Sie sind auf Seite 1von 18

eBOOK

www.security-insider.de
SECURITY
INSIDER

Zero Trust – das richtige


Maß an Vertrauen
Zero Trust als Basis einer sicheren Digitalisierung Powered by:

Wie Zero Trust gegen Cyberattacken wirkt


Wie Identity & Access Management den Weg ebnet
Inhalt

3 Zero Trust ist die Basis einer sicheren


Digitalisierung
Digitale Transformation und Transformation der
Security

8 Wie sich Zero Trust erreichen lässt


Der Weg hin zu Zero Trust

12 Wie Zero Trust gegen Cyberattacken


wirkt
Zero Trust in der Praxis

15 Zero Trust – Wie Identity & Access


Management den Weg ebnet
Zero-Trust-Strategie mit SecurID durchsetzen

Vogel IT-Medien GmbH Haftung: Für den Fall, dass Beiträge oder
Powered by: Max-Josef-Metzger-Str. 21, 86157 Augsburg Informationen unzutreffend oder fehler-
Telefon +49 (0) 821/2177-0 haft sind, haftet der Verlag nur beim Nach-
E-Mail redaktion@security-insider.de weis grober Fahrlässigkeit. Für Beiträge,
Web www.Security-Insider.de die namentlich gekennzeichnet sind, ist
Geschäftsführer: Werner Nieberle , Günter der jeweilige Autor verantwortlich.
Schürger Copyright: Vogel IT-Medien GmbH. Alle
Chefredakteur: Peter Schmitz, V.i.S.d.P., Rechte vorbehalten. Nachdruck, digitale
RSA Security Germany GmbH Verwendung jeder Art, Vervielfältigung
peter.schmitz@vogel-it.de
Josephspitalstr. 15 nur mit schriftlicher Genehmigung der
Erscheinungstermin: August 2021
c/o Regus Redaktion.
Titel: BillionPhotos/stock.adobe.com
80331 München
Web www.securid.com
E-Mail rsa.ecs.de@arrow.com

2 Security-Insider | Zero Trust – das richtige Maß an Vertrauen


Digitale Transformation und Transformation der Security

Zero Trust ist die Basis einer


sicheren Digitalisierung
Die dynamischen Veränderungen bei der IT-Nutzung, den
IT-Infrastrukturen und den IT-Bedrohungen führen dazu, dass
die bisherige Vertrauensstellung bei Geräten und Nutzern neu
überdacht werden muss. Alleine die Zugehörigkeit zum Unter­
nehmensnetzwerk oder zur Belegschaft des Unternehmens
sollte nicht mehr ausreichen, um als vertrauenswürdig ein-
gestuft zu werden. Stattdessen gilt es, ein Zero-Trust-Konzept
zu implementieren.

es eine große Vielfalt unter


den berechtigten IT-Nut-
zern.
Der Grund: Führungskräf-
te fassen ihre Belegschaft
heute zunehmend wei-
ter und betrachten einen
großen Kreis externer Ar-
beitskräfte als Teil davon:
Dienstleister, freiberufliche
App-Entwickler, Gigworker
und sogar Bots, so die
Studie „Workforce Eco-
systems: Die Belegschaft
Wie die Bitkom-Studie „Wirtschaftsschutz 2021“ zeigt, sind
die Angreifer nicht nur externe Täter, es droht auch Gefahr wird neu gedacht“ von Deloitte und MIT
von innen. (Bild: Bitkom) Sloan Management Review.
Laut Studie definieren 75 Prozent der
weltweit befragten Unternehmen ihre
Die steigende Vielfalt der IT-Nutzer Belegschaft breiter als nur Voll- und
Ob eine Person berechtigt sein sollte, Teilzeitkräfte – eine Struktur aus inter-
bestimmte Geräte, Applikationen und nen und externen Akteuren, die darauf
Daten zu nutzen, hängt zunehmend ausgelegt ist, im Zusammenspiel Werte
nicht mehr davon ab, ob diese Person für eine Organisation zu schaffen. Ein
zum Unternehmen selbst gehört, also Drittel der Umfrageteilnehmer erwartet,
dort beschäftigt ist. Stattdessen gibt dass sie in den nächsten 18 bis 24

3 Security-Insider | Zero Trust – das richtige Maß an Vertrauen


Digitale Transformation und Transformation der Security

Monaten verstärkt auf externe Mitarbei- betroffenen Unternehmen berichten


tende zurückgreifen werden. von Mitarbeiterinnen und Mitarbeitern,
Diese Entwicklung macht deutlich, dass die unabsichtlich gehandelt haben. 28
sich die Berechtigungen für Geräte, Prozent der Unternehmen gehen dage­
Applikationen und Daten nicht mehr gen davon aus, dass Schäden vorsätz­
alleine auf ein Mitarbeiter-Benutzer­ lich herbeigeführt wurden. Eine unzurei-
konto stützen können. Ob Systemprivi­ chend geschulte oder unaufmerksame
legien erteilt werden und welche dies Belegschaft und Innentäter bleiben
konkret sind, muss auch an andere Fak- damit ein zentrales Problem für die deut-
toren geknüpft werden. sche Wirtschaft, so Bitkom.
Dies zeigt bereits, dass
man internen IT-Nutzerin­
nen und -Nutzern nicht
einfach eine Vertrauens-
stellung zugestehen und
Systemprivilegien erteilen
darf. Doch es gibt weitere
Gründe, von dem bishe-
rigen Bild abzuweichen,
dass innerhalb des eige-
nen Netzwerkes Sicher-
heit herrscht und die Be-
drohungen nur von extern
kommen: Die Grenzen ei-
Die Arbeit und damit die IT-Nutzung finden zunehmend nes Unternehmens lösen
dezentral und ortsunabhängig statt. Es reicht also nicht,
das eigene, interne Netzwerk abzusichern. (Bild: Bitkom)
sich zunehmend auf.

