Hybrides Arbeiten erfordert einen Zero-Trust-Ansatz

Balanceakt zwischen Zugänglichkeit und Sicherheit

Die Hauptursache für diese Reibungsverluste liegt darin, dass Unternehmen Angreifer daran hindern müssen, diese neue Situation ausnutzen zu können. Strenge Sicherheitskontrollen sind dabei von entscheidender Bedeutung, da Kriminelle ihre Aktivitäten in einer flexiblen Arbeitsumgebung, in der sich Benutzer von verschiedenen Orten aus anmelden und oft auch persönliche Geräte verwenden, leichter verschleiern können.

Um diese Kontrollen zu veranschaulichen, stellen wir uns die Netzwerkinfrastruktur als eine Art Bankschließfach mit Sicherheitspersonal an der Tür vor. Die strengste Form der Zugangskontrolle bestünde darin, dass das Wachpersonal den Ausweis jedes einzelnen Kunden überprüfen würde. Dazu wäre ein offizielles Dokument wie ein Personalausweis nötig. Dieser Ansatz bietet die größte Chance, sicherzustellen, dass nur berechtigte Besucher den Service in Anspruch nehmen können, verursacht aber auch die meisten Reibungsverluste – und kann für legitime Besucher frustrierend sein.

Eine reibungslosere Variante wäre es, wenn das Wachpersonal alle Besucher nur nach dem Augenschein beurteilte. Jeder, der legitim erschiene, würde abgenickt werden, jeder, der sich verdächtig machte, müsste seinen Ausweis vorzeigen. Diese Methode ist für die Besucher wesentlich angenehmer, birgt aber auch das Risiko, dass die Türsteher unberechtigte Personen nicht abweisen.

Eine dritte Möglichkeit, die ebenfalls für ein reibungsloses Erlebnis sorgen würde, wäre die kontinuierliche Überwachung der Nutzung des Zugangs durch die Besucher, sobald sie sich im Tresorbereich befänden. Dabei würden Personen festgehalten werden, sobald sie versuchten, andere Bereiche aufzusuchen oder andere Fächer zu manipulieren. Die beiden letztgenannten Punkte sind natürlich nur in einer digitalen Umgebung realisierbar.

Doch zurück zum hybriden Arbeitsplatz: Unternehmen möchten ihren Mitarbeitern nicht das Gefühl geben, dass sie jedes Mal, wenn sie versuchen, auf Unternehmensressourcen zuzugreifen, von stämmigen Türstehern bedrängt werden. Gleichzeitig müssen sie bei der Einführung eines reibungslosen Ansatzes aber sicher sein, dass legitime Benutzer genau und zuverlässig identifiziert werden, ohne dass potenzielle Angreifer eingelassen werden.

Die Lösung, um diesen Widerspruch aufzulösen, ist eine Zero-Trust-Strategie, die einen risikobasierten Ansatz verwendet. Dabei werden Überprüfungsmaßnahmen implementiert, die auf der Grundlage von Faktoren wie dem verwendeten Gerät und den Assets, auf die zugegriffen wird, variieren. Zero Trust stellt einen digitalen Lügendetektortest dar, der sich an das potenzielle Risiko jeder Interaktion anpasst – und, wenn er richtig durchgeführt wird, eine Authentifizierung mit einem Minimum an Reibung ermöglicht.

Zero Trust ist eine Denkweise, keine Lösung

Zero Trust hat seit einigen Jahren an Dynamik gewonnen, ist aber im letzten Jahr ins Rampenlicht gerückt, da immer mehr Unternehmen nach Lösungen suchen, um ihre zunehmend aufgesplitterte Infrastruktur zu sichern. Die Sichtbarkeit wurde auch dadurch erhöht, dass die US-Regierung die Einführung von Zero-Trust-Strategien für Regierungsorganisationen vorschreibt.

„Bei Zero Trust geht es darum, Risiken zu verringern, ohne die Reibungsverluste für Benutzer zu erhöhen. Gleichzeitig soll es für Angreifer so viel Reibung wie möglich schaffen.“

Stefan Schweizer, ThycoticCentrify

Eine Sache, die von Neulingen in diesem Konzept häufig übersehen wird, ist, dass Zero Trust keine typische Sicherheitslösung ist, sondern eine Denkweise. Es gibt keine Liste mit Standards, die man abhaken kann. Vielmehr geht jedes Unternehmen auf der Grundlage seiner Infrastruktur und Geschäftsziele seinen eigenen individuellen Weg. Zero Trust ist dabei der Ansatz für Betriebe, ihre Sicherheitsmaßnahmen, bei dem die Berechtigung kontinuierlich überprüft wird, anzupassen.

