Mit der Bürowelt ging traditionell das Verständnis einher, dass alle Mitarbeitenden aus dem Firmensitz ihrer Arbeit sicher nachgehen konnten. Daten und Anwendungen im Rechenzentrum waren zur Außenwelt des Internets über eine Firewall abgeschottet. Durch die Cloud und neue flexible Arbeitsstrukturen wurde dieses Prinzip der Unternehmenssicherheit in den letzten Jahren aus den Angeln gehoben. Heute greift das Personal mit unterschiedlichen Geräten von überall aus auf Applikationen zu, die sich in Multicloud-Umgebungen, im Internet und im eigenen Rechenzentrum befinden können. Für eine solche New Work-Arbeitskultur müssen auf unterschiedlichen Ebenen neue Vertrauensverhältnisse etabliert werden.
Zuerst gilt es dem Mitarbeitenden auf der menschlichen Ebene Vertrauen entgegenzubringen, dass er seiner Arbeit nachgeht, egal von wo aus er arbeitet. Andererseits muss auf der technischen Ebene ein neues Sicherheitsprinzip eingeführt werden, das unter dem Schlagwort „Zero Trust“ genau das Gegenteil zu behaupten scheint. Denn auch wenn die Mitarbeitenden von überall aus arbeiten, müssen die Datenströme nach wie vor abgesichert sein, um jede Firma vor den Geschäftsrisiken durch Cyberkriminalität zu bewahren. Die alteingeführten Mechanismen am Übergang zum Internet greifen allerdings nicht mehr lückenlos. Verteilte Arbeitsumgebungen und mobile Mitarbeitende bieten wesentlich mehr Angriffsflächen für Malware-Akteure.
Dementsprechend bedeutet das Zero Trust-Prinzip erst einmal, dass zugunsten der Unternehmenssicherheit niemandem mehr ein Grundvertrauen entgegengebracht werden darf beim Zugriff auf Daten und Anwendungen. Diese Terminologie eines neuen Sicherheitsansatzes ist allerdings kein Zeichen einer neuen Misstrauenskultur, sondern ein Mittel dazu, die unternehmerische Angriffsfläche einzudämmen. Denn die Gefahr, Opfer eines Cyberangriffs zu werden, ist durch die neue Arbeitswelt größer denn je.
Die Gefahr von Cyberkriminalität ist real
Es ist immer die gleiche Story: Mitarbeitende gehen mit dem Laptop, der für die Arbeit und privates Surfen verwendet, auf eine Social-Media-Plattform, eine Gaming-Webseite oder ins Internet und fangen sich durch einen unbedachten Klick eine Schadsoftware ein. Anschließend verbinden sie sich mit dem Firmennetz und schleusen den Schadcode ins Netzwerk ein, von wo aus der Angriff auf Firmengeheimnisse seinen Lauf nimmt. Ein Phishing-Vorfall, bei dem zum Beispiel persönliche Anmeldedaten eines Users erbeutet werden könnten, ist oftmals der Ausgangspunkt für verheerendes Schadpotenzial, das einem Unternehmen zugefügt wird.
Phishing und Ransomware-Vorfälle zählen zu den Cyberbedrohungen, die kontinuierlich ansteigen. Laut einem aktuellen Bericht waren 35 Prozent aller Datenschutzverletzungen mit Betrugsmaschen verbunden, die darauf abzielten, vertrauliche Informationen oder Anmeldedaten von Personen zu stehlen. Unser eigenes Forschungsteam analysierte die Daten von Milliarden blockierter Angriffe in der betrachteten Cloud und verzeichnete im vergangenen Jahr 29 Prozent mehr Phishing-Versuche. Es ist also kein Zufall, wenn Mitarbeiter unbewusst in solche Betrugsmaschen verwickelt werden und Unternehmen müssen zum Schutz ihrer kritischen Daten Vorkehrungen treffen.
Personalabteilung und IT-Sicherheit müssen Hand in Hand arbeiten
Dabei muss die Personalabteilung mit der IT-Abteilung kooperieren, damit effektive Schutzmaßnahmen für New Work-Umgebungen zum Tragen kommen. Oftmals ist es die People & Culture-Abteilung, die in Zusammenarbeit mit dem Betriebsrat die Regeln vorgibt, was den Mitarbeitenden mit dem Firmenlaptop erlaubt ist. Hier prallen die ersten Welten aufeinander, denn auf den ersten Blick scheint es, als würden von diesen beiden Parteien unterschiedliche Ziele verfolgt werden. Während das Durchleuchten des gesamten Datenverkehrs der Mitarbeitenden im Zuge einer durchgängigen SSL/ TLS-Inspektion ein Mittel zur Erkennung von Schadcode ist, treten hier andererseits die Betriebsräte auf den Plan, die diese Art des Kontrollmechanismus als Angriff auf die Persönlichkeitsrechte der Mitarbeitenden sehen. Überzeugungsarbeit ist notwendig zur Vermittlung zwischen den Parteien, bei denen der Unternehmensauftrag zur Aufrechterhaltung der Betriebsfähigkeit mit den Persönlichkeitsrechten in Einklang gebracht werden muss.
