Was kommt im kommenden Jahr in Sachen IT-Sicherheit auf die Unternehmen zu? [...]
Viel beschworener Ansatz: Zero Trust
Ein wichtiger Baustein jedes guten Sicherheitskonzepts ist gesunde Skepsis: Zero Trust basiert auf dem Grundsatz, erst einmal überhaupt keinem Gerät, keinem Dienst und keinem Nutzer innerhalb und außerhalb des Unternehmensnetzes zu trauen. Die klassische Burgwallmentalität – hinter der Firewall passiert uns nichts – ist überholt.
Neu ist das Thema Zero Trust jedoch nicht. Im Grunde sind die Prinzipien des Sicherheitskonzepts schon seit einigen Jahrzehnten bekannt. Doch erst in den vergangenen Jahren seien, so Sebastian Ganschow von NTT, Lösungen auf den Markt gekommen, mit denen sich Zero Trust einfach in die IT und in den Arbeitsalltag der Mitarbeiter integrieren lasse.
„Was wir wirklich brauchen, ist ein Paradigmenwechsel bei der Absicherung des direkten Zugriffs auf Anwendungen in der heutigen Welt
Thomas Maxeiner – Senior Manager System Engineering Cortex bei Palo Alto Networks
Obwohl Zero Trust laut Akhilesh Dhawan von Lookout „zu einem überstrapazierten Schlagwort geworden ist“, sei „Zero Trust immer noch eine entscheidende Sicherheitsstrategie zur Absicherung von Unternehmen“.
Im Gegensatz zu herkömmlichen Ansätzen, die am Rande des Sicherheitsperimeters angesiedelt seien, betrachte eine Zero-Trust-Strategie ganzheitlich alle Elemente einer modernen IT-Infrastruktur – einschließlich des Endpunkts, des Netzwerks, der Cloud und der Daten eines Unternehmens.
Die Implementierung einer Zero-Trust-Strategie kann also dazu beitragen, das Angriffsrisiko zu verringern. Dabei ist es wichtig, dass man den Kontext versteht, in dem sich ein Benutzer oder ein Gerät anmeldet, um auf das Unternehmensnetzwerk oder die Cloud-Apps zuzugreifen: Wenn sich ein Anwender beispielsweise von einem völlig anderen Ort aus als gewöhnlich anmeldet, könnte dies, auch wenn er legitime Anmeldeinformationen verwendet, ein Hinweis auf ein kompromittiertes Konto sein.
„Zero Trust ist längst kein Hype mehr, sondern ein wirkungsvoller Ansatz, um das Cyberrisiko enorm zu reduzieren“ – so sieht es auch Michael Scheffler von Varonis.
Dabei dürfe man aber nicht den Fehler machen, Zero Trust allzu wörtlich zu nehmen. Scheffler zufolge geht es nicht darum, niemandem zu trauen, sondern darum, das Maß des Vertrauens dem jeweiligen Gerät oder User anzupassen.
Das „Vertrauen“, also die entsprechenden Zugriffsrechte, müsste dabei auf die eigentlichen Bedürfnisse des Users abgestimmt werden. „Jeder sollte nur den Zugriff erhalten, den er auch tatsächlich für seine Arbeit benötigt. Dieses Least-Privilege-Modell ist ein wesentliches Element, um den potenziellen Schaden etwa bei der Kompromittierung eines Kontos möglichst gering zu halten.“
Wenn es um Zero-Trust-Konzepte geht, kommen sogenannte ZTNAs zum Einsatz. Als Zero Trust Network Access wird eine Reihe von Technologien und Funktionen bezeichnet, die Nutzern einen sicheren Zugriff auf Anwendungen ermöglichen. Veraltete ZTNA-1.0-Ansätze unterstützen allerdings nur grobkörnige Zugriffskontrollen und beinhalten einen „Allow and Ignore“-Ansatz sowohl für Benutzer als auch für den Anwendungs-Traffic.
Sie bieten entweder wenig oder gar keine fortschrittliche, konsistente Sicherheit für alle Anwendungen – einschließlich einer rudimentären Data Loss Prevention (DLP). Dies verstößt laut Thomas Maxeiner, Senior Manager System Engineering Cortex bei Palo Alto Networks, „gegen das Prinzip des am wenigsten privilegierten Zugriffs und setzt Unternehmen einem erhöhten Risiko einer Sicherheitsverletzung aus“.