Allerdings erweitert sich nicht nur der Die neue Flexibilität bei den Stand-
mögliche Kreis der IT-Nutzerinnen und orten
Nutzer. Unternehmen sollten sich auch Bereits vor der Corona-Pandemie gab es
der Risiken durch Innentäter (Insider-­ Branchen, in denen Homeoffice-Arbeit
Attacken) stärker bewusst werden. So und mobile Arbeit (Remote Work)
zeigt die Umfrage „Wirtschaftsschutz verbreitet war. Die Pandemie aber hat
2021“ des Digitalverbandes Bitkom, Homeoffice zu einem der Standard­
dass in 61 Prozent der von Diebstahl, arbeitsplätze werden lassen. Seit Aus-
Spionage und Sabotage betroffenen bruch der Corona-Pandemie sind
Unternehmen Schäden durch Mitar- Millionen Berufstätige ins Homeoffice
beiterinnen und Mitarbeiter verursacht gewechselt, so der Bitkom-Verband.
wurden, teils auch nachdem sie bereits Ende 2020 arbeitete jeder Vierte (25
aus dem betroffenen Unternehmen Prozent) ausschließlich im Homeoffice.
ausgeschieden waren. 42 Prozent der Auf weitere 20 Prozent (8,3 Millionen)

4 Security-Insider | Zero Trust – das richtige Maß an Vertrauen


Digitale Transformation und Transformation der Security

traf das zumindest teil­ BSI. So hat der Corona-bedingte Digita-


weise zu, also nicht an allen lisierungsschub die mögliche Angriffs-
Arbeitstagen pro Woche. Ins- fläche und damit das Risiko erfolgrei-
gesamt arbeitete damit fast jeder cher Cyber-Angriffe vergrößert. Gerade
Zweite (45 Prozent) zumindest teil- die Homeoffice-Situation in Pandemie-
weise im Home­office. zeiten vergrößert die Angriffsfläche für
Auch nach Ende der Corona-Pandemie Cyberkriminelle und nimmt damit Ein-
werden sehr viel mehr Menschen im fluss auf die Informationssicherheit von
Homeoffice arbeiten als zuvor. Nach Wirtschaftsunternehmen in Deutsch-
Bitkom-Berechnungen wird mehr als land.
jeder Dritte (35 Prozent) den Arbeits- „Home-Office ist gekommen, um zu
ort flexibel wählen. Das entspricht 14,7 bleiben. IT-Sicherheit ist jedoch noch zu
Millionen Berufstätigen. 3,2 Millionen wenig in Budgets, Abläufen und Köpfen
(8 Prozent) werden ausschließlich im der Unternehmen angekommen. Wer
Homeoffice arbeiten, weitere 11,5 Milli- jetzt die Weichen für eine solide Infor-
onen (27 Prozent) teilweise. mationssicherheit seiner Infrastruktur
legt, der sichert seine Zukunft – in
schweren Pandemiezeiten und darüber
hinaus“, so Arne Schönbohm, Präsident
des BSI.
„In der Pandemie sind allein in Deutsch-
land zwölf Millionen Berufstätige ins
Home-Office gewechselt. Das ist keine
Momentaufnahme, sondern bestimmt
dauerhaft die neue Normalität. Beim
für viele spontanen Wechsel ins Home-­
Office spielte IT-Sicherheit zu oft keine
Rolle. Für mobiles Arbeiten bedarf es
Wie haben sich aufgrund von COVID-19 die IT-Security-Ausgaben einer richtigen Balance zwischen dem
Ihres Unternehmens in folgenden Bereichen geändert, so fragten
benutzerfreundlichen Zugriff auf Unter-
die Marktforscher von IDC. (Bild: IDC)
nehmensdaten und dem Schutz der IT.
IT-Sicherheitsbehörden wie das BSI Gefordert sind ein robustes und risiko-
(Bundesamt für Sicherheit in der Infor- basiertes IT-Sicherheitsmanagement,
mationstechnik) und die EU-Agentur für Mitarbeiterschulungen und gut durch-
Cybersicherheit ENISA haben eindrück- dachte Notfallkonzepte. Sicherheit ist
lich vor der Zunahme von Cyberrisiken kein einmaliges Projekt, Sicherheit ist
im Homeoffice und vor gezielten Cyber- ein kontinuierlicher Prozess“, so Achim
angriffen auf Remote Worker gewarnt. Berg, Präsident des Bitkom e.V.
Die COVID-19-Pandemie hat teils 59 Prozent der befragten Unternehmen,
erheb­liche Auswirkungen auf die IT-Si- bei denen Homeoffice grundsätzlich
cherheitslage in Deutschland, so das möglich ist, gaben an, seit Beginn der

