Der Untergang des klassischen Perimeters

Das Ende des klassischen Perimeters hat sich lange angebahnt. So befasste sich bereits im Jahr 2003 das Jericho Forum, ein Kollektiv von CISOs unter der Leitung des Sicherheitschefs der Royal Mail, David Lacey, mit dem Konzept der „De-Perimeterization“. „Die traditionelle elektronische Grenze zwischen einem Unternehmensnetzwerk (oder ‚privaten‘ Netzwerk) und dem Internet bricht zusammen“, heißt es etwa in einem ihrer Forschungspapiere. Zudem veröffentlichten die Security-Experten schon damals eine Reihe von Geboten für eine „entgrenzte“ Zukunft, wie sie heute nun eingetroffen ist.

Trends wie Bring Your Own Device (BYOD) und insbesondere die Zunahme von Phishing-Vorfällen haben den Niedergang des klassischen Perimeters in den letzten Jahren stark beschleunigt. So ist es Kriminellen immer öfters gelungen, in das Netzwerk von Unternehmen einzudringen, indem sie die Mitarbeitenden dazu brachten, bösartige E-Mails zu öffnen, oder ihre anfälligen persönlichen Geräte angegriffen haben. Als authentifizierte Mitarbeiter getarnt und ohne externe Schutzmaßnahmen umgehen zu müssen, haben sie sich so immer häufiger ungehindert privilegierten Zugang verschafft.

Durch die rasche Zunahme der Cloud-Nutzung und die wachsende Bedeutung von Remote- und Hybrid-Arbeitsplätzen hat sich diese Situation jüngst zugespitzt und dem traditionellen Perimeter schließlich endgültig den Garaus gemacht. Denn wenn Mitarbeitende die geschützte Büroumgebung verlassen und über einen eigenen Zugang auf das Netz zugreifen, der durch eine digitale Identität oder durch das vom Unternehmen verwaltete Gerät gesichert ist, zieht dies viele Sicherheitsrisiken nach sich.

Jeder Nutzer ist ein privilegierter Nutzer

Passwörter und Benutzernamen sind für viele Unternehmen nach wie vor ein elementares Element einer identitätsbasierten Sicherheit und gleichzeitig eine kritische Bedrohung. Denn wie der Verizon Data Breach Investigations Report (DBIR) aus dem Jahr 2021 offenbart, können 61 Prozent aller Sicherheitsverletzungen auf die Ausnutzung von kompromittierten Anmeldedaten zurückgeführt werden.

Das liegt auch daran, dass die Bemühungen vieler Unternehmen, ihre Identitäten wirksam abzusichern, durch veraltete Infrastrukturen und technische Voraussetzungen behindert werden, was ihre Fähigkeit, auf Bedrohungen angemessen zu reagieren, stark einschränkt. Erschwerend kommt hinzu, dass sich die Zahl der Mitarbeitenden, die über ein privilegiertes Benutzerkonto mit umfassenden Zugriffsrechten und Verwaltungsfunktionen verfügen, deutlich zugenommen hat. Doch genau diese Konten stehen bei Cyberkriminellen hoch im Kurs, da sie Zugang zu einer breiten Palette von Ressourcen und Befugnissen ermöglichen, einschließlich der Möglichkeit, auf sensibles Material zuzugreifen und es zu verändern oder sogar Protokolle zu löschen, um ihre Spuren zu verwischen.

Tatsächlich kann heutzutage fast jeder Benutzer in gewisser Weise als Privileged User angesehen werden, da so gut wie alle auf zumindest einige sensible Daten oder Informationen zugreifen können. Die Angriffsfläche der Unternehmen ist in den letzten Jahren folglich stark gewachsen und Bedrohungsakteure steht eine immer höhere Auswahl an potenziellen Angriffszielen zur Verfügung. Dabei genügt ihnen die Kompromittierung der Anmeldeinformationen eines einzelnen Nutzers, um Privilegien zu erweitern und sich Zugang zum gesamten Netzwerk zu verschaffen. Anders als früher, als Cyberkriminelle einen Frontalangriff starten mussten, können sie sich heute leise und beharrlich vorarbeiten, bis sie einen einzigen Zugangscode finden, der ihnen den Zugang zum Netzwerk ermöglicht.