Abhilfe schaffe Zero Trust Network Access 2.0, das die Einschränkungen herkömmlicher ZTNA-Lösungen überwinde und sichere Verbindungen biete, um bessere Sicherheitsergebnisse für Unternehmen mit hybriden Belegschaften zu erzielen. ZTNA 2.0 wurde laut Maxeiner speziell für folgende Zwecke entwickelt:
- Zugang mit geringsten Privilegien
- kontinuierliche Vertrauensüberprüfung
- kontinuierliche Sicherheitsüberprüfung
- Schutz aller Daten
- Sicherheit für alle Anwendungen
„Was wir wirklich brauchen, ist ein Paradigmenwechsel bei der Absicherung des direkten Zugriffs auf Anwendungen in der heutigen Welt von Hybrid-Arbeit und Cloud-first“, so die klare Ansage von Thomas Maxeiner.
Herausforderung Identitätsmanagement
Ein Baustein eines Zero-Trust-Konzepts ist ein ausgefeiltes Identitätsmanagement, auch als Identitäts- und Zugriffsmanagement (Identity and Access Management, IAM) bezeichnet. Dazu gehören etwa die Bereitstellung von Sicherheits-IDs und Passwörtern sowie die Überwachung des Zugriffs auf bestimmte Daten und Anwendungen.
„Das Identitätsmanagement umfasst alle Maßnahmen, die darauf abzielen, sicherzustellen, dass nur autorisierte Personen auf Unternehmensdaten und -anwendungen zugreifen können“, fassen die Experten von Hornetsecurity zusammen.
Das Identitätsmanagement stellt sicher, dass autorisierte Mitarbeiter auf die zur Erfüllung ihrer Aufgaben erforderlichen Ressourcen zugreifen können – und dieser Zugriff auf diese Personen beschränkt bleibt. Zum Identity Management gehören alle Prozesse, die benötigt werden, um Identitäten zuzuweisen und zu deaktivieren, Rechte zu vergeben und zu entziehen sowie Geräte, Nutzer und Anwendungen zu authentifizieren und zu autorisieren.
„Wenn man das Thema Identitätsmanagement betrachtet, so sollte man im ersten Schritt einmal verinnerlichen, dass jegliche Person, jedes Gerät, jeder Prozess oder andere Kommunikation in einem heutigen System auch einer eigenständigen Identität entspricht“, erklärt Andreas Müller.
Er ist President DACH bei Delinea, einem Experten für Privileged Access Management. Mit dieser sehr schnell wachsenden Anzahl gehe dann jeweils noch ein individuelles Berechtigungs-Set einher, das einem Least-Privilege-Strategieansatz unterliegen sollte, um ungewollte Gefährdungen durch zu weitreichende Privilegien zu vermeiden.
„Identitätsmanagement sollte damit ein zentraler Bestandteil der Sicherheitsstrategie sein und nicht nur das Erstellen der Identität, sondern auch den Lifecycle bis zur Dekommissionierung und den dynamisch angepassten Berechtigungen umfassen.“
Hier spielen dann auch sogenannte digitale Identitäten eine Rolle. Sie sind laut Andreas Müller die zukünftige Grundlage aller möglichen Interaktionen. Damit würden auch die Sicherheit und Absicherung der digitalen Identitäten gegen Verfälschung, Missbrauch und Diebstahl ebenso wie die richtige Berechtigungsebene immer wichtiger.
Deswegen, so Müller, würden digitale Identitäten am Ende einen ähnlichen Stellenwert wie persönliche Identitätsmittel wie Pässe erlangen, „allerdings mit sehr viel größerer Bandbreite durch die Einbindung und Identitäten von Maschinen und Algorithmen“.
Doch auch die digitalen Identitäten haben die Angreifer im Visier: „Die größten Sicherheitsrisiken bei digitalen Identitäten sind Datenmanipulation und -diebstahl.
Kriminelle können mit Social-Engineering- und Phishing-Angriffen versuchen, an Zugangsdaten zu gelangen. Zudem können Angreifer über unzureichend gesicherte oder nicht gewartete APIs, Datenbanken und Dokumente, die aus dem Internet erreichbar sind, an sensible Daten kommen“, so Hornetsecurity.
Technisch gesehen sind digitale Identitäten heutzutage aber recht gut absicherbar. So gibt es zum Beispiel Verschlüsselungsalgorithmen, die auch mit viel Technik nur sehr aufwendig zu knacken sind.
Wenn die ausstellende Instanz auch noch möglichst hohe Authentifizierungsanforderungen erfülle, sollten Identitäten rein theoretisch sicher sein, ergänzt Andreas Müller von Delinea.