Es gibt für Unternehmen verschiedene Maßnahmen, um diese Entwicklung zu unterstützen und sie voranzutreiben:

• Ein SSO-Ansatz (Single Sign-On) ist zum Beispiel sehr nützlich, um Reibungsverluste zu reduzieren. Er stellt sicher, dass Benutzer nur einmal pro Sitzung verifiziert werden müssen, um auf das zugreifen zu können, wofür sie autorisiert sind.
• Strikte Berechtigungskontrollen sind eines der wichtigsten Elemente. Unternehmen müssen dem Prinzip der geringsten Berechtigung folgen, wobei Benutzer nur auf Daten und Anwendungen zugreifen können, die sie für ihre Aufgaben benötigen.
• Endpoint Privilege Management (EPM) ist hier ebenfalls nützlich, da es Anwendungskontrolle und Berechtigungsverwaltung kombiniert, um sicherzustellen, dass nur vertrauenswürdige Anwendungen ausgeführt werden können – und das häufige Problem des willkürlichen lokalen Administratorzugriffs beseitigt. Dadurch wird ein Sicherheitsansatz geschaffen, der weitaus dynamischer ist als der alte statische Ansatz mit Benutzernamen und Kennwörtern. Sicherheit muss anpassungsfähig werden und sich auf der Grundlage der aktuellen Bedrohungslage weiterentwickeln.
• Die Multifaktor-Authentifizierung (MFA) ist eines der wirksamsten Instrumente zur Durchsetzung einer adaptiven Authentifizierung. Nutzer, die sich verdächtig verhalten, beispielsweise wenn sie versuchen, auf Daten außerhalb ihres Zuständigkeitsbereichs zuzugreifen, oder sich von bisher unbekannten Geräten oder Standorten aus anmelden, können aufgefordert werden, sich mit MFA zu verifizieren. Dies sollte nur dann geschehen, wenn ein Benutzer den Schwellenwert auf der Grundlage einer kontinuierlich überwachten Risikobewertung erreicht hat, ohne dass zusätzliche Schritte für Benutzer erforderlich sind, die sich innerhalb akzeptabler Grenzen bewegen. Diese Technologie ist dank der Biometrie in den letzten Jahren viel benutzerfreundlicher geworden, was bedeutet, dass der Prozess mit minimaler Unterbrechung abgeschlossen werden kann.

Die Reise zu Zero Trust beginnt

Zero Trust ist eine Reise, die nie wirklich abgeschlossen ist, da kein Unternehmen jemals zu 100 Prozent sicher sein kann. Daher ist es für Unternehmen, die gerade am Anfang dieser Reise stehen, sinnvoll, sich klare Ziele zu setzen und sich Schritt für Schritt darauf vorzubereiten.

Dies beginnt mit der Entwicklung eines klaren Verständnisses der wertvollsten Vermögenswerte des Unternehmens sowie einer Risikofolgenabschätzung, um potenzielle Auswirkungen zu ermitteln. Betriebe sollten bei der Risikobewertung einen dynamischeren Ansatz verfolgen, anstatt sich auf jährliche Prüfungen zu verlassen. Dies ist im letzten Jahr noch wichtiger geworden, da viele Unternehmen radikale Veränderungen durchlaufen haben.

Die Unternehmen sollten dann ermitteln, welche Art von Kontrollen die größten Auswirkungen auf die Verringerung dieser Risiken haben werden. Von hier aus ist es möglich, die Zero-Trust-Strategie in eine Reihe kleinerer Projekte und Schritte aufzuteilen. Man sollte mit Kontrollen für kleinere Anwendungsfälle starten, um einige schnelle Erfolge zu erzielen und dann auf diesen aufbauen, um nach und nach weitere Bereiche des Unternehmens abzudecken. Ein höherer Reifegrad und eine bessere Implementierung verstärken die Ergebnisse, die sich von Endpunkten über Cloud-Umgebungen und SaaS bis hin zur Lieferkette und darüber hinaus erstrecken.

Bei Zero Trust geht es darum, Risiken zu verringern, ohne die Reibungsverluste für Benutzer zu erhöhen. Gleichzeitig soll es für Angreifer so viel Reibung wie möglich schaffen. Je schwieriger es für diese ist, sich Zugang zu verschaffen, desto mehr Aufsehen werden sie wahrscheinlich verursachen, und desto leichter wird es sein, sie zu identifizieren und zu stoppen, bevor sie ihre Ziele erreichen können.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.