Viele Unternehmen stehen in Bezug auf ihre digitalen Sicherheitsstrategien an einem Scheideweg. Auf der einen Seite steigen die Kosten im Zusammenhang mit digitalen Kriminalitäts- und Sicherheitsvorfällen. Cybersecurity Ventures [1] fand in seinem offiziellen jährlichen Cyberkriminalitätsbericht 2017 heraus, dass Schäden durch Cybercrime die Welt bis 2021 sechs Billionen Dollar kosten werden. Ein Jahr später entdeckte das Ponemon Institute in seiner Cost of a Data Breach Study 2018, dass die durchschnittliche Datenschutzverletzung nun 3,86 Millionen Dollar kostet, was einem Anstieg von 6,4 Prozent gegenüber dem Vorjahr entspricht.
Auf der anderen Seite geben Unternehmen mehr Geld denn je für ihre Bemühungen um digitale Sicherheit aus. Gartner [2] schätzte, dass die weltweiten Ausgaben für Informationssicherheit im Jahr 2018 114 Milliarden US-Dollar übersteigen würden – ein Anstieg von 12,4 Prozent gegenüber 2017. Das Forschungs- und Beratungsunternehmen prognostizierte weiterhin, dass diese weltweiten Ausgaben 2019 um 8,7 Prozent auf 124 Milliarden Dollar steigen würden. In seinem jährlichen Aktionärsbrief sagte JPMorgan Chase CEO Jamie Dimon [3], dass man im vergangenen Jahr 600 Millionen Dollar für Cybersicherheit ausgegeben hat und mehr als 3.000 Mitarbeiter für Sicherheit und den Schutz von Kundendaten einsetzt.

Sicherheitsmodelle dem Stand der Technik anpassen

Was sollen Organisationen tun? Klar ist: Sie können sich nicht auf das klassische Netzwerkperimetermodell verlassen. Wie von Identity Automation [4] erwähnt, haben IT-Teams diesen Ansatz entwickelt, als die Mitarbeiter noch mit den Unternehmenssystemen verbunden waren, während sie an ihrem Schreibtisch in den Firmenbüros saßen. Mit dem Anstieg der Anzahl der Remote-Benutzer ging der Fokus in Richtung Absicherung des Netzwerkverkehrs von Nutzern, die sich mit lokalen Unternehmenssystemen verbinden.

Heutzutage verfügen Unternehmen über hochmobile Mitarbeiter, die sich von überall auf der Welt aus mit dem Netzwerk verbinden. Sie nutzen nun immer mehr Cloud-basierte Assets, Systeme mit sensiblen Kundeninformationen sowie Anbieter und Lieferanten, die einen ebenfalls Netzwerkzugang benötigen. Es gibt einfach zu viele Quellen für den Netzwerkzugriff, als dass das klassische Perimeter-Modell funktionieren könnte.

Einige Organisationen versuchen, diese Herausforderung zu meistern, indem sie einen Perimeter aufrechtzuerhalten und den gesamten Netzwerkverkehr über einen Proxy (WAM oder traditionelle Netzwerksicherheitsgeräte) zu leiten, aber dieses Modell kann nicht einfach skaliert werden, wirkt sich negativ auf die Benutzerfreundlichkeit (Netzwerklatenz) aus und untergräbt die grundlegenden Vorteile der Cloud: Sie sind nicht immer verfügbar.

Warum sollte man also den gesamten Traffic, einschließlich Remote-Benutzer, an einen lokalen Proxy weiterleiten, der abstürzen kann, um Mitarbeiter an der Arbeit zu hindern, wenn es bereits effizientere und sicherere Lösungen gibt?

Aus diesem Grund wenden sich Organisationen zunehmend an die Zero Trust Mentalität „Verify everything, trust nothing“. Diese Perspektive verwirft die Vorstellung, dass interne Benutzer und Geräte automatisch vertrauenswürdig sind. Stattdessen werden alle Devices, Netzwerkinfrastrukturen und Benutzer standardmäßig als nicht vertrauenswürdig behandelt.

Wo IAM eingesetzt wird

Dieses Denkmodell ist ohne Identitäts- und Zugriffsmanagement (IAM) nicht möglich. Denn Zero Trust dreht sich um die verschiedenen Identitätsaspekte eines jeden Users. Laut Microsoft [5] erfordert eine Zero Trust-Denkweise in erster Linie, dass Sicherheitsteams die Identität jedes Benutzers ermitteln; nur dann können sie mit Hilfe von Multi-Faktor-Authentifizierung und anderen zentralen IAM-Komponenten überprüfen, ob jeder Benutzer eine High-Assurance-Sitzung hat, einen gültigen Computer verwendet und auf die entsprechenden Arten von Dateifreigaben zugreift.

Mit Blick auf die Zukunft wird IAM eine noch bedeutendere Säule der Zero Trust-Strategien von Unternehmen werden. Drei aufkommende IAM-Trends zeigen diese Entwicklung auf:

• IAM wird die Zero Trust-Frameworks schrittweise in den Kontext stellen: IAM-Lösungen der Zukunft werden eine stärkere Integration zur Einbettung von Identitätsdaten in Datensicherungs- und netzwerkforensische Systeme nutzen. Auf diese Weise können Sicherheitsteams Datenbestände und Informationspakete mit bestimmten Benutzern im Unternehmensnetzwerk verknüpfen.
• IAM-Architekturen werden zunehmend die Datenidentität nutzen: Im Allgemeinen werden mehr IAM-Produkte es den Sicherheitsteams ermöglichen, Identitätsdaten zu verwalten und mit den Zugriffsrechten der Mitarbeiter zu verknüpfen. Zur Vorbereitung sollten die Sicherheitsteams den Mitarbeitern Datenzugriffsrechte zuweisen und Datenbestände in alle Kampagnen zur Zugangszertifizierung einbeziehen.
• IAM-Suiten werden zu losen, vorintegrierten Angeboten: Klassische IAM-Suiten, bei denen Kunden alles installieren müssen, weichen immer mehr API-basierten Microservices. Von den Zero Trust-Anbietern wird erwartet, dass sie diesen sich weiterentwickelnden Ansatz für IAM übernehmen. Auf diese Weise tragen sie dazu bei, die Last der Implementierung von IAM für viele Unternehmen zu verringern, die sich einer Zero Trust Denkweise anschließen.

In Anerkennung der oben genannten Diskussion ist jetzt der perfekte Zeitpunkt für Unternehmen, um die Einführung einer Zero Trust Denkweise in Betracht zu ziehen. Kernelemente sind dabei Multifaktor-Authentifizierung und Access Management.

Quellen und Referenzen

[1] https://cybersecurityventures.com/cybercrime-damages-6-trillion-by-2021/

[2] https://www.gartner.com/en/newsroom/press-releases/2018-08-15-gartner-forecasts-worldwide-information-security-spending-to-exceed-124-billion-in-2019

[3] https://reports.jpmorganchase.com/investor-relations/2018/ar-ceo-letters.htm

[4] http://blog.identityautomation.com/the-zero-trust-model-what-it-is-and-why-it-starts-with-identity

[5] https://www.microsoft.com/security/blog/2018/12/17/zero-trust-part-1-identity-and-access-management/