Vertrauen hat ausgedient: Durch die Überprüfung aller Zugriffe soll Zero Trust Unternehmen vor Cyberangriffen und Datendiebstahl schützen. Das Steuern digitaler Identitäten wird dabei zur Grundlage für granulare Kontrollen. [...]
Zero Trust ist in aller Munde. Der moderne Sicherheitsansatz, der auf der laufenden Kontrolle aller internen wie externen Zugriffe innerhalb des Netzwerks aufbaut, zählt zu den meistdiskutierten Themen im Bereich IT-Security. Der Bedarf für den Strategiewechsel ist schnell erklärt: In einer modernen IT-Umgebung sind neben lokalen Geräten eine Vielzahl an Konten und Diensten aktiv – Mitarbeitende im Home Office, Gastzugänge von externen Partnern, Cloud-Anwendungen und SaaS- bis PaaS-Dienste.
Diese zunehmende Dezentralisierung macht das neue Sicherheitskonzept Zero Trust notwendig, um verdächtige Aktivitäten erkennen und Angriffe stoppen zu können. Durch die Öffnung des eigenen Netzwerks für fremde Konten, Dienste und Geräte wird die Verteidigung der Netzwerkgrenze zwar nicht obsolet, aber sie erfordert zusätzliche, interne Kontrollen, die flexibel an heterogene IT-Umgebungen und Geschäftsanforderungen angepasst werden können. Die wichtigsten Eckpunkte einer Zero-Trust-Strategie sind:
- Sichere Authentifizierungsverfahren für interne wie externe Zugriffe
- Die Überwachung von Endgeräten und Netzwerkverkehr
- Die kontinuierliche Evaluierung von Zugriffen anhand vordefinierter Richtlinien und kontext-basierter Risikoanalyse
- Die Beschränkung von Zugriffsrechten auf das für die Arbeit minimal erforderliche Level (Least-Privilege-Zugriff)
Entscheidend ist, dass es sich bei Zero Trust um eine Strategie und keine Technologie handelt. Für Unternehmen bedeutet das, dass es nicht genügt, eine „Zero Trust Software“ zu budgetieren, die sich auf Knopfdruck in Betrieb nehmen lässt. Auch wenn bestimmte Anbieter mehrere der erforderlichen Sicherheitsmaßnahmen in einer Lösung abdecken, braucht es für die erfolgreiche Umsetzung des Zero-Trust-Ansatzes einen Mix an Technologien, der auf die Infrastruktur der jeweiligen Organisation abgestimmt werden muss. Abhängig von den jeweiligen Startbedingungen können auch Veränderungen der Netzwerkarchitektur notwendig sein, um etwa sensible Funktionen auf getrennten Geräten zu isolieren.
Identity als Fundament
Auch wenn Schutzmaßnahmen wie Firewalls, Endgeräteüberwachung und laufende Authentifizierung einen wichtigen Teil von Zero Trust bilden, geht es bei dem Sicherheitskonzept zentral um eine Frage: Wer? Wer versucht sich anzumelden? Welche Aktion soll durchgeführt werden? Wer hat im Unternehmen Zugriff auf welche Systeme und wer braucht diesen Zugang für seine Arbeit tatsächlich?
Nur wenn eine Organisation in der Lage ist, diese Fragen zu beantworten, kann sie zwischen notwendigen und unerwünschten bzw. potenziell bedrohlichen Zugriffen unterschieden und Sicherheitsmaßnahmen wie Netzwerküberwachung und Risikobewertungen erfolgreich nutzen. „Identity ist der neue Perimeter“ – bestimmt ist Ihnen diese Aussage bereits untergekommen. Der vielzitierte Spruch bringt eines auf den Punkt: Die granularen und flexiblen Entscheidungen über den Zugang zu Daten, die für die Umsetzung von Zero Trust notwendig sind, können nur auf Basis digitaler Identitäten getroffen werden.
Unternehmen, die ihre Sicherheit nach dem Zero-Trust-Paradigma neu gestalten möchten, müssen daher als Grundvoraussetzung Transparenz hinsichtlich der Benutzer und Berechtigungen in der eigenen IT schaffen. Das ist oft leichter gesagt als getan, denn aufgrund der stetigen Fluktuation durch Neuanstelllungen, Beförderungen, Abteilungswechsel, Karenzen und Abgänge sammeln sich in den meisten Betrieben mit der Zeit nicht benötigte Rechte und Konten an, die das neue Sicherheitskonzept durchkreuzen. Nur die aktive Verwaltung und laufende Kontrolle aller Zugänge kann das schleichende Chaos stoppen.
