Die Pandemie hat unsere Wirtschaft nachhaltig stark belastet, wofür nicht nur wochenlange Shutdowns oder kritische Lieferengpässe verantwortlich sind, sondern auch ein deutlicher Anstieg von Cyberangriffen auf Unternehmen als Folge der überstürzten und unvorbereiteten Fernarbeit. Wie der Report Cost of Data Breach 2021[i] zeigt, sind die Kosten für Datenverstöße jüngst von 3,86 Millionen US-Dollar auf 4,24 Millionen USD angestiegen und somit die höchsten durchschnittlichen Gesamtkosten in der 17-jährigen Geschichte dieses Reports. Und auch das BKA[ii] warnt seit Beginn der Covid-Krise vor vermehrten Cyberangriffen etwa mit Ransomware oder über DDoS-Attacken. Die IT-Sicherheit ist geforderter denn je.

Warum es stärkere Zugangskontrollen braucht

Seit immer mehr Mitarbeiter ortsunabhängig arbeiten, haben sich insbesondere die Anforderungen an die Zugriffskontrollen in Unternehmen stark verändert. So spielen Sicherheitsmaßnahmen, die regulieren, wer bestimmte Computerressourcen einsehen oder nutzen kann – vor allem von entfernten Standorten aus – eine immer wichtigere Rolle. Der Zugang zu Netzwerken beruht dabei auf Daten zur Authentifizierung der Identitätsnachweise von Zugriff suchenden Personen sowie zur Autorisierung der entsprechenden Personen zur Nutzung bestimmter Dateien in einem System.

Die Arten der digitalen Zugriffssteuerung, die den Sicherheitsteams hierfür zur Verfügung stehen, sind vielfältig und reichen von obligatorischen bis zu rollen- oder regelbasierten Kontrollen, die oft von kommerzieller Software und Richtlinienempfehlungen unterstützt werden. Sie alle sind hilfreich und können doch keine Sicherheit vor Account-Missbrauch garantieren. Denn ein Blick auf die Vorgehensweise heutiger Cyberangreifer zeigt, dass sich diese immer seltener kompliziert in die anvisierten Systeme „einhacken“. Vielmehr machen sie sich immer häufiger schwache, gestohlene oder voreingestellte Passwörter zunutze, um sich einfach – wie jeder authentifizierte Nutzer – in den Systemen anzumelden. Laut dem Verizon Data Breach Investigations Report 2021[iii] können 85 Prozent der Sicherheitsverstöße auf menschliches Fehlverhalten zurückgeführt werden. Das geschieht häufig über Social Engineering – also indem Menschen durch einen Trick dazu gebracht werden, sensible Daten an Dritte weiterzureichen, etwa über Phishing-E-Mails oder gefälschte Webseiten. Nach Angaben der Vereinten Nationen nahmen bösartige E-Mails während der Pandemie um bemerkenswerte 600 Prozent zu. Kein Wunder, denn die Gefahr von Social Engineering ist im Homeoffice besonders hoch, wie unter anderem eine aktuelle Untersuchung[iv] von Bitkom zeigt: 59 Prozent der befragten Unternehmen in Deutschland gaben demnach an, seit Beginn der Pandemie von IT-Sicherheitsvorfällen, die auf Heimarbeit zurückzuführen seien, betroffen gewesen zu sein. In der Hälfte der Fälle (52 Prozent) entstand dabei auch ein wirtschaftlicher Schaden.

Warum Zero Trust die Zukunft ist

So groß das Vertrauen in die eigenen Mitarbeiter auch sein mag, bleiben diese doch das schwächste Glied in der Sicherheitskette. Seien es Unachtsamkeiten, menschliche Fehler oder in seltenen Fällen auch böswillige Absichten: Security-Teams wissen, dass uneingeschränktes Vertrauen längst keine Option ist, soll die Angriffsfläche möglichst klein gehalten werden. Für unsere heutige Arbeitswelt, in der Mitarbeiter häufiger zwischen Fernarbeit und Office wechseln und den geschützten Perimeter verlassen, gilt dies umso mehr. War das Credo der Cybersecurity-Verantwortlichen lange Zeit „Vertrauen ist gut, Kontrolle ist besser“, arbeiten mittlerweile viele gemäß dem Motto „Vertraue nie, prüfe stets“ – und fahren mehr als gut damit.