5 Security-Insider | Zero Trust – das richtige Maß an Vertrauen


Digitale Transformation und Transformation der Security

Pandemie habe es IT-Sicherheitsvor­ und Compliance benötigen aber drin-


fälle gegeben, die auf die Heimarbeit gend mehr Aufmerksamkeit, denn ledig-
zurückzuführen seien. In 24 Prozent die- lich 40 Prozent der Unternehmen halten
ser Unternehmen sei das sogar häufig Sicherheits- und Compliance-Regeln
geschehen. Sofern ein Angriff mit dem ein, wenn es um Remote Work geht, so
Homeoffice in Verbindung stand, ist IDC.
daraus in der Hälfte der Fälle (52 Pro-
zent) auch ein Schaden entstanden. Die beschleunigte Wandlung hin zu
Bitkom-Präsident Berg betonte: „Mit- mehr Cloud-Services
arbeiterinnen und Mitarbeiter einfach Mit der Zunahme an Remote Work hat
zum Arbeiten nach Hause zu schicken, sich auch die Tendenz hin zur Nutzung
genügt nicht. Ihre Geräte müssen gesi- von Cloud-Diensten noch weiter ver-
chert, die Kommunikationskanäle zum stärkt. Im Corona-Jahr 2020 hat die
Unternehmen geschützt und die Beleg- Nutzung von Cloud-Computing noch
schaft für Gefahren sensibilisiert wer- einmal deutlich angezogen, wie der
den. Wer das nicht tut, verhält sich fahr- „Cloud Monitor 2021“ von Bitkom und
lässig.“ KPMG ergab. 8 von 10 Unternehmen
(82 Prozent) nutzen inzwischen Rechen-
leistung aus der Cloud – im Vorjahr wa-
ren es 76 Prozent, vor fünf Jahren lag der
Anteil sogar erst bei 65 Prozent. Weitere
15 Prozent der Unternehmen diskutie-
ren aktuell über den Cloud-Einsatz oder
haben ihn bereits fest geplant. Nur noch
drei Prozent sagen, dass die Cloud auch
weiterhin kein Thema für sie ist.
Damit müssen jedoch die mobilen
und stationären Endgeräte, die zur
Cloud-Nutzung verwendet werden, und
die Cloud-Zugänge vordringlich abgesi-
chert werden, nicht mehr nur die Zugän-
Die steigende Zahl von Attacken auf Lieferketten macht deutlich,
ge zum Unternehmensnetzwerk.
dass Vertrauensbeziehungen ausgenutzt werden. Es muss eine
neue Basis für dieses Vertrauen gefunden werden. (Bild: ENISA) Mit hybriden Clouds und Multi Clouds
steigen sowohl die Zahl der potenziellen
Bislang aber haben viele Unternehmen Angriffspunkte als auch die Anzahl der
ihre Security-Konzepte nicht darauf ein- Personen und Identitäten, die gemein-
gestellt, wie eine IDC-Umfrage ergab: sam an einer Aufgabe arbeiten oder in
35 Prozent der Firmen haben bereits einem Ökosystem miteinander agieren,
Richtlinien für flexibles Remote-Arbei- so die Marktforscher von IDC. Das er-
ten etabliert, weitere 38 Prozent planen fordert eine hohe Robustheit der Lösun-
dies für die nächsten Monate. Sicherheit gen, um potenziellen Angreifern wenig

6 Security-Insider | Zero Trust – das richtige Maß an Vertrauen


Digitale Transformation und Transformation der Security

Raum zu lassen bzw. sofort reagieren zu Cybersicherheitsexperten, da die Ket-


können. tenreaktion, die durch einen Angriff auf
einen einzelnen Lieferanten ausgelöst
Die Cyberattacken verändern sich wird, ein Netzwerk von Anbietern kom-
Ein weiterer Faktor unterstreicht, dass promittieren kann, so die EU-Agentur für
sich die Cybersicherheit verändern Cybersicherheit ENISA.
muss, nicht nur weil sich die IT-Nut- Juhan Lepassaar, Exekutivdirektor der
zung und die IT-Infrastrukturen gewan- EU-Agentur für Cybersicherheit, sagte:
delt haben. Cyberkriminelle verändern „Aufgrund der Kaskadenwirkung von
ihre Strategien, zielen vermehrt auf die Angriffen auf die Lieferkette können Be-
Supply-Chain ab und treffen Unterneh- drohungsakteure weitreichende Schä-
men dadurch indirekt und unvorbereitet. den verursachen, die Unternehmen und
So berichtete das BSI: Nach einem ihre Kunden gleichzeitig betreffen.“
Cyberangriff auf einen amerikanischen Laut dem ENISA-Bericht „Threat Land­
Software-Hersteller ist es weltweit zu scape for Supply Chain Attacks“ reicht
IT-Störungen gekommen. Zahlreiche der bisherige Sicherheitsschutz der
IT-Dienstleister, deren Kunden und wei- Unternehmen nicht mehr aus, wenn
tere Unternehmen sind Opfer von Ver- Angreifer ihre Aufmerksamkeit bereits
schlüsselungstrojanern, sogenannter auf Lieferanten gelenkt haben. Dies
Ransomware, geworden. Auch in wird durch die zunehmenden Auswir-
Deutschland sind IT-Dienstleister und kungen dieser Angriffe wie Ausfallzeiten
weitere Unternehmen betroffen. von Systemen, finanzielle Verluste und
BSI-Präsident Arne Schönbohm erklärte Reputationsschäden sichtbar. ENISA
dazu: „Der Vorfall zeigt, wie intensiv die erwartet, dass sich Angriffe auf die Lie-
globale Vernetzung in der Digitalisie- ferkette im Jahr 2021 im Vergleich zum
rung voranschreitet und welche Ab- Vorjahr vervierfachen werden.
hängigkeiten dabei entstehen. Bei dem Das zeigt erneut, dass auch für die
aktuellen Angriff wurde Ransomware Kommunikation und den Datenaus-
über jedes Glied einer Software-Liefer­ tausch entlang der Lieferkette
kette ausgerollt. Das zeigt deutlich: eine neue Vertrauensbasis
Lieferketten müssen auch unter dem geschaffen werden muss:
Aspekt der IT-Sicherheit in den Fokus Zero Trust.
rücken. Ransomware ist derzeit als eine  Oliver Schonschek
der größten Bedrohungen für die IT von
Unternehmen und Organisationen ein-
zuschätzen. Bei erfolgreichen Angriffen
werden Dienstleistungen und Produkti-
on häufig zum Stillstand gebracht. Die
Schäden für Betroffene sind daher oft-
mals enorm.“ Angriffe auf die Lieferkette
sind seit vielen Jahren ein Thema für

