtige Elemente sind eine rollenbasierte Rechtevergabe und das Verbot von lokalen Admin-Rechten für Benutzer.
IAM unterstützt Zero Trust maßgeblich
Das Identity & Access Management (IAM) leistet einen entscheidenden Beitrag bei der Umsetzung des Zero-Trust-Konzeptes. Es bildet eine zentrale Kontrollebene mit Zugriffsregeln für sämtliche Anwendungen und steuert so den Zugriff auf die Ressourcen. Im Rahmen von Zero Trust ist eine dynamische und kontinuierliche Authentifizierung elementar, um zu ermitteln, ob die Benutzer auch tatsächlich diejenigen sind, die sie zu sein vorgeben. Mithilfe von automatisierten Prozessen schafft das Identity & Access Management einen Kompromiss zwischen größtmöglicher Sicherheit und einem effektiven, komfortablen Arbeiten. Die technischen Säulen des IAM, die dazu beitragen, Zero Trust umzusetzen, sind das Rollenmanagement, das User Lifecycle Management und das Access Management.
Wie Zero Trust Realität wird
Eines vorweg: Zero Trust lässt sich nicht von heute auf morgen realisieren. Vielmehr muss die Umsetzung Schritt für Schritt über einen längeren Zeitraum erfolgen. Eine wichtige Voraussetzung für den Erfolg von Zero Trust ist ein verändertes Sicherheitsverständnis der Entscheidungsträger im Unternehmen und eine Neuausrichtung des Security-Konzepts.
Was die konkrete Umsetzung angeht, ist zu empfehlen, sich zunächst einen Überblick zu verschaffen, wer aktuell worauf Zugriff hat und wer welche Berechtigungen tatsächlich benötigt. Darüber hinaus sind Unternehmen gefordert, die Bestandteile ihres Portfolios nach Störanfälligkeit zu priorisieren – mit dem Ziel, das Risiko vor allem in den sensiblen Bereichen maximal zu reduzieren. Die Wirksamkeit von Zero Trust steht und fällt mit der Einrichtung eines effektiven Prozesses für die Authentifizierung, Autorisierung und kontinuierlichen Validierung von Benutzern.
Fazit: Zero Trust stellt Vertrauen permanent infrage
Zero-Trust-Konzepte setzen Vertrauen innerhalb eines Netzwerks nicht voraus, sondern definieren Vertrauen als dynamische Größe, die eine kontinuierliche Überprüfung erfordert. Berechtigungen werden gemäß dem Grundprinzip der minimalen Rechtevergabe auf der Basis von Kontextdaten gewährt und durchgehend anhand von vordefinierten Unternehmensrichtlinien verifiziert. Granulare, kontextbasierte Richtlinien sorgen für den Schutz von Daten, da die Zugriffsberechtigungen bei sich ändernden Kontextbedingungen (Identität, Gerät, Standort, Inhaltstyp, angeforderte Anwendung etc.) laufend neu bewertet werden. Indem jede Verbindung wieder beendet wird, ist eine effektive Abwehr von Ransomware, Malware und anderen Bedrohungen gewährleistet.
Auch die Eliminierung der Angriffsfläche reduziert die Risiken. Der User verbindet sich direkt mit den benötigten Anwendungen und Ressourcen, ohne Zugang zum Unternehmensnetzwerk zu haben. Diese direkte Verbindung minimiert die Gefahr der lateralen Verbreitung einer Bedrohung und verhindert, dass kompromittierte Geräte andere Ressourcen infizieren.