Eva - stock.adobe.com
Zero Trust: Sicherheit in modernen Arbeitsmodellen
IoT und Home-Office verlangen nach Mechanismen, die jeden Benutzer und jedes Gerät zuverlässig authentifizieren können. Mehrere Faktoren können eine Zero-Trust-Umgebung formen.
In letzter Zeit ist viel von Zero Trust die Rede. Doch man sollte nicht den Fehler machen und glauben, dass dies nur eine neue Technologie ist, die man einmal einkaufen und direkt implementieren kann. Stattdessen handelt es sich um ein grundlegendes Konzept und Zusammenspiel mehrerer Faktoren, die man sich vor Augen führen sollte.
Granulare Zugangskontrollen
Das vielleicht grundlegendste Konzept von Zero Trust ist die Zugangskontrolle, und zwar nicht auf der pauschalen Basis von Insider vs. Outsider, oder dem alten Perimeter-Konzept, sondern nach den spezifischen Bedürfnissen der einzelnen Benutzer. Hier kommt das Least-Privilege-Prinzip (POLP, Prinzip der minimalen Rechtevergabe) ins Spiel: Mitarbeiter sollten immer nur genau die Rechte haben, die sie für ihre Arbeit benötigen – nicht mehr und nicht weniger. Dieses Zugangssystem muss überschaubar und zentral verwaltet sein, sonst entsteht Chaos, wenn sich Organisationen und Mitarbeiter weiterentwickeln.
Wenn beispielsweise ein Mitarbeiter aus der Buchhaltung zum Controller aufsteigt, ändern sich mit diesem Rollenwechsel auch seine Zugriffsrechte: So muss er nun etwa einsehen können, was die ihm unterstellten Mitarbeiter tun. In einem internationalen Unternehmen wird dieser Mitarbeiter vielleicht irgendwann von einem Büro am anderen Ende der Welt arbeiten, was bedeutet, dass er ganz andere Informationen und Zugänge benötigt. Gleichzeitig müssen aber auch alte Zugriffsrechte gelöscht werden. In einem Zero Trust Framework werden alle diese Vorgänge regelbasiert und automatisch durchgeführt.
Management privilegierter Accounts
Ein weiterer wichtiger Aspekt in Zero-Trust-Umgebungen ist die Verwaltung von privilegierten Accounts – also Zugänge, mit denen sehr sensible Informationen abgerufen werden können. Solche Accounts sind natürlich ein bevorzugtes Ziel für Cyberkriminelle. Laut einer Erhebung von Forrester waren sogar in 80 Prozent der Datenlecks privilegierte Accounts involviert.
Kriminelle müssen gar nicht direkt einen solchen Zugang knacken, sondern können sich Schritt für Schritt vorarbeiten. Daher sollten diese Zugänge unbedingt weitere Authentifizierungsfaktoren beinhalten. Auch hier sollten Berechtigungen nur wohldosiert vergeben werden. Bei besonders sensiblen Aufgaben ist es eventuell sogar geboten, Nutzer in Echtzeit zu überwachen oder Passwörter zu vergeben, die nach einer gewissen Zeit automatisch ablaufen.
Mit solchen Maßnahmen kann man wirksam verhindern, dass sich Hacker auf digitalem Weg durch ein Unternehmen bewegen, nachdem sie einmal irgendwo Zugang gefunden haben. In den meisten Fällen suchen Hacker nach einfachen Zielen und werden irgendwann von einem Unternehmen ablassen, das sie immer wieder scheitern lässt.
Aktivitäten überwachen
Aktivitäten, die von der Norm abweichen, können ein Zeichen für kompromittierte Zugangsdaten sein. Daher sollten Unternehmen nicht nur den Datenverkehr, sondern auch das Nutzerverhalten überwachen. Erfolgt beispielsweise ein Login-Versuch aus Europa und wenige Minuten später aus Afrika, ist das ein eindeutiges Indiz für ein Problem mit diesem Account.
„Unternehmen können nur dann sinnvolle Abstufungen bei der Rechtevergabe vornehmen, wenn sie wissen, welche Daten sie haben und wo diese liegen.“
Laurent Strauss, Micro Focus
Mit modernen Machine-Learning-Tools gibt es noch viel mehr Möglichkeiten, so kann beispielsweise überwacht werden, zu welchen Uhrzeiten Accounts aktiv sind. Dank automatisierter Warnungen können IT-Sicherheitsteams sehr schnell auf Vorfälle reagieren und ein Datenleck verhindern oder zumindest eindämmen.
Ein gutes Security-Team überwacht natürlich nicht nur die eigenen Mitarbeiter und Aktivitäten im Unternehmen, sondern beschäftigt sich auch mit der Außenwelt, um stets über neue Gefahren informiert zu sein.
Daten klassifizieren
Kern eines jeden Zero-Trust-Konzeptes ist Datenklassifikation. Unternehmen können nur dann sinnvolle Abstufungen bei der Rechtevergabe vornehmen, wenn sie wissen, welche Daten sie haben und wo diese liegen. Um diese Strukturen wirklich zu überblicken, kann man sich nicht ausschließlich auf Metatags verlassen. Das gilt besonders bei unstrukturierten Daten wie E-Mails, Fotos, Videos oder Präsentationen.
Tags werden meist einfach von den zuständigen Personen vergeben, so dass sie selbst ihre Informationen wiederfinden können. In der Regel denken sie dabei nicht an andere Personen, die später vielleicht einmal zu einem ganz anderen Zweck diese Daten benötigen könnten.
Durch den Einsatz von künstlicher Intelligenz und Machine-Learning-Software wird es möglich, ins Innere der unstrukturierten Daten zu blicken. Die Lösungen können die Daten anschließend nach Inhalt und Sicherheitsniveau strukturieren. Zusätzlich zur leichteren Auffindbarkeit wird so dafür gesorgt, dass sensible Daten nicht ungeschützt herumliegen. Auch in Compliance-Fragen ist softwarebasiertes Tagging eine echte Unterstützung. Auditoren bekommen so in Sekundenschnelle die Informationen, die sie benötigen – wo dafür ansonsten langes Suchen notwendig gewesen wäre.
Sicher in Zeiten von IoT und Cloud
Heute wird kaum mehr jemand am Wert von Cloud-Diensten zweifeln. Vor allem bei Remote Work waren sie eine echte Stärke, doch mit den neuen Möglichkeiten kamen auch neue Einfallstore. Gleichzeitig befinden sich in immer mehr Unternehmensnetzwerken nicht mehr nur menschliche Teilnehmer, sondern auch vernetzte Geräte. Solche Netze lassen sich nicht mehr wie in der Vergangenheit nach außen hin abschirmen. Daher ist der Zero-Trust-Ansatz die ideale Vorgehensweise, um auch in solchen komplexen Strukturen Sicherheit zu garantieren.
Über den Autor:
Laurent Strauss ist Chief Cyber Security Strategist bei Micro Focus.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.