7 Security-Insider | Zero Trust – das richtige Maß an Vertrauen


Der Weg hin zu Zero Trust

Wie sich Zero Trust erreichen lässt


Laut Gartner ist Zero Trust Network Access (ZTNA) die Technologie,
mit der Zero Trust Realität wird und das weit verbreitete VPN ersetzt.
Bis 2023 sollen 60 Prozent der Unternehmen die meisten ihrer VPNs
mit Fernzugriff zugunsten von ZTNA auslaufen lassen. Doch Zero
Trust ist mehr als eine Technologie, es ist eine Security-­Strategie, die
sich auf allen Ebenen eines Unternehmens auswirken muss.

Was man unter Zero Trust verstehen zer einmal als vertrauenswürdig genug
sollte eingestuft wurde, muss er das nächste
Zero Trust klingt nach „kein Vertrauen“, Mal nicht automatisch erneut so klassi-
doch ohne jedes Vertrauen geht es fiziert werden.
nicht, weder in der Wirtschaft noch im Zero Trust nutzt generell diese Leitlinien:
Privatleben. Tatsächlich fordert Zero • Auf alle Ressourcen muss unabhängig
Trust auch nicht, gar kein Vertrauen vom Standort auf sichere Weise zuge-
mehr zu haben. Vielmehr geht es darum, griffen werden.
kein unbegründetes Vertrauen zu haben, • Die Zugangskontrolle erfolgt auf der
kein blindes Vertrauen. Basis von Need-to-know und muss
Wenn ein Nutzer oder ein Gerät eine strikt durchgesetzt werden.
digitale Vertrauensbeziehung mit einem • Organisationen müssen den gesamten
anderen Nutzer, Gerät, einem System Datenverkehr überprüfen und proto-
oder einer Applikation aufbauen will, kollieren, um sicherzustellen, dass die
müssen zuerst die Grundlagen dafür Benutzer das Richtige tun.
gelegt werden. Zero Trust bedeutet, dass man keinem
Zuerst einmal sollte man sich klarma- Nutzer, keinem Gerät und keiner Anwen-
chen, was keine Grundlage mehr sein dung ein Anfangsvertrauen oder dauer-
darf: die Zugehörigkeit zum Unterneh- haftes Vertrauen zubilligt. Das Vertrauen
mensnetzwerk oder zur Belegschaft. muss jeweils neu erarbeitet und fortlau-
Stattdessen sollte gelten: Traue nie- fend geprüft werden.
manden blindlings! Ganz gleich, wer es Gartner nennt dieses Konzept CARTA,
ist, wo er ist und ob er sich innerhalb dies steht für „Continuous Adaptive Risk
oder außerhalb des Firmennetzwerks And Trust Assessment“. Zugänge und
befindet. Zugriffe werden demnach durchgehend
Weiterhin gilt, dass Vertrauen nicht dau- hinsichtlich der Risiken, die dadurch
erhaft geschenkt werden sollte. Das entstehen, untersucht, ebenso wird das
Vertrauen muss immer wieder auf die Vertrauen in Nutzer und Geräte laufend
Probe gestellt werden. Nur weil ein Nut- hinterfragt. Veränderungen in Risiken

8 Security-Insider | Zero Trust – das richtige Maß an Vertrauen


Der Weg hin zu Zero Trust

und Vertrauenswürdigkeit werden einer Mitarbeiterin nicht einfach vertraut


dynamisch beantwortet. werden soll, bedeutet dies nicht, dass
man nun alle Beschäftigte unter Gene-
Zero Trust ist mehr als Technologie, ralverdacht stellt.
es ist ein Mindset Vielmehr geht es darum, in der gesam-
Was jedoch nicht vergessen werden ten Security-Organisation fortlaufend
sollte, sind neben technischen Aspek- zu validieren, ob bestimmte Berechti-
ten auch die Bereiche der Organisation, gungen für Zugänge und Zugriffe bei
die von einem Zero-Trust-Ansatz betrof- Geräten, Applikationen und Daten wei-
fen sind. Wenn einem Mitarbeiter oder terhin zugestanden werden sollten oder
nicht.
Zero Trust sollte deshalb den Mindset
prägen, die grundsätzliche Einstellung
bei allen sicherheitsrelevanten Vorgän-
gen und Prozessen im Unternehmen.
Das beginnt nicht erst bei der Vergabe
von Zugangs- und Zugriffsberechti-
gungen, sondern es schließt zum Bei-
spiel auch die Vergabe von Geräten und
Speichermedien und die Erlaubnis des
Zutritts in bestimmte Gebäudeteile und
Räume ein.