Warum liest man aber trotzdem immer wieder von Angriffen, die erfolgreich waren? „Nun, die eine Stelle, die sich nicht verändert hat und leider auch meistens mit die Ursache für den Erfolg eines Angriffs ist, ist der Mensch.“
Das höchste Risiko ist Andreas Müller zufolge immer noch die Gefahr eines Phishing-Angriffs. „Es heißt nicht umsonst: Einer klickt immer.“ Dagegen könne man sich aber wappnen, indem man „der breiten Masse“ keine höheren Rechte zuweist. Hier lauere dann aber die zweite große Gefahr: „Das Unternehmen beziehungsweise die IT-Abteilung versucht oft, die Aufwände eines korrekten Berechtigungsmanagements zu umgehen.“
So kommt es immer wieder vor, dass Mitarbeiter über mehr Rechte verfügen, als sie benötigen. Leider sei es hier wie überall, damit erreiche man nur eine zweitrangige Sicherheitsstufe, man akzeptiere Lücken und Risiken und werde damit leichter zum Opfer.
„Wenn die Gefahren durch umsichtiges, verantwortungsvolles Handeln und die Einführung systemunterstützter Prozesse, auch wenn es erst mal mehr Arbeit macht, reduziert werden, dann haben Angreifer auch nur noch wenige Chancen und werden höchstwahrscheinlich nicht dauerhaft erfolgreich sein“, so sein Fazit.
Sicherheit im Internet der Dinge
Längst geht es aber nicht mehr nur um das Absichern von Benutzerkonten oder Servern. Immer mehr Geräte und Anlagen wandern ins Netz, Stichwort Internet of Things. Die neuen Herausforderungen in Sachen Sicherheit verlangen von vielen Unternehmen, ihre Strategien und Verhaltensweisen zu überdenken.
So arbeitet die Operational Technology (OT) ganz anders als die klassische Informationstechnologie (IT). Der Begriff OT bezeichnet den Betrieb von physischen Industrie- und Produktionsanlagen, beispielsweise Robotern, Pumpen oder Metallpressen.
Der gravierendste Unterschied zwischen Operational Technology und IT zeigt sich in der Häufigkeit von Updates. Während in einer IT-Umgebung beim Erkennen einer Schwachstelle der Administrator schnell ein Sicherheits-Update im Hintergrund installiert, sieht das bei der Operational Technology ganz anders aus. Industrielle Steueranlagen sind in Produktionsumgebungen im Dauerbetrieb – ohne die Möglichkeit, kurz für ein Update ausgeschaltet zu werden.
„OT ist seit Jahren im Einsatz, ohne dass die Sicherheit hierbei an erster Stelle steht, was sie von vornherein unsicher macht“, so der Befund von Kay Ernst, Regional Director DACH beim IoT-Sicherheitsspezialisten Otorio.
Auch ihm zufolge sind Upgrades und Patches in Betriebsumgebungen, die rund um die Uhr laufen, nicht einfach. „Leider sind Ausfallzeiten keine Option. Es gibt daher in der Tat viele Löcher in OT-Umgebungen, weshalb der Zugang zu ihnen eingeschränkt und regelmäßig überprüft werden sollte.“
Der einzig wirksame Weg, Ransomware-Angriffen in industriellen Umgebungen zu begegnen, besteht laut Kay Ernst darin, nicht reaktiv, sondern proaktiv zu handeln: „Dazu gehört es, die Angriffsfläche und die Sicherheitslage einer industriellen Umgebung zu ermitteln, die Wirksamkeit der Sicherheitskontrollen zu bewerten und zu verstehen, welche Schwachstellen wirklich offenliegen und ausgenutzt werden können.“
Ein risikobasierter Ansatz, bei dem nicht die Schwachstellen selbst, sondern die Ausnutzungsvektoren analysiert werden, ermögliche eine bessere Konzentration auf die wichtigsten Risiken. „Die Leute neigen dazu, sich auf die Erkennung und Reaktion zu konzentrieren. Obwohl dies eine wichtige Maßnahme ist, ist es immer noch ein reaktiver Ansatz, der zu spät kommt, um mit solchen Angriffen fertigzuwerden.“
Doch viele OT-Geräte, zum Beispiel Produktionsanlagen, laufen noch mit altem Windows 95 oder XP – und lassen sich häufig schlicht nicht mehr aktualisieren. Das bedeutet nach Ansicht von Udo Schneider von Trend Micro aber nicht, dass man solche Anlagen gar nicht „vernetzen“ könne. „Vielmehr ist für passende Security Controls zu sorgen.“
Natürlich sei es am besten, wenn man die Systeme selber updaten könne. Aber auch ohne diese Möglichkeit gebe es technische Maßnahmen, zum Beispiel Virtual Patching auf Netzwerkebene, die das Expositionsrisiko auf ein verwaltbares Maß reduzieren.