Wieso ist SSL/ TLS-Inspektion heute so problematisch? Das ursprünglich 1994 entwickelte kryptografische Protokoll Secure Sockets Layer (SSL) und dessen Nachfolger Transport Layer Security (TLS) ist eine Verschlüsselungstechnik, welche vor Zugriff von Dritten schützen soll. Angesichts der ständig wachsenden Bedenken in Hinblick auf Datenschutz entwickelte sich in den letzten Jahren ein starker Trend hin zu standardmäßiger Verschlüsselung im Internet. Dies ist zwar ein großer Fortschritt in puncto Datenschutz, bedeutet jedoch auch eine Herausforderung für die IT-Sicherheit. Entschlüsselung, Überprüfung der Inhalte auf Malware und Wiederverschlüsselung von Traffic sind aufwendig und führen bei herkömmlichen Sicherheits-Appliances aufgrund der benötigten Rechenleistung zu Leistungseinbußen im Datendurchfluss. Malware-Akteure nutzen die Tatsache, dass Organisationen ihre Datenströme nicht vollumfänglich durchleuchten für sich und verstecken Schadcode hinter der Verschlüsselung.
Es muss daher im Interesse des Unternehmens und der Mitarbeitenden sein, wenn sich das Unternehmen bestmöglich schützt. Letztlich ist es wie bei der Sicherheit am Flughafen. Die Sicherheitskontrollen am Airport muss jeder Fluggast durchlaufen, egal ob er First Class oder Economy fliegt und unabhängig von seinem Reiseziel. Kein Fluggast würde vermuten, dass dies die Airline nur deswegen macht, weil sie ihren Kunden misstraut. Jeder Flugreisende ist sich bewusst, dass diese Maßnahmen der Durchleuchtung tatsächlich der eigenen Sicherheit dienen. Mit dem Prinzip eines Zero Trust-Sicherheitsansatzes verhält es sich ähnlich. Es wird von vorneherein auf Sicherheit gesetzt, bevor der Mitarbeitende Zugang zu Daten und Anwendungen erhält. Auch wenn die Konnotation des Begriffs Zero Trust missverständlich sein mag, so dient ein solches Modell letztlich der Sicherheit und damit ununterbrochenen Geschäftstätigkeit des Unternehmens. Das ganze Prinzip ist ein effektives Sicherheitssystem für Unternehmen, das Mitarbeitenden und Geräten (Laptops, PCs, Smartphones, iPads etc.) den Zugang zu jobspezifischen Daten und Anwendungen erlaubt – im Büro, aus dem Home Office und von unterwegs aus.
Zero Trust macht New Work erst möglich
Ein Unternehmen, das sich und seine Daten und Produktionsprozesse schützen will, muss versuchen, einem Infiltrationsvorgang durch Schadsoftware bestmöglich vorzubeugen. Es kann vielleicht nicht verhindern, dass sich auf den Laptop eines Mitarbeitenden Malware einschleicht, aber es sollte ausschließen können, dass dieser Schadcode auch ins Unternehmen eindringt. Dabei hilft ein Sicherheitsansatz auf Basis des Zero-Trust-Prinzips.
Dieser Ansatz basiert auf dem Grundsatz der minimalen Zugriffsrechte sowie der Voraussetzung, dass kein User oder keine Anwendung inhärent als vertrauenswürdig gelten darf. Ein solches Modell geht von der Annahme aus, dass alle User und Anwendungen potenzielle Bedrohungen darstellen. Entsprechend wird Zugriff nur basierend auf der Benutzeridentität und dem Kontext gewährt, wobei Richtlinien bei jedem Schritt als Gatekeeper dienen. Dadurch können Mitarbeitende, egal welche Positionen sie im Unternehmen innehaben, nur noch auf die Anwendungen zugreifen, die sie tatsächlich für die Arbeit benötigen. Und zwar ausschließlich auf diese, ohne alle Anwendungen im gesamten Netzwerk sehen zu können. Durch diese granular auf Basis zum Beispiel der Funktion des Mitarbeitenden im Unternehmen vorgegebenen Zugriffsrechte lässt sich die Angriffsfläche des Unternehmens reduzieren.
Zero Trust kein Zeichen von Misstrauen
Ein solches Vorgehen ist nicht der Ausdruck einer eklatanten Misstrauenskultur. Zero Trust hat nichts mit dem Vertrauen in den einzelnen Mitarbeitenden zu tun, sondern ist eine Reaktion auf das Gefahrenpotenzial des Internets, das an den Grundfesten der unternehmerischen Tätigkeit rüttelt. Die Unternehmen haben erkannt, dass durch das Internet die Gefahrenlage exponentiell angestiegen ist, da Anwendungen und Services durch die Cloud dort auffindbar gemacht werden. Zusätzlich ist die Gefahr real, dass jeder Mensch unweigerlich irgendwann einmal in die von Kriminellen vorbereiteten Fallen tappen könnte, egal wie umfangreich die Mitarbeitenden durch Security Awareness-Trainings auf diese Situationen vorbereitet werden.
Das Prinzip Zero Trust als rein technische Maßnahme schafft erst die Basis, um eine Vertrauenskultur aufzubauen und das flexible, hybride Arbeiten im Sinne von New Work zu ermöglichen und zu bewahren. Es ist dementsprechend ein logischer Schritt, Zero Trust auf die Sicherheit der Unternehmensdaten und -anwendungen auszuweiten. An die Stelle des Büros mit seinem abgesicherten Unternehmensnetz als Trusted Zone tritt durch einen Zero Trust Security-Ansatz ein Sicherheitsmechanismus, der das Arbeiten von überall aus sicher gestaltet, da er dem User folgt und als Cloud-basierter-Ansatz von jedem Standort aus lückenlos greift. Verständnis für das Risiko, das mit einer neuen Arbeitswelt einhergeht, bringt die Aufgaben von IT- und Personalabteilung in Einklang mit den Datenschützern.
Um einen Kommentar zu hinterlassen müssen sie Autor sein, oder mit Ihrem LinkedIn Account eingeloggt sein.