Zu Zero Trust trägt Security Aware-


ness bei
Damit der Gedanke von Zero Trust nicht
nur ins Unterbewusstsein vordringt,
sondern damit dies auch richtig ver-
standen wird und kein Gefühl des Gene-
ralverdachts aufkommt, sollte Zero Trust
zu einem Schulungsthema im Unterneh-
men werden, wenn es um IT-Sicherheit
und Datenschutz geht.
Wichtig ist dabei auch das Verständnis,
wie mit anderen Nutzern und Personen
im Allgemeinen umgegangen wird. Ob
Eine Vielzahl von Cyberattacken versucht, das Vertrauen der Kollegin oder Kollege, Kunde oder Lie-
Opfer zu missbrauchen, sowie die Vertrauensstellung, die das ferant, freie Mitarbeiter oder Festange-
Opfer bei anderen hat, auszunutzen, wie der Bericht „ENISA stellte, immer sollte an Zero Trust ge-
Threat Landscape 2020“ zeigt. Für die Abwehr der Cyberangriffe
ist es deshalb wichtig, nicht einfach zu vertrauen, sondern eine dacht werden. Ein Vertrauensverhältnis
sichere Grundlage für das Vertrauen zu schaffen. (Bild: ENISA) sollte nicht als persönliches Verhältnis

9 Security-Insider | Zero Trust – das richtige Maß an Vertrauen


Der Weg hin zu Zero Trust

verstanden werden, sondern als Grund- Apps und Diensten sowie die Identifi-
lage der IT-Sicherheit und Datensicher- kation, Transparenz und Verwaltung bei
heit. Nutzern, jeweils ohne einen Unterschied
zu machen zwischen internen und
Zero Trust braucht auch die richtige externen Nutzern, Netzwerken, Apps
technische Infrastruktur und Diensten.
Bei der technischen Umsetzung von Entsprechend spielen bei Zero Trust
Zero Trust helfen Lösungen, die Funkti- IT-Sicherheitslösungen eine Rolle für
onen bieten wie die Identifikation, Trans- Identity and Access Management und
parenz und Verwaltung bei Geräten, Privileged Access Management. Lösun-
gen für eine Multi-Faktor-Authentifizie-
rung (MFA) spielen dabei eine zentrale
Rolle, denn die Identität von Nutzern,
Geräten und Apps soll zu einem tempo­
rären Vertrauensanker werden. Dafür
aber muss die Identität umfassender
geprüft werden als über eine einfache
Passwortabfrage.
Lösungen zu Security Analytics/SIEM
sowie Threat Intelligence sind wichtig,
um die aktuelle Bedrohungslage und die
zu berücksichtigenden Risiken zu be-
stimmen und zu priorisieren, die dann
Einfluss haben auf die Wahl der Schutz-
maßnahmen, um das Vertrauen gewäh-
ren zu können.
Auch Lösungen für Device Manage-
ment, Data Loss Prevention, Verschlüs-
selung, Web Application Firewalls, Cloud
Access Security Broker, Endpoint Pro-
tection, Security Monitoring, User and
Entity Behavior Analytics können zu
einer Umsetzung von Zero Trust gehö-
ren.
Zero Trust erfordert in der Regel keine
komplett neue Security im Unterneh-
Innovation und Technologie stehen bei den Führungskräften
ganz oben auf der Agenda. Über 50 Prozent der Befragten geben men, vieles wird bereits vorhanden sein.
an, dass sie begonnen haben, neue Ansätze zur Cybersicherheit Wichtig ist aber, dass die Policies, die
zu implementieren, und sogar jede fünfte Organisation erkennt für die IT-Sicherheitslösungen aufge-
bereits erste Vorteile. Das zeigen die Ergebnisse der Studie
„Digital Trust Insights 2021“ von PwC. Zu den neuen Ansätzen stellt werden, grundsätzlich die aktu-
zählt insbesondere auch Zero Trust. (Bild: PwC) ellen Risiken berücksichtigen, keinen

10 Security-Insider | Zero Trust – das richtige Maß an Vertrauen


Der Weg hin zu Zero Trust

Vertrauensvorschuss vorsehen und die zung ist demnach ein abweichendes


Berechtigungen minimal halten und Verständnis dessen, was Zero Trust
dynamisch anpassen. innerhalb einer Organisation bedeutet
und wofür die Gesamtstrategie steht.
Worauf Unternehmen bei der Ein-  Oliver Schonschek
führung von Zero Trust achten soll-
ten
Erfahrungen von Unternehmen, die
bereits ein Zero-Trust-Konzept einfüh-
ren, können dabei helfen, schneller zum
Erfolg bei Zero Trust zu kommen. Forres-
ter Research hat die Studie „Zero Trust
Adoption In Europe – The COVID-19
Pandemic Accelerates The Death Of
Traditional Security Models In Europe“
durchgeführt.
Das zentrale Ergebnis ist: Die Corona­
virus-Krise hat die Einführung des Zero-
Trust-Modells in Europa beschleunigt.
Europäische Unternehmen verlagern
ihre Arbeitslasten zunehmend in die
Cloud, um die Vorteile von mehr Flexi-
bilität für ihre Mitarbeiter zu nutzen, da
hybride Arbeitsmodelle zur Norm
werden. Die Ergebnisse der Forrester-­
Umfrage zeigen zudem, dass viele
Unternehmen ihre derzeitigen Sicher-
heitsmodelle überdenken. Den CIOs
und CISOs geht es vor allem darum,
einer verstreut arbeitenden Beleg-
schaft, einschließlich Auftragnehmern
und Dritten, die von einer Vielzahl von
Geräten aus arbeiten, sicherheitstech-
nisch gerecht zu werden.
Unter anderem fand Forrester Research
heraus: Europäische CISOs müssen
Zero Trust eher als ein umfassendes
Umsetzungsprogramm behandeln und
nicht als eine Reihe einzelner techni-
scher Initiativen. Einer der größten und
häufigsten Hindernisse für die Umset-