Stellt man sich ein Unternehmen als Festung vor, so wären nach dem alten Modell die Kronjuwelen (d.h. Daten, Anwendungen und andere wertvolle Assets) von dicken Mauern und tiefen Gräben umgeben. Angreifer müssten sich gewaltsam einen Weg hinein bahnen, was anspruchsvoll, zeitaufwändig und schwierig ist. Im Zeitalter des Remote-Working verfügt die Festung jedoch über eine Vielzahl von Eingängen – jeder mit einem eigenen Schlüssel. Und Bedrohungsakteure haben viele Möglichkeiten, an diese Schlüssel zu gelangen, und somit eine breite Palette von Zielen, denn sowohl menschliche als auch nicht-menschliche Entitäten wie Anwendungen oder automatisierte Sicherheitssysteme verfügen über Anmeldeinformationen, die ihnen privilegierten Zugang gewähren. Die Burgmauern stehen noch, aber sie können die Angreifer nicht abhalten. Stellt sich also die Frage, wie sich Unternehmen im Zeitalter identitätsbasierter Angriffe schützen können?

Identitäten in der Krise

Der erste Schritt zur wirksamen Absicherung von Identitäten erfordert ein Umdenken dahingehend, dass heutzutage so gut wie alle Nutzer als privilegiert angesehen werden müssen. Das bedeutet jedoch nicht, dass alle User über die gleichen Zugriffe verfügen und somit ähnlich risikobehaftet sind. Die Absicherung der Zugänge bedarf entsprechend einer Differenzierung. So kann für einen Benutzer, der ausschließlich auf geschäftliche E-Mails oder nicht sensible Dokumente zugreifen muss, ein Passwort oder eine Multifaktor-Authentifizierung durchaus angemessen und ausreichend sein. Wird jedoch auf sensible Kundendaten zugegriffen, sollte der Benutzer einer strengeren Authentifizierung und Überprüfung unterzogen werden, die eine Genehmigung voraussetzt. Hier könnte eine zeitliche Begrenzung des Zugriffs eine Möglichkeit sein, das Missbrauchsrisiko zu verringern. Ferner könnten Nutzer auch aufgefordert werden, einen digitalen Antrag auf Datenzugriff zu stellen, in dem sie erklären, warum sie Zugriff benötigen, inklusive einem vollständigen Audit Trail.

Werden sämtliche Benutzer als privilegiert eingestuft, müssen sie zudem auch entsprechend geschult werden. Hierzu gehört das Befolgen bewährter Verfahren sowie das Einhalten grundlegender Cyberhygiene-Praktiken, wie etwa das Vermeiden von systemübergreifenden Passwörtern oder Password Sharing. Da von jedem Passwort aber letztlich ein Risiko ausgeht, müssen IT-Abteilungen daran arbeiten, Passwörter mehr und mehr in den Hintergrund zu rücken, indem sie Privileged-Access-Lösungen einsetzen, die mehr Automatisierung ermöglichen und die Notwendigkeit, sich Passwörter auszudenken und zu merken, verringern. Wichtig ist, dass sich Mitarbeitende auf allen Ebenen eines Unternehmens der Risiken bewusst sind, die mit den ihnen zugewiesenen Privilegien verbunden sind, und sie verstehen, dass auch ihr Konto ein Sprungbrett sein kann, das es Angreifern ermöglicht, eine Attacke auszuweiten, indem sie von dort aus auf Accounts mit höheren Privilegien zugreifen.

Tatsache ist, dass die Techniken, mit denen sich Bedrohungsakteure auf Konten Zugriff verschaffen, erschreckend einfach sind. So ist Social Engineering eine gleichsam leicht auszuführende und extrem erfolgsversprechende Waffe. Denn es ist erstaunlich, wie viele Menschen nach wie vor auf (zugegebenermaßen teils sehr überzeugende) Phishing-E-Mails hereinfallen, ihre Anmeldedaten preisgeben und Kriminellem somit ermöglichen, einen Fuß in die Tür zu setzen. Sind sie erst einmal eingedrungen, verweilen sie dort nach Belieben und suchen nach Möglichkeiten, sich lateral fortzubewegen, ihre Rechte zu erweitern, Malware zu platzieren, Daten zu exfiltrieren und Hintertüren einzurichten. Wie der aktuelle M-Trends 2021 Annual Threat Report gezeigt hat, liegt die durchschnittliche Verweildauer derzeit bei 24 Tagen – was eine außergewöhnlich lange Zeit im Bereich der Cybersicherheit darstellt.

