Gastbeitrag
14.11.2022, 07:30 Uhr
Zero-Trust-Netzwerke sind auf Siegeszug
Den Druck- und Scaninfrastrukturen wird in Zero-Trust-Security-Modellen oft zu wenig Beachtung geschenkt und entsprechende Service Provider viel zu spät involviert. Das kann ein risikoreiches Versäumnis sein.
Multifunktionsdrucker gehen in IT-Security-Konzepten oft vergessen
(Quelle: Canon)
Der durch Covid-19-Pandemie bedingte massive Aufschwung hybrider Arbeitsmodelle hat uns sowohl die Verheissungen als auch die Fallstricke unserer digitalen, konnektiven Welt aufgezeigt. So führt der zunehmende Anteil an Beschäftigten, die von zu Hause ausarbeiten, zu einer exponentiellen Zunahme der Angriffsfläche, da sich immer mehr Geräte und Benutzerinnen und Benutzer an mehreren verschiedenen Standorten sowie über öffentliche Clouddienste mit dem Unternehmensnetzwerk verbinden.
«Never Trust, always verify»
Die erweiterte Bedrohungslandschaft bedeutet, dass herkömmliche Methoden wie Firewalls und Antivirenschutz als alleinige Verteidigungslinie keinen ausreichenden Schutz mehr bieten. Dies veranlasst die IT-Verantwortlichen dazu, den traditionellen, auf dem Perimeter basierenden Ansatz für die Netzwerksicherheit zu überdenken. Vor diesem Hintergrund gewinnen Zero-Trust-Netzwerkarchitekturen immer mehr an Popularität. Sie basieren auf dem Prinzip «never trust, always verify», um die Kontrolle über die sich ständig verändernde Bedrohungslandschaft zurückzugewinnen.
Ein herkömmliches Netzwerk setzt auf die Idee des inhärenten Vertrauens. Im Gegensatz dazu erfordert das Zero-Trust-Modell, dass alle Benutzerinnen und Benutzer, Geräte und Anwendungen kontinuierlich authentifiziert, autorisiert und überwacht werden, bevor ihnen der Zugriff auf Netzwerke und Daten gewährt wird – unabhängig davon, ob sie sich inner- oder ausserhalb des Unternehmensnetzwerks befinden.
Gemäss des «Zero Trust Security Market»-Reports von MarketsandMarkets wird Zero Trust bis 2026 voraussichtlich einen Markt von 51,6 Milliarden US-Dollar ausmachen und jährlich um 17 Prozent wachsen.
Multifunktionsdrucker: Der blinde Fleck in Zero-Trust-Umgebungen
Drucker, Multifunktionsdrucker (MFP) sowie die dazugehörigen Software-Lösungen stehen bei der Entwicklung einer Zero-Trust-Netzwerkstrategie nicht unbedingt im Vordergrund. Dabei wird die Tatsache ausser Acht gelassen, dass MFP einen praktikablen Angriffsweg für Hackerinnen und Hacker stellen: Über sie kann Malware im gesamten Netzwerk verbreitet und geschützte Informationen können gestohlen werden oder aber sie dienen gar als Entry Point, um das Netzwerk auszukundschaften und Informationen für einen grösseren Angriff zu sammeln. Diese Anfälligkeit beweist, dass die Scan- und Druckinfrastruktur als kritische Komponente einer effektiven Netzwerksicherheitsstrategie betrachtet werden muss.
«Eine Lücke, die Roadmaps auf dem Weg zu Zero Trust oftmals aufweisen, ist die fehlende frühzeitige Einbeziehung des Servicepartners», erläutert Philippe Rubin, Business Developer für Security Services bei Canon Schweiz. Er führt fort: «Unternehmen, die sich auf die Zero Trust Journey begeben, um ihren Mitarbeitenden einen modernen Arbeitsplatz zu bieten und zugleich das Risikomanagement optimieren, müssen zu Beginn alle Identitäten identifizieren. Dabei dürfen Scan- und Druckinfrastrukturen nicht unterschätzt werden.»
Die Wahl des richtigen MPS-Partners
Die Print- und Scaninfrastruktur muss als Teil einer Zero-Trust-Architektur betrachtet werden. Das kann nur durch einen kohärenten Ansatz funktionieren, der Geräte, Software, Prozesse und Benutzenden einschliesst.