„Auf der einen Seite ist die Gefahr aufgrund des Systemalters und der genutzten Protokolle hoch. Auf der anderen Seite sind diese Systeme als ,Fixed-Function-Device‘ zu betrachten. Das heißt, man weiß sehr genau, was überhaupt an Verkehr und Protokollen im Einsatz ist.“
Dementsprechend ließen sich diese Systeme auch mit überschaubarem Aufwand schützen. Wo dies mit Industrial-Endpoint-Lösungen nicht möglich sei, gebe es immer noch die Option, sich auf die Transparenz des Netzwerks zu fokussieren.
Der Idee, alle OT-Geräte regelmäßig aktualisieren zu wollen, liegt laut Max Rahner ein schwerwiegendes Missverständnis zugrunde. Laut dem Senior Regional Director DACH & Eastern Europe beim IoT-Sicherheitsspezialisten Claroty ist generell zu bedenken, dass der Erneuerungszyklus in der OT anders ist als in der IT.
Während in der IT Geräte nach drei bis fünf Jahren ausgetauscht würden, ziele OT auf 25 bis 50 Jahre Einsatzzeitraum ab. „Neben der Wirtschaftlichkeit ist die physische beziehungsweise funktionale Sicherheit der Grund dafür. Physische, funktionale Sicherheit steht häufig, wenn nicht gar in der Regel, in direktem Konflikt zu Cybersecurity, wenn sie wie in der IT verstanden und umgesetzt wird.“
Prozesse in der Operational Technology seien oft Realtime-Prozesse, in denen schon kleinste Veränderungen Auswirkungen auf die Prozessstabilität und den Prozesserfolg hätten. Sowohl ein Agent einer Security-Lösung als auch ein Update der System-Software könnten diese kleinen Veränderungen – oder manchmal auch sehr große – verursachen, sodass die Prozessintegrität nicht mehr gewährleistet sei.
Die gute Nachricht: „OT ist kein großes Security-Loch“, so das klare Statement von Max Rehner. „Wer aber will, dass OT ein großes Safety-Loch wird, fordert die Kollegen in Betriebstechnik und Instandhaltung am besten dazu auf, alle Systeme zu patchen.“
Grundsätzlich empfiehlt Claroty-Mann Rahner einen Blick in die B3S-Branchenstandards des Bundesamts für Sicherheit in der Informationstechnik (BSI) sowie generell anwendbare Regelwerke wie die IEC 62443.
„Würde dies flächendeckend so gehandhabt, wäre ein Großteil der Sorgen um die Cybersecurity in Industrieumgebungen schon behoben.“ Es sei wichtig, zu verstehen, dass OT-Security keine Frage eines Tools ist. „Hier gibt es eine entscheidende Gemeinsamkeit mit IT-Security: Cybersecurity ist ein stetiger Prozess.“
Problem: überarbeitete Mitarbeiter
Zero Trust, Identitätsmanagement, SSE und wie die vielen Technologien zur Absicherung der Infrastruktur alle heißen – die Möglichkeiten, um Unternehmen zu schützen, sind eigentlich vorhanden. Doch wie steht es um die Security-Spezialisten, die das Ganze in der Praxis verantworten müssen?
Das Marktforschungsunternehmen Wakefield Research führte jüngst eine weltweite Umfrage unter 1600 Führungskräften aus den Bereichen IT und Cybersicherheit durch. Die Studie „The State of Data Security“ ergab, dass das Thema Cybersicherheit die Unternehmen stark belastet: Es fehlen Fachkräfte in den IT- und SecOps-Teams, aber auch Tools und Lösungen.
Führungskräfte in IT und SecOps berichten in der Befragung von unzureichenden Budgets zum Schutz von Daten sowie von einer geringen Priorisierung der Datensicherheit durch das C-Level-Management. Gleichzeitig seien sich die verschiedenen Teams oft uneinig, welcher Ansatz gegen Cyberangriffe am besten schütze.
Fast alle befragten Führungskräfte (96 Prozent) berichten davon, einschneidende emotionale oder psychische Auswirkungen zu verspüren.
„Obwohl Zero Trust sicherlich zu einem überstrapazierten Schlagwort geworden ist, ist es immer noch eine entscheidende Sicherheitsstrategie zur Absicherung von Unternehmen.“
Akhilesh Dhawan – Senior Director for Security Solutions bei Lookout
„Burn-out, die steigende Komplexität von IT-Infrastrukturen und eine schnelllebige Bedrohungslandschaft belasten die Prozesse und Menschen“, resümiert Michael Pietsch von Rubrik. In Unternehmen, die bei der Cybersicherheit sparten, könne sich die Lage deshalb immer weiter verschärfen.
Be the first to comment