11 Security-Insider | Zero Trust – das richtige Maß an Vertrauen


Zero Trust in der Praxis

Wie Zero Trust gegen


Cyberattacken wirkt
Für den Erfolg von Zero Trust ist es entscheidend, dass das
Konzept von allen Beteiligten richtig verstanden wird, so die
Erfahrung aus der Marktforschung. Besonders gut lassen sich die
Vorteile und Besonderheiten von Zero Trust verstehen und im
Management sowie bei Schulungen aufzeigen, wenn man sich
Zero Trust im praktischen Einsatz gegen Cyberattacken ansieht.

bestehenden Risiken, so dass auf mög-


liche Angriffe über E-Mail oder einen
anderen digitalen Kommunikationskanal
eine Priorität in der Suche und Erken-
nung von Attacken gelegt wird.
Zudem werden erhöhte Schutzmaß-
nahmen ergriffen: Für eine Anmeldung
benötigen die Nutzer nicht nur ein Pass-
wort, sondern einen zweiten Faktor
(Multi-Faktor-Authentifizierung). Weiter-
hin erhalten die Nutzer durch Zero Trust
Phishing-Attacken gehören zu den größten Cyberbedrohungen nur die wirklich benötigten Berechtigun-
für den Mittelstand, wie die EU-Agentur für Cybersicherheit gen für die jeweils aktuelle Situation.
ENISA berichtet. Aber nicht nur gegen diese Art von Angriffen
Kommt es zu einem Versuch von Phis-
kann Zero Trust helfen. (Bild: ENISA)
hing, sorgt Zero Trust dafür, dass selbst
dann kein Zugriff möglich ist, wenn ein
Phishing-Attacken im Home-Office Datendieb ein Passwort erbeutet haben
Die EU-Agentur für Cybersicherheit sollte, denn es fehlt ihm dann der not-
ENISA sieht in Phishing die größte wendige zweite Faktor für die Anmel-
Bedrohung für den Mittelstand, das BSI dung. Weitere Schutzfunktionen können
(Bundesamt für Sicherheit in der Infor- zum Beispiel die Isolation des Browsers
mationstechnik) warnt vor der Zunahme umfassen, so dass die Browseraktivi-
von Phishing-Attacken auf Beschäftigte täten getrennt von den anderen Sys-
im Homeoffice. temaktivitäten ablaufen, ein möglicher
Diese Bedrohungslage fließt bei einem Angriff über den Browser also in einer
Zero-Trust-Ansatz in die Threat Intel- Sandbox stattfindet und nicht ausbre-
ligence ein, also in die Analysen der chen kann.

12 Security-Insider | Zero Trust – das richtige Maß an Vertrauen


Zero Trust in der Praxis

Malware-Infektion des Notebook befinden. Dazu würden die


Notebooks Verbindungen des Gerätes und die
Zero Trust betrifft nicht nur Berechtigungen des Gerätenutzers
die externen und internen missbraucht.
Nutzer, sondern auch die Mit Zero Trust haben Gerät und Nutzer
Geräte, ob sie sich nun nur minimale Berechtigungen. Der Ver-
innerhalb oder außerhalb des such, weitere Daten zu erreichen, wird
Netzwerkes befinden. Kommt es zum als verdächtig eingestuft, überwacht
Beispiel zu einer Malware-Infektion auf und bei Auffälligkeit gestoppt. Wird die
einem Notebook, das ein mobiler Nutzer Ransomware-Infektion auf dem Note-
im WLAN eines Hotels betrieben hat, book ermittelt, erfolgt eine Sperrung für
dann würde an sich die Gefahr beste- weitere Zugriffsversuche. Die Ransom­
hen, dass die Malware bei der nächsten ware kann sich so nicht weiter aus­
Verbindung ins Firmennetzwerk den breiten.
„Sprung“ ins Netzwerk vornimmt, auch
und gerade bei der Nutzung von VPN Der Versuch einer Insider-Attacke
(Virtual Private Network). Bei VPN wird Auch Innentäter können mit Zero Trust
das extern betriebene Gerät ohne Zero abgewehrt werden. Zum einen wird bei
Trust zum vertrauenswürdigen Teil des Zero Trust die Berechtigung der Nutzer
Unternehmensnetzwerkes. minimal gehalten (Need-to-know-Prin-
Dank Zero Trust aber wird jedem Gerät zip) und abhängig vom aktuellen Risiko
erst einmal nicht getraut. Der aktuelle sogar noch weiter reduziert. Zum ande­
Sicherheitszustand des Gerätes ent- ren werden die Zugriffsversuche der
scheidet insbesondere darüber, ob ein Nutzer überprüft, da man grundsätzlich
Netzwerkzugang gewährt wird und wel- von einem möglichen Angriff ausgeht.
che (minimalen) Berechtigungen dabei Versucht der Insider Daten zu erreichen,
erteilt werden. Ein infiziertes Notebook zu denen er oder sie keinen Zugriff
aber wird bei Zero Trust erst dann haben sollte oder verhält sich der
wieder zugelassen, wenn die Malware Nutzer verdächtig, dann werden die
sicher beseitigt ist. Zugriffsversuche blockiert, der Angriff
des Innentäters wird so gestoppt.
Ransomware-Attacke auf Remote
Worker Fazit: Zero Trust im Kampf gegen
Auch die um sich greifenden Ransom- Cyberangriffe erfolgreich
ware-Attacken laufen dank Zero Trust Die Beispiele für vorherrschende Cyber­
ins Leere. Wird zum Beispiel das Note- attacken und die Abwehr durch Zero
book eines Remote Workers von Ran- Trust machen deutlich, warum sich
somware befallen, würde der automati- Unternehmen von klassischen Security-­
sche Angriff oder auch der begleitende Konzepten verabschieden und eine
Hacker-Angriff versuchen, auch Daten intelligente Implementierung von Zero
zu erreichen, die sich nicht auf dem Trust anstreben sollten.

