IT-Security in der Pandemie: Chancen und Herausforderungen

Sei es nun die veränderte Arbeitssituation für Clients, Stichwort Home-Office, eine beschleunigte Cloud-Migration oder die mit beiden Aspekten verbundene Neuordnung von Compliance und Datenschutz. Die Folgen der COVID-19-Pandemie für IT-Abteilungen sind mannigfaltiger Natur und bringen viele Herausforderungen mit sich. Die zunehmende Fernarbeit und Verlagerung von Infrastrukturen und Applikationen in die Cloud hat auch die Anzahl der Cyberbedrohungen steigen lassen.

Und wie stets bei Herausforderungen sind damit auch viele Chancen verbunden. Hand aufs Herz, eine Neuordnung oder Ausrichtung der Security-Strategie war vielerorts überfällig. Längst wurden viele Sicherheitsstrategien der gelebten Realität nicht mehr gerecht. Eine eher auf Identitäten – und zwar von Personen, Anwendungen und Geräten – ausgerichtete Sicherheit verspricht da einen deutlich solideren Schutzansatz.

Im Gespräch mit ComputerWeekly.de erläutert Michael Kleist die neuen Herausforderungen in der IT-Sicherheit. Michael Kleist ist Regional Director DACH bei CyberArk.

Wie hat sich die Bedrohungslage angesichts der Pandemie-Situation und vielerorts veränderter Arbeitsbedingungen entwickelt? Welche Folgen hat dies auf sehr gezielte Angriffe auf Personen in Unternehmen?

Michael Kleist: Durch die verstärkte Arbeit von zu Hause aus sind die Cyberangriffe gleichzeitig diffuser und intensiver geworden. Es sind also mehr Angriffe über eine größere Anzahl von Angriffsvektoren zu verzeichnen. Eine Ursache für die erhöhte Bedrohungslage ist die Verschiebung des Perimeters hin zur Identität. Die Firmen-Firewall auf Netzwerkebene ist für die Sicherheit zu Hause de facto wertlos.

Umfragen zeigen, dass Geräte zu Hause auch privat und von verschiedenen Personen genutzt werden. Umso wichtiger ist es, den Schutz auf der Endgeräteebene vor Malware zu erhöhen und damit einen wichtigen ersten Eintrittspunkt in das Firmennetzwerk zu sichern.

Ein Virenschutz ist an dieser Stelle nicht ausreichend. Unverzichtbar ist ein Least-Privileges-Ansatz inklusive starker Authentifizierung für den Nutzer, um sowohl Ransomware als auch Pass-the-Hash-Angriffe zu unterbinden.

CyberArk hat deshalb seine Produktpalette erweitert und bietet nun neben der starken Endgeräte-Absicherung auch Multifaktor-Authentifizierung, Single Sign-On und Rechtemanagement nicht nur für die privilegierten Nutzer an, sondern für die gesamte User-Community eines Unternehmens.

Nicht zu vergessen ist, dass gezielte Angriffe in einem verteilten, virtuellen und damit weniger persönlichen Arbeitsumfeld verstärkt vorkommen. So tritt der schon lange bekannte „CEO-Fraud“ nun vermehrt und in verschiedenen Abwandlungen auf. Auch wenn „CEO Fraud“ nach Großunternehmen klingt – die Betrüger suchen sich inzwischen zunehmend mittelständische Unternehmen als Ziel aus.

Beschleunigt die aktuelle Situation den Trend zu einer eher identitätsbasierten Sicherheitsstrategie?

Kleist: Definitiv ja. Die Entwicklung ging bereits in diese Richtung, aber sie wird durch die aktuelle Situation nun stark befeuert. Außerdem prägen zwei Themen künftige identitätsbasierte Sicherheitsstrategien. Das erste Thema betrifft die kontextbezogenen Rechte. Das heißt, Anwendern werden abhängig von der durchzuführenden Tätigkeit passende Rechte gewährt.

Dieser Just-in-Time- und Least-Privileges-Ansatz vermeidet eine dauerhafte Rechteansammlung und macht es damit Angreifern ungleich schwerer, an ihr Ziel zu gelangen. Das zweite Thema betrifft die Tatsache, dass sich Identitäten nicht nur auf Menschen beschränken.

Gerade in hybriden Umgebungen ist es essenziell, dass auch Applikationen beziehungsweise ihre Programme und Automatismen eine passende Rechtestruktur besitzen und die Zugänge genauso gesichert und kontrolliert werden wie diejenigen von Personen. Ein gutes Beispiel dafür sind RPA-Projekte (Robotic Process Automation) im Business-Umfeld oder Automationswerkzeuge wie Ansible im Bereich der IT.

Wird in diesem Zusammenhang der Schutz der Identitäten von Personen, Geräten und Anwendungen schon als gleichermaßen wichtig erachtet?

Kleist: Diese Gleichbehandlung befindet sich noch in der Startphase, aber die Notwendigkeit ist erkannt und in immer mehr Projekten werden alle Bereiche erfasst.

Die durch die Pandemie veränderte Situation scheint mancherorts die Migration in die Cloud beschleunigt zu haben. Mit welchen Herausforderungen in Sachen Sicherheit haben Unternehmen dabei primär zu kämpfen?

Kleist: Das Cloud-Thema ist mannigfaltig, und zwar sowohl im Hinblick auf die genutzten Dienste – von einfacher Rechenkapazität über Plattformservices bis hin zu kompletten Applikationen – als auch hinsichtlich der Anbieter.

Ein Unternehmen muss daher flexibel bleiben bei der Umsetzung seiner Sicherheitsstrategien und einen Multi-Cloud-Ansatz von Anfang an mit einplanen. Eine zentrale Herausforderung besteht darin, dass die unglaublich hohe Zahl an Cloud-Rechten, die ein User erhalten kann, manuell nicht mehr im Detail zu verwalten ist.

Erschwerend kommt hinzu, dass die Rechte bei jedem Hyperscaler unterschiedlich benannt werden und unterschiedlich umfangreich sind. An dieser Stelle sind Tools wie der Cloud Entitlements Manager von CyberArk erforderlich. Mit ihnen können Tausende von verschiedenen Rechten zentral zusammengeführt und versteckte, falsch konfigurierte oder ungenutzte Berechtigungen ermittelt werden.

Auch Umfragen unter Security-Experten zeigen, dass die sichere Konfiguration der eigenen Cloud-Projekte zu den dringendsten Aufgaben zählt. Um Missverständnissen vorzubeugen: Die Cloud im Sinne der vom Anbieter bereitgestellten Architektur ist sehr sicher. Aber die eigenen Konfigurationsmöglichkeiten im individuellen Projekt sind so umfangreich, dass sich dort Fehler einschleichen können, die dann Probleme verursachen. Daher sprechen wir bei Cloud-Security auch immer von einer geteilten Verantwortung zwischen Cloud-Anbieter und -Nutzer.

„Durch die verstärkte Arbeit von zu Hause aus sind die Cyberangriffe gleichzeitig diffuser und intensiver geworden. Es sind also mehr Angriffe über eine größere Anzahl von Angriffsvektoren zu verzeichnen.“

Michael Kleist, Cyberark

Welche Rolle spielt die Umsetzung von Richtlinien und Berechtigungen, auch im Hinblick auf Zugriffsrechte, bei einem erhöhten Anteil von Fernarbeit? Vor welchen Herausforderungen stehen Unternehmen diesbezüglich, auch im Hinblick auf Compliance und Risikobewertung?

Kleist: Zugriffsrechte können leicht einem „Wildwuchs“ unterliegen, so dass weder eine Einhaltung der Compliance noch eine Risikobewertung möglich sind. Es bedarf einer zentralen, identitätsbasierten Sichtweise und klarer Prozesse, um die hohe Anzahl möglicher Zugriffsrechte in den Griff zu bekommen.

Dazu gehören sowohl ein Lifecycle-Management-Tool als auch Richtlinien, die ich aber lieber als organisatorische Maßnahmen und Anweisungen bezeichnen möchte. Die Fernarbeit hat diese Notwendigkeiten noch klarer herausgestellt, aber sie dient im Endeffekt nur als Beschleuniger. Klar ist, dass ein Fernzugang prinzipiell nicht als genauso sicher wie ein Desktop-PC im Büro einzustufen ist. Umso wichtiger ist bei Remote-Arbeitsplätzen deshalb die Umsetzung kontextabhängiger Authentifizierungsrichtlinien, wie es etwa mit unserer Idaptive-Lösung möglich ist.

Wird dabei das Zusammenspiel von Datenschutz, Compliance, Risikobewertung und IT-Sicherheit schon als ein gemeinsames großes Ganzes betrachtet?

Kleist: Wir wären bei dem großen Ganzen definitiv am Ziel, so weit sind wir aber noch nicht. Oft wird Compliance nicht als Leitlinie wahrgenommen, die Sicherheit und Datenschutz nach einer Risikobewertung gewährleistet, sondern als Einzelmaßnahme, die einfach abgehakt werden muss.

Zu viele Insellösungen und ein unkoordinierter Flickenteppich von Einzelmaßnahmen führen heute leider noch dazu, dass das Gesamtziel nicht erreicht wird. An dieser Stelle besteht sicherlich noch Nachholbedarf, der zu großen Teilen Bereiche außerhalb der Technik betrifft. Vor allem die organisatorische Einbettung und sinnhafte Gesamtsteuerung von Projekten und Projektzielen sind von entscheidender Bedeutung.

Ansätze wie beispielsweise Zero Trust sind ja nicht einfach ein fertiges Produkt, das man kaufen kann, sondern erfordern häufig ein schrittweises Vorgehen, das auch sehr viele Abläufe betreffen kann. Welche Herausforderungen bringt das für Unternehmen mit sich?

Kleist: Zero Trust ist eher ein Modell als ein Produkt. Bei CyberArk verfolgen wir bei der Konzeption von Sicherheitslösungen schon lange den Ansatz „Denken wie ein Angreifer“. Die Ziele beim Zero-Trust-Modell und unserem Ansatz sind identisch: Es geht darum, eine Lösung zu finden, die nicht nach dem immer wieder anzutreffenden Modell „es wird schon gut gehen“ funktioniert.

„Es wird schon gut gehen“ kann dabei sowohl die menschliche als auch die technische Komponente betreffen. Nur wenn beide zusammen genommen mit einem Zero-Trust-Ansatz abgesichert werden, können Cybergefahren nachhaltig reduziert werden. Dabei sind organisatorische Herausforderungen auf allen Ebenen anzutreffen, denn ein Unternehmen muss die geübte Praxis aufgeben und neue Prozesse konzipieren und konsequent umsetzen.

Wege an diesen Prozessen vorbei dürfen nicht mehr existieren. Dies bedeutet natürlich auch, dass liebgewonnene Pfade verlassen werden müssen. Wenn hierbei auf Mitarbeiterseite Widerstände aufkommen, ist das durchaus nachvollziehbar.

Es ist nicht direkt vergleichbar, aber auch das Tragen des Mund-Nasen-Schutzes ist nicht gerade schön. Aber wir wissen, dass es notwendig ist, um sich selbst und andere zu schützen. Ähnlich ist es mit der IT-Sicherheit. Ein kleiner Zusatzschritt im Prozess kann die Sicherheit maßgeblich erhöhen. Und diesen kleinen Zusatzschritt sollten Unternehmen und ihre Mitarbeiter akzeptieren, da dadurch ein potenziell umfangreicher Schaden abgewendet werden kann.