Multifunktionale Geräte und die zugehörige Software-Applikationen verfügen heute über unzählige aktivierte Funktionen und Dienste. Viele davon werden weder genutzt noch ist ihr Vorhandensein bekannt. Dasselbe gilt auch für die integrierten Sicherheitsfunktionen, die entweder gar nicht oder falsch aktiviert sind, was wiederum zu einem unnötigen Risiko führt.
Anbieter von Managed Print Services (MPS) können Unternehmen mit ihrer tiefgreifenden Expertise unterstützen. Hierzu müssen sie in der Lage sein, Firmen auf der Reise zu ihrem Zero-Trust-Modell kompetent zu begleiten. Wie bei allem im Bereich der Cybersicherheit gibt es auch bei Zero Trust keine Einheitslösung für alle. Was benötigt wird, ist eine Sicherheitspolicy und eine schlanke Architektur, die mit einer aufeinander abgestimmten Kombination aus Hardware, Software und Services die hybriden Arbeitsumgebungen unterstützt. Dabei müssen insbesondere folgende Faktoren beachtet werden:
- Identifikation und Schutz der Identitäten: Zero Trust beginnt mit der Identifizierung der Identitäten und dem Schutz der Endpunkte. insbesondere unpersönliche Endgeräte wie MFP oder Drucker müssen ebenfalls authentifiziert werden. Heute reicht dafür allerdings die blosse Überprüfung der MAC-Adresse nicht mehr aus. Die Endgeräte müssen mit Zertifikaten ausgerüstet werden. Zudem sollten die verschiedenen Ports und Protokolle, über die sie angesprochen werden können, deaktiviert werden, sofern sie nicht benötigt werden.
- Schutz von Netzwerken: Um den Zugriff auf das Netzwerk im Sinne von Zero Trust zu optimieren, wird die sogenannte Mikrosegmentierung verwendet. Dabei wird das Netzwerk in kleinere Bereiche aufgeteilt, damit Nutzerinnen und Nutzer lediglich den Zugriff auf Netzwerkressourcen erhalten, den sie unbedingt benötigen. In Bezug auf standortunabhängiges Arbeiten ist es notwendig, die genutzten Unternehmensanwendungen hermetisch vom lokalen Heimnetzwerk der Mitarbeitenden zu trennen, weil Administratorinnen und Administratoren die Sicherheit von privaten Netzwerken schlicht nicht gewährleisten können.
- Kontinuierliche Überwachung und Optimierung: Security ist kein Projekt. Security ist ein kontinuierlicher Optimierungsprozess aller Identitäten, die überwacht werden müssen, um die Sicherheitsrichtlinien der Unternehmung zu erfüllen und gegen aktuelle Bedrohungen resilient zu bleiben. Unbeabsichtigte oder unbefugte Änderungen müssen zur Vermeidung von Unregelmässigkeiten sofort erkannt werden. Zudem müssen Firm- und Software sowie Applikationen regelmässig aktualisiert werden, um bekannte Lücken zu schliessen und bestmöglich gegen Zero-Day-Angriffe geschützt zu sein.
Fazit
Frühere Sicherheitsansätze sind nicht mehr zeitgemäss. Welche Risiken unzureichend geschützte Scan- und Druckinfrastrukturen bergen, haben die kürzlich aufgedeckten Sicherheitslücken Spring4Shell oder Log4J eindrucksvoll aufgezeigt. Um fortschrittliche Sicherheitsbedrohungen wirksam zu bekämpfen, müssen Unternehmen die Netzwerksicherheit mit der Daten- und Endpunktsicherheit für die Scan- und Druckumgebung kombinieren: Das ist der Schlüssel zu einer Zero-Trust-Architektur. Cloudbasierte MPS-Anbieter befinden sich in einer idealen Position, um Unternehmen auf dem Weg hin zur Zero-Trust-Umgebung zu unterstützen.
Die Autorin
Carina Berchtold ist Strategic Market Developer bei Canon Schweiz, einem führenden Anbieter von Lösungen für hybrides Arbeiten und sicheres Dokumenten- und Druckmanagement. Ihr Hauptfokus vereint Digital Transformation Services sowie Security Services. Die skalierbaren Sicherheitslösungen bieten Kunden Schutz vor Cyberangriffen und Datenverlusten und helfen, interne Richtlinien sowie externe, regulatorische Vorschriften während des gesamten Dokumentenlebenszyklus einzuhalten. www.canon.ch