13 Security-Insider | Zero Trust – das richtige Maß an Vertrauen


Zero Trust in der Praxis

Auch gerade in Zeiten von Hybrid Work,


also im Homeoffice und unterwegs,
werden die Nutzer unterstützt bei der
Erkennung und Abwehr von Identitäts-
diebstahl und Passwortausspähung.
Ganz gleich, wo sich Nutzer und Gerät
befinden, werden die aktuellen Risiken
ermittelt und die Berechtigungen ent-
sprechend vergeben, bis hin zur Blocka-
de eines Netzwerkzugriffs, wodurch die
Attacke gestoppt und nur das betroffe-
ne Gerät blockiert wird, anstatt die Pro-
duktivität vieler Nutzer zu senken oder
gar die Netzwerksicherheit zu gefähr-
den, indem alle Nutzer blockiert würden
oder aber kein Gerät von der Netzwerk­
nutzung ausgeschlossen würde.
 Oliver Schonschek

14 Security-Insider | Zero Trust – das richtige Maß an Vertrauen


Zero-Trust-Strategie mit SecurID durchsetzen

Zero Trust – Wie Identity & Access


Management den Weg ebnet
Da Unternehmen immer mehr digitale Projekte verfolgen, sich an
eine Belegschaft anpassen müssen, die von überall aus arbeitet,
und stets neue Erfahrungen einer Cloud-Nutzung machen, ist Zero
Trust heute von zentraler Bedeutung für die IT-Sicherheit.

Zero Trust und das richtige Maß an


Vertrauen
In diesem Sinne bedeutet „Zero Trust“,
das richtige Maß an Vertrauen zu schaf-
fen, sei es in einen Benutzer oder ein
Gerät, bevor der Zugang zu den Res-
sourcen der Organisation gewährt wird.
Das erforderliche Maß an Vertrauen
hängt davon ab, wem oder was man
den Zugang gewähren möchte, worauf
man zugreifen möchte und von anderen
Faktoren – die sich alle ändern werden,
wenn sich die Zugangsumgebung und
der Kontext ändern.

Zero Trust ist ein ständiges Unter-


Bei Zero Trust wird keinem Akteur, der Zugang zu Ressourcen
oder Diensten im Netzwerk will, von vornherein vertraut. Jeder fangen
Zugriff wird individuell authentifiziert. (Bild: SecurID) Zero Trust ist weder eine Technologie
noch ein Produkt – es ist eine Denk-
Seit Forrester den Begriff „Zero Trust“ im weise. Die Anwendung der Zero-Trust-­
Jahr 2021 eingeführt hat, ist er in aller Prinzipien ist daher ein fortlaufendes
Munde – aber nie war der Ansatz so prä- Unterfangen und keine einmalige Ange-
sent wie heute! Und die Identität – also legenheit. Bei Zero Trust geht es darum,
die Frage, wem man vertrauen kann und Vertrauen als etwas zu betrachten, das
womit – ist zentral für Zero Trust. Wenn kontinuierlich durch einen dynamischen
Sie über die Rolle von Zero Trust in der Entscheidungsfindungsprozess aufge-
Sicherheitsstrategie Ihres Unterneh- baut werden muss, und der ständig von
mens nachdenken, sollten Sie dabei die sich ändernden Rahmenbedingungen
folgenden Grundsätze beachten: und Risiken beeinflusst wird.

15 Security-Insider | Zero Trust – das richtige Maß an Vertrauen


Zero-Trust-Strategie mit SecurID durchsetzen

Zero Trust steckt in Identitäts- und Zugriffsmanagements


den Details (IAM), die für die Arbeit innerhalb des
Das NIST (National Institute NIST-Frameworks von grundlegender
of Standarts and Technology) Bedeutung sind, einschließlich risiko-
hat sieben Grundsätze des Zero basierter Analysen und rollen- und attri-
Trust als Teil seiner Zero-Trust-­ butbasiertem Zugriff:
Architektur definiert. Die Einhaltung
erfordert die Beachtung einer Viel- • Rollen- und attributbasierter Zugang,
zahl detaillierter Aufgaben im Dienste bedingter Zugang und risikobasierte
der wichtigsten Ziele: Sicherung der Analysen – alle grundlegend für die
gesamten Kommunikation unabhän- Einrichtung einer Policy Engine und
gig vom Standort, Gewährung des eines Policy-Entscheidungspunkts,
Zugangs auf Sitzungsbasis und Festle- wie von NIST gefordert.
gung des Zugangs durch dynamische
Richtlinien. Mehrere Komponenten des • Die Fähigkeit, als Policy-Administrator
Identitäts- und Zugriffsmanagements – zu agieren, mit einer Reihe von
einschließlich einer Policy Engine, Authentifizierungsmethoden, um den
eines Policy-Administrators und einer Zugang zu bestimmen, wenn dieser am
Policy-Durchsetzung von Richtlinien auf Policy Enforcement Point angefordert
der Grundlage von Datenzugriffsrichtli- wird.
nien – sind für die Verwirklichung dieser
Ziele unerlässlich. • Governance- und Lifecycle-Funktio­
NIST hat einen architektonischen Rah- nen, die die Grundlage bilden für
men definiert, um die wichtigsten Governance-orientierte und sicht-
Grundsätze von Zero Trust zu erfüllen. barkeitsgesteuerte Autorisierung
SecurID bietet die Komponenten des des Zugriffs auf Ressourcen.