Zugriffe nach Least Privilege regeln
Wie setzt man die Limitierung von Zugriffen also in der Praxis um? Weil die Entscheidung, ob Berechtigungen notwendig sind oder nicht, von den internen Strukturen, Geschäftsanforderungen und Arbeitsabläufen eines Unternehmens abhängt, ist die Auswahl sinnvoller Richtlinien nur unter Einbindung aller Fachbereiche möglich. Ein weiterer Grund, warum das Thema Zero Trust ein gesamtheitliches Vorgehen erfordert, und nicht zur reinen IT-Aufgabe gemacht werden kann.
Welche Berechtigungen ein Mitarbeiter benötigt, leitet sich aus seinen Aufgaben im Unternehmen ab. Entsprechend ist es sinnvoll, erlaubte Zugriffe initial anhand der Rolle innerhalb des Betriebes zu definieren, also Attributen wie der Abteilungszugehörigkeit und Position eines Angestellten. So erhält jeder Mitarbeiter nur jene Berechtigungen, die für die Erfüllung seiner Aufgaben zwingend erforderlich sind. Dieser Ansatz wird auch als sparsame Berechtigungsvergabe bzw. Least-Privilege-Prinzip bezeichnet und erlaubt es Unternehmen, überflüssige Zugänge und Rechte zu eliminieren.
Die Anforderungen von Zero Trust Sicherheit gehen selbstverständlich über das Entfernen nicht zweckdienlicher Berechtigungen hinaus: Für den umfassenden Schutz der IT müssen auch Zugriffe, die in den von Least Privilege abgesteckten Rahmen fallen, durch aktive Kontrollen verifiziert werden. Abhängig von Risikofaktoren wie Gerät, Standort, Uhrzeit und Art des Zugriffs wird die Überprüfung der Identität dabei öfter wiederholt oder um zusätzliche Kontrollen erweitert.
Laufende Kontrolle
Dass Zero Trust auf der Limitierung und Kontrolle von Zugriffen aufbaut, bedeutet im Umkehrschluss: Halten Unternehmen Least Privilege nicht konsequent ein, stürzt auch Zero Trust in sich zusammen. Die Herausforderung liegt hier in der Tatsache, dass sich Unternehmensstrukturen laufend ändern – und damit auch die Grundlage für die Beurteilung, welche Rechte die Kriterien für notwendigen Zugriff erfüllen und welche nicht.
Verliert ein Zugang durch den Abschluss eines Projektes oder den Abteilungswechsel eines Mitarbeiters seine Daseinsberechtigung, wird daraus eine Altlast und ein Sicherheitsrisiko, ohne dass sich auf IT-Ebene etwas verändert hat. Konten und Rechte müssen kontinuierlich an veränderte Bedingungen auf Unternehmensebene angepasst werden, um weiterhin den Anforderungen von Zero Trust zu genügen. Dabei kommt es sowohl auf Geschwindigkeit als auch auf Präzision an: Fehler in der Berechtigungsvergabe müssen um jeden Preis vermieden werden.
Lösungen für Identity finden
Ähnlich der Erkennung von Angriffen oder Überwachung von Sicherheitsevents sind Organisationen beim Managen von Benutzern und Rechten auf automatisierte Systeme angewiesen, um die schiere Menge an Daten und notwendigen Handlungen bewältigen zu können. Die Verwaltung digitaler Identitäten ist die Kernaufgabe von Identity und Access Management Lösungen, welche die Vergabe, Anpassung und laufende Kontrolle von Zugriffsrechten handhaben.
Um die Einhaltung von Least Privilege und Zero Trust zu gewährleisten, unterstützen IAM-Systeme Organisationen nicht nur bei Auswahl und Zuordnung der minimal erforderlichen Rechte, sondern stellen auch langfristig sicher, dass keine Sicherheitslücken durch überflüssige Zugänge entstehen. Ändert sich die Position eines Mitarbeiters im Unternehmen, gleicht die IAM Lösung seinen Zugriff selbstständig an den neuen Aufgabenbereich an. Die regelmäßige Überprüfung von Rechten durch Verantwortliche innerhalb der Fachabteilungen, welche automatisch eine Liste aller ausstehenden Kontrollen erhalten, tut ihr Übriges, um die Ansammlung überflüssiger Rechte zu stoppen.
Durch das Zero-Trust-Modell, welches Identitäten ins Zentrum rückt, wird die aktive Verwaltung von Konten und Zugängen zum entscheidenden Kriterium, um ein stabiles Fundament für die eigene IT zu schaffen. Reibungslose Arbeitsabläufe bei gleichzeitiger Absicherung durch granulare Authentifizierungsprozesse gelingen nur auf Basis eines klaren Berechtigungskonzepts, welches die Zuweisung von Rechten anhand der minimalen Anforderungen regelt und langfristig gewährleistet. Identity und Access Management Lösungen, welche diese Grundlage in Unternehmen schaffen, bilden entsprechend einen zentralen Baustein der Zero-Trust-Strategie.
*Der Autor Helmut Semmelmayer ist VP Revenue Operations und Mitglied der Geschäftsführung bei tenfold.
Be the first to comment