Zugriffe reibungslos verwalten und kontrollieren

In Zeiten, in denen die Identität zum neuen Perimeter geworden ist, müssen die Unternehmen auf Security-Technologien setzen, die es ihnen ermöglichen, Benutzerzugänge mit erweiterten Zugriffsberechtigungen und Verwaltungsbefugnissen gezielt abzusichern. Privileged Access Management (PAM)-Lösungen können ihnen dabei helfen, den neuen Perimeter zu bewachen, indem sie eine Sicherheitslösung bieten, die Interoperabilität, Automatisierung und Orchestrierung vereint.

So stellen PAM-Lösungen wichtige Funktionen bereit, um privilegierte Zugangsdaten effektiv zu schützen und das Geschäftsrisiko nachhaltig zu verringern. Dazu gehören die sichere Verwaltung von Berechtigungsnachweisen, die Verfolgung privilegierter Aktivitäten, die Maskierung und Rotation von Passwörtern sowie die Implementierung von Sitzungsüberwachungskontrollen. Darüber hinaus bietet gerade modernes PAM Sicherheitsteams die Möglichkeit, Passwörter zu randomisieren, den Zugriff auf privilegierte Konten zu kontrollieren und privilegierte Sessions, Befehle und Aktionen zu isolieren, zu überwachen, aufzuzeichnen und zu überprüfen. Dabei verfolgen effektive PAM-Lösungen das Ziel, Passwörter in den Hintergrund zu rücken und zum Least Privilege-Prinzip überzugehen.

Indem IT- und Sicherheits-Stack integriert werden, können IT-Teams einen zentralen Kontrollpunkt schaffen, der Identitäten im gesamten Unternehmensnetz verwalten kann. Wichtig ist dabei, auf eine Interoperabilität aller eingesetzter Lösungen zu achten, da nur so ein mehrschichtiges Sicherheitssystem etabliert werden kann, das effektiv und lückenlos schützt. Haben Unternehmen in der Vergangenheit einfach die besten Sicherheitslösungen auf dem Markt ausgewählt und auf das Beste gehofft, spielt die Kompatibilität der einzelnen Produkte heute eine entscheidende Rolle, wenn es darum geht, Unternehmen einen nachweisbaren Mehrwert zu bieten – sei es, dass sie Zeit einsparen können oder die Produktivität der Mitarbeitenden gesteigert wird.

Gerade für Letzteres ist auch Automatisierung ein wichtiger Schlüssel. So sollte sicherer Zugriff immer reibungslos vonstattengehen, indem Authentifizierung, Autorisierung, Überwachung und andere Prozesse automatisch im Hintergrund ablaufen. Nur so wird sichergestellt, dass Benutzer bei ihrer Arbeit nicht durch Sicherheitsmaßnahmen behindert oder gestört werden.

Sofern Identitätssicherheitslösungen vorhanden sind, sollte der Schwerpunkt unbedingt auf der Orchestrierung liegen, damit alle Produkte perfekt zusammenarbeiten. PAM kann hier die Führung übernehmen und es den Sicherheitsteams auf diese Weise ermöglichen, eine mehrgleisige Verteidigung zu schaffen, die bei geringem Risiko einen nahtlosen, aber sicheren Zugang ermöglicht – und bei hohem Risiko die Systeme sperrt oder nach weiteren Informationen Ausschau hält.

Stehen Interoperabilität, Automatisierung und Orchestrierung im Fokus, profitieren Unternehmen in zweifacher Weise. So wird erstens das Risiko von Missbrauch kompromittierter Anmeldedaten durch Bedrohungsakteure gemindert, und zweitens sichergestellt, dass die Mitarbeitenden die Produktivitätssteigerung, die eine Cloud-basierte, remote-fähige Umgebung ihnen bietet, auch voll ausnützen können.

Fazit

Der traditionelle Perimeter war schon vor langer Zeit dem Untergang geweiht und wurde nun von einem durchlässigen, flexiblen und sich ständig verändernden Perimeter ersetzt, der auf den einzelnen Identitäten basiert. Auf diese neue Realität zu reagieren und seine Sicherheitsmaßnahmen daran auszurichten, ist für Unternehmen dabei keine Option. Denn die Identitäten haben sich längst zum beliebten Schlachtfeld für Bedrohungsakteure entwickelt. Die Entscheidungen, die Unternehmen jetzt treffen, werden ihnen helfen, die Risiken zu verringern.