Perimeter-basierte Sicher-
heit funktioniert nicht,
weil sie implizit jedem
und allem innerhalb einer
Sicherheitszone vertraut.
Auf diese Weise bewegen
sich Angreifer seitlich und
bauen einen Stützpunkt
innerhalb des Netzwerkes
auf. (Bild: SecurID)

16 Security-Insider | Zero Trust – das richtige Maß an Vertrauen


Zero-Trust-Strategie mit SecurID durchsetzen

• Integration mit Identitätssystemen


wie Microsoft Active Directory (AD)
sowie Cloud-basiertes Azure AD und nance-basierte Auto­
Amazon Web Services (AWS) AD zur risierung des Zugriffs
Integration von Identitäten mit den ermöglichen.
Richtlinien, der Verwaltung und den Die umfassenden Funktio-
Methoden, die für eine Zero-Trust-Ar- nen und Möglichkeiten für Sicher-
chitektur erforderlich sind. heit und Komfort machen die Ent-
scheidung für SecurID MFA leicht:
SecurID: Zusammenstellung der
Schlüsselkomponenten von Zero • Authentifizierungsmöglichkeiten für
Trust unterschiedliche Benutzer- und organi-
Mit den richtigen Identitäts- und Zu- satorische Anforderungen, einschließ-
griffsmanagement-Funktionen kommt lich Biometrie, Push-to-Approval, Ein-
man von einem abstrakten Konzept malpasswort (OTP) Biometrie (Finger-
zu einer Komponente der Sicherheits­ abdruck und Gesicht), FIDO-basierte
strategie. Authentifizierung, „Bring your own
Die Authentifizierung von Zugriffen ist Authentifikator“ und Hardware-Token
einer der wichtigsten Bausteine von
Zero Trust. U.a. stellt die Multi-Faktor-­ • Einfache Erweiterung der SecurID-­
Authentifizierung (MFA) eine zentrale Authentifizierung on-premise auf die
Funktion dar, um das Schutzniveau von Cloud; sukzessive und in Ihrem Tempo,
Unternehmensressourcen zu erhöhen. basierend auf der Cloud-Strategie
Je nachdem, welche Rolle ein Nutzer Ihres Unternehmens
inne hat und wie kritisch die Daten
sind, mit denen er arbeitet, bieten sich • Ständig aktive starke Authentifizierung
sogenannte adaptive Faktoren an. Dabei mit 99,95%iger Verfügbarkeit und einer
werden, je nach ermitteltem Risiko einzigartigen „No-Fail“-Funktion für
(Risk-Scoring), zusätzliche Authentifi­ Windows und macOS, die einen siche-
zierungsfaktoren für den Zugriff hin- ren und bequemen Zugriff auch bei
zugezogen, wie etwa biometrische unterbrochener Netzwerkverbindung
Merkmale oder Token. Für die Risikobe- gewährleistet
wertung kommen Parameter wie Stand-
ort, Gerät oder der Service, von dem aus • RSA Ready-Technologie-Integrationen
zugegriffen wird, zum Einsatz. für die Authentifizierung in spezifi-
SecurID als die am weitesten verbrei­ schen Zugangsumgebungen, jeweils
tete Lösung der Welt bietet eine Reihe gründlich getestet, dokumentiert und
von Multi-Faktor-Authentifizierungsme- interoperabilitätszertifiziert – plus offe­
thoden (MFA) sowie Governance- und ne Standards zur Unterstützung weite-
Lifecycle-Funktionen, die eine Gover- rer Integrationen

17 Security-Insider | Zero Trust – das richtige Maß an Vertrauen


Zero-Trust-Strategie mit SecurID durchsetzen

Die Lösung SecurID Governance &


Lifecycle (IGL) bietet globalen Unter-
nehmenskunden Identity-, Governance-
und Verwaltungsfunktionen, die sie
benötigen, um Transparenz, Einblick
und Kontrolle über den Zugriff auf alle
Anwendungen, Systeme und Daten zu
erhalten.

SecurID Governance & Lifecycle Cloud


erweitert den vollen Funktionsumfang
der marktführenden Lösung auf die
Cloud und sorgt dafür, dass die weltweit
sicherheitssensibelsten Unternehmen
dynamisch arbeiten, Innovationen be-
schleunigen und Zero-Trust-Sicherheit
mittels Durchsetzung eines Zugriffs-
modells mit geringsten Rechten und
Unterstützung durch Identifizierung
und Beseitigung verwaister Konten und
übermäßig genutzter Benutzer voran-
treiben können.SecurID

SecurID Governance & Lifecycle bietet die vollständige Transparenz, die


Sie benötigen, um Zugriffsanomalien und Richtlinienverstöße aufzudecken,
und kombiniert sie mit fortschrittlichen Analysen, um Problembereiche für
Maßnahmen zu priorisieren. (Bild: SecurID)

18 Security-Insider | Zero Trust – das richtige Maß an Vertrauen