Das Sicherheitsmodell der Zukunft heißt daher Zero Trust. Dieses umfasst Praktiken und Technologien, deren Standardposition darin besteht, jedem, dessen Identität nicht einwandfrei authentifiziert wurde und dem der Systemzugang nicht ausdrücklich gewährt wurde, den Zugang zum Netz zu verweigern. Damit ist Zero Trust in gewisser Weise eine Weiterentwicklung des bekannten Least-Privilege-Ansatzes, bei dem ein Benutzer nur auf die Systeme und Ressourcen zugreifen darf, die er für die Erledigung seiner Aufgaben auch tatsächlich benötigt – und zwar nur für die Zeit, die hierfür erforderlich ist. Zero Trust geht dabei noch einen Schritt weiter: Denn selbst wenn ein Benutzer einmal authentifiziert wurde, erfordern Zero-Trust-Schutzmaßnahmen eine zusätzliche Authentifizierung durch mehrere Faktoren, wie z. B. Fingerabdruck- oder Gesichtsscans, und sperren den Benutzer für alle Anwendungen oder Dienste, für die er keine Berechtigung hat. Das bedeutet, dass selbst wenn es einem Kriminellen gelingen sollte, in das System einzudringen, jeder Versuch eines lateralen Angriffs vereitelt werden kann. Dabei ist es wichtig zu verstehen, dass man unter Zero Trust nicht unbedingt ein bestimmtes Produkt oder eine technische Lösung versteht, sondern eine Denkweise oder vielmehr ein Mantra für moderne Sicherheit.

In den letzten Jahren ist die Bedeutung von Zero Trust für die IT-Branche kontinuierlich gestiegen, was eine hohe Adaptionsrate des Ansatzes in den Unternehmen zeigt. So gaben in einer Gigamon-Untersuchung[v] im Jahr 2020 drei Viertel der befragten IT-Entscheider aus Deutschland, Frankreich und Großbritannien an, Zero Trust bereits einzusetzen oder dies zu planen. Über die Hälfte von ihnen war sich dabei einig, dass der Sicherheitsansatz ihre IT-Strategie nachhaltig verbessert, was vornehmlich auf eine mit der Einführung einhergehenden Produktivitätssteigerung zu tun hat. Aber auch wenn es darum geht, finanzielle Auswirkungen von Cyberangriffen abzuschwächen, hat sich der „Vertraue-niemandem“-Ansatz als erfolgreich erwiesen. Laut einem IBM-Bericht[vi] hat Zero Trust dazu beigetragen, die durchschnittlichen Kosten einer Datenschutzverletzung im Jahr 2021 um 1,76 Millionen US-Dollar zu senken.

Misstrauen als Sicherheits-Boost

Der Übergang zu einem Zero-Trust-Modell geht für Unternehmen mit vielseitigen Vorteilen einher, bedeutet gleichzeitig aber auch einen tiefen kulturellen Wandel – und das sowohl in der IT-Security als auch im gesamten Unternehmen. Viele befürchten, die Herangehensweise, grundsätzlich vom Schlimmsten auszugehen und niemanden zu vertrauen, könne dem Miteinander und der Produktivität der Mitarbeiter schaden. So bestätigen auch in der oben erwähnten Gigamon-Studie 40 Prozent der Befragten, dass es ihre Mitarbeiter grundsätzlich nicht mögen, beobachtet und überprüft zu werden. Und auch eine veraltete und fragmentierte Systeminfrastruktur wird für die Einführung von Zero Trust zur Herausforderung.

Tatsache ist, dass das Zero Trust-Modell – sofern mit Bedacht eingeführt und umgesetzt – viele Vorteile mit sich bringt: So ist es in der Lage, die derzeitige Welle von Angriffen auf die digitalen Systeme – sei es durch Social Engineering oder gezieltes Hacking – abzuwehren oder zumindest einzudämmen. Zugleich werden Lösungen entwickelt, die die Sicherheit erhöhen und gleichzeitig die Produktivität und nahtlose Zugriffe aufrechterhalten.