Gastbeitrag
13.11.2020, 07:45 Uhr
Trauen Sie niemandem!
Seit dem Homeoffice arbeiten wir von irgendwo, nutzen Cloud- und On-Prem-Services mit geschäftlicher und privater Hardware. IT-Security-Ansätze, die auf den Perimeter setzen, können dem nicht gerecht werden. Sie sind unsicher und starr. Die Antwort lautet Zero Trust.
Der Autor: Reto Heutschi ist CEO beim IT-Security-Spezialisten Inseya.
www.inseya.ch
www.inseya.ch
(Quelle: Inseya)
Seit Mitte März 2020 arbeiten viele vermehrt im Home Office. Zahlreiche Unternehmen haben rasch und zum Teil sogar ohne Notfallplan erfolgreich auf den Corona-Lockdown reagiert. Es wurde Hardware beschafft, Infrastruktur hochgefahren. Business Continuity war zentral, die Cybersecurity blieb oft auf der Strecke. In einer Studie des Tech-Giganten IBM gab die Mehