Hybride Arbeitsmodelle, der Bedarf an ortsunabhängiger IT-Nutzung und die damit einhergehende Digitalisierung der Infrastruktur erfordern neue Sicherheitskonzepte. Denn klassische Lösungen wie VPNs oder Firewalls sind cloudbasierten Modellen schlichtweg nicht gewachsen. Damit bieten sie ein Einfallstor für Hacker, welche sich, sind sie einmal ins Netzwerk eingedrungen, lateral zu den kritischen Daten durchhangeln könnten. Eine solide Zero-Trust-Architektur ermöglicht eine sichere digitale Transformation ohne Nebenwirkungen, sodass Unternehmen nicht nur in der Lage sind, ihre dezentralen Arbeitsplätze abzusichern, sondern auch eine komfortable User Experience zu gewährleisten.

Der Wunsch nach flexiblem Arbeiten ist unter den deutschen Erwerbstätigen präsenter denn je. Einer Studie des Bitkom zufolge, arbeiten derzeit 50 Prozent der Erwerbstätigen ganz oder teilweise mobil, während neun von zehn Befragten ihre Zukunft im Home-Office sehen. Der Wandel hin zu einer „Work-from-Anywhere“-Welt muss den Anwendern ermöglichen, sich flexibel zwischen lokalen Standorten, vernetzten Zweigstellen, dem Büro zuhause und mobilen Arbeitsplätzen zu bewegen. Doch der Mittelstand in Deutschland hinkt bei der Digitalisierung, welche die Grundlage für den „New Way of Work“ bietet, noch hinterher. Dem Bitkom zufolge fehlt es vielerorts vor allem an den nötigen Ressourcen, und auch die hohen Anforderungen an die IT-Sicherheit sowie die Angst vor Datenverlust hemmen die Digitalisierungsvorhaben.

In der Tat erhöht sich die Angriffsfläche für Cyberkriminelle in einer cloudfähigen, edge-zentrierten Welt, die noch dazu von hoher Dynamik geprägt ist, zunehmend. Ein Grund hierfür ist die Komplexität der Netzwerke, die eine zuverlässige Absicherung erschwert. Jedoch basiert ein Großteil der traditionellen Netzwerkarchitekturen auf mehreren statischen Insellösungen, die impliziten Zugriff auf alle Anwendungen erlauben. Da jedoch Nutzer, Geräte und Anwendungen ständig in Bewegung sind, ist ein solcher Ansatz nicht mehr zu empfehlen. Schließlich geht es darum, einen sicheren Zugang zu kritischen Ressourcen in großem Umfang zu gewährleisten. Im Zuge der Absicherung des Datenverkehrs muss dieser zu fixen Prüfpunkten weitergeleitet werden, was jedoch zu Verzögerungen in den Geschäftsabläufen führen kann. Daher neigen viele Unternehmen dazu, die Sicherheitsprüfungen zu umgehen – mit katastrophalen Folgen, denn Ransomware, Phishing oder Social Engineering sowie Angriffe auf Lieferketten haben aktuell einen neuen Höchststand erreicht.

Wie also ist es möglich, als Unternehmen mit der hohen Dynamik Schritt zu halten, sprich die Produktivität zu erhöhen, und gleichzeitig das zunehmend dezentral ausgerichtete Netzwerk vor Angriffen zu schützen? IT-Sicherheitsexperten empfehlen ein Zero-Trust-Cybersicherheitskonzept. Doch was genau steckt dahinter und vor welche Herausforderungen stellt solch ein „Null-Vertrauen-Modell“ die Klein- und Mittelständler?

Lohnt sich null Toleranz?

Bei der Absicherung des Fernzugriffs geht es darum, Nutzer zu authentifizieren und zu autorisieren. Wer die Benutzerauthentifizierung mit einem Virtual Private Network (VPN) angeht, ermöglicht es seinen Mitarbeitern, über einen sicheren, verschlüsselten Zugangstunnel auf alle benötigten Ressourcen zuzugreifen und Daten sicher zu übertragen. Die Vorteile eines VPNs liegen auf der Hand: ein gut beherrschtes Protokoll, bekannte Verschlüsselungsalgorithmen und identifizierte Kapazitäten sowie Grenzen. Jedoch ist da noch das Problem der Zugangskontrolle für heterogene Anwendungen und unkontrollierte Endpunkte, wofür sich der Zero-Trust-Ansatz anbietet. Im Gegensatz zum VPN, das Vertrauen in eine sichere Verbindung zwischen zwei Entitäten herstellt, basiert dieser Ansatz auf der Überprüfung von Zugängen, Identitäten und Berechtigungen an jedem Zugangspunkt – sowohl außerhalb als auch innerhalb eines Netzwerks.

Beim Zero-Trust-Modell handelt es sich um ein Sicherheits-Framework, das der Prämisse folgt, niemandem zu vertrauen. Das Konzept basiert auf zwei zentralen Säulen: So sollten sensible Daten identifiziert werden und auch deren Fluss muss abgebildet sein. Zum anderen gilt es zu klären, wer, wann, wo, warum und wie auf Daten zugreift und wie diese weiterverarbeitet werden. Prinzipiell wird also jede Entität als potenzielle Bedrohung betrachtet, bis diese ausreichend verifiziert wurde. Es handelt sich also hierbei um einen konsequent datenzentrierten Ansatz, der auf konstantem Monitoring fußt.

Angesichts der Gefahr, die längst auch von Insidern des Unternehmens ausgeht, ist die strenge Sicherheitspraxis nachvollziehbar. Allerdings bringt das Modell auch einige Herausforderungen mit sich.

Das sind die Stärken:

• Strenge Richtlinien für die Benutzeridentifikation und den Zugriff: Der Einsatz der Multi-Faktor-Authentifizierung und die Kategorisierung der Nutzer, sodass nur derjenige Zugriff auf Daten und Konten erhält, der diesen wirklich zur Erfüllung seiner Aufgaben benötigt, sorgen für ein hohen Maß an Sicherheit.

• Hoher Datenschutz: Das Zero-Trust-Modell stellt sicher, dass Daten bei der Speicherung und der Übertragung ausreichend geschützt sind. Zu den Maßnahmen zählen automatisierte Backups und eine Verschlüsselung.

• Ausmerzen von Sicherheitslücken: Ein Zero-Trust-Modell sorgt idealerweise dafür, dass alle Elemente der IT-Sicherheit effizient und effektiv zusammenspielen.

• Intelligente Datensegmentierung: Kritische Daten werden geschützt und potenzielle Angriffsflächen minimiert, da nicht alle Nutzer auf einen großen Datenpool zugreifen dürfen. Stattdessen erfolgt eine Segmentierung der Daten nach Art, Sensibilität und Einsatzgebiet.

Das sind die Herausforderungen:

• Das Problem mit veralteten Strukturen: Nicht alle Legacy-Systeme sind mit einem Zero-Trust-Framework kompatibel, sodass die Einrichtung viele Ressourcen bindet. Im Zweifelsfall lohnt es sich, auf der grünen Wiese zu beginnen, statt Übergangsprobleme in Kauf zu nehmen.

• Spezifische Richtlinien für diverse Benutzergruppen: Da auch Kunden, Partner und Drittanbieter Zugriff auf das Netzwerk gewährt werden muss, gibt es eine Vielzahl an Angriffspunkten, sodass Unternehmen für jede Nutzergruppe dedizierte Richtlinien für den Zugriff auf Daten und Konten erarbeiten müssen.

• Komplexe Verwaltung von Anwendungen: Cloudbasierte Apps werden auf unterschiedlichen Plattformen verwendet und können auch mit Dritten geteilt werden. Umso wichtiger ist es, die Nutzung von Anwendungen zu planen, auf unterschiedliche Nutzergruppen zuzuschneiden und dies zu überwachen.

• Der Mensch als Hauptangriffsfläche: Als schwächstes Glied in der Sicherheitskette können Anwender leicht Phishing-Angriffen und anderen geschickt lancierten Aktionen der Hacker zum Opfer fallen, wenn sie nicht wissen, wie sie sich in bestimmten Situationen verhalten sollen. Daher ist es nicht genug, eine Zero-Trust-Architektur aufzusetzen, wenn Unternehmen vergessen, die menschliche Schwachstelle zu eliminieren. Regelmäßige Schulungen der gesamten Belegschaft, die Etablierung einer strengen IT-Hygiene sowie die Aufnahme des Zero-Trust-Prinzips in die Unternehmenskultur ist daher von zentraler Bedeutung.

Der Weg in die Cloud beginnt mit Zero Trust

Mit dem „New Way of Work”, der durch flexible Arbeitsmodelle geprägt ist, hat die Nutzung von Cloud-Diensten zugenommen. Jedoch vergrößert sich mit jedem Endgerät, das sich von wo aus auch immer mit dem Unternehmensnetzwerk verbindet, und mit jedem neuem Cloud-Service die Angriffsfläche für cyberkriminelle Aktivitäten. Hinzu kommt, dass Konten und Rollen mit zu freizügigen Berechtigungen ein häufiger Grund bei Fehlkonfigurationen von Cloud-Diensten sind. Haben Hacker jedoch einmal Zugang über eine Schwachstelle erhalten, wie etwa über die Login-Daten eines Mitarbeiters, können sie sich im Zweifel frei im Netzwerk bewegen. Einige Unternehmen verlassen sich hier auf das Netzwerkperimeter als Schutzwall, bestehend aus Firewalls, VPNs, Security Information and Event Mangement (SIEM) und Access-Control-Lösungen. Allerdings werden damit Bedrohungen außer Acht gelassen, die im Inneren des Netzwerks ihren Ursprung haben. Die effektive Absicherung wird daher nicht nur durch die steigende Bedrohungslage erschwert, sondern auch durch die Komplexität der Infrastruktur, bedingt durch Cloud-Services und -Anwendungen. Unternehmen benötigen daher einen ganzheitlichen Ansatz, mit dem sich die allgemeine Bedrohungslage in der Cloud schmälern lässt, ohne negative Auswirkungen auf die Compliance. Hier kommt das Zero-Trust-Modell ins Spiel: Denn mit dessen Hilfe können IT-Verantwortliche nicht nur das Anwenderverhalten und die Gerätenutzung analysieren, sondern auch den Datenfluss und die Unternehmensprozesse unter die Lupe nehmen. Auf diese Weise lassen sich Bedrohungen schneller identifizieren und potenzielle Angriffe verhindern.

Fazit

Zero Trust ist mehr als nur eine Technologie, es ist eine Security-Strategie, sie sich auch allen Ebenen eines Unternehmens auswirken muss. Die Implementierung von Security-Lösungen wie Multi-Faktor-Authentifizierung, SIEM und Threat Intelligence genügen nicht, wenn Unternehmen es versäumen, die Mitarbeiter über Awareness-Schulungen mit ins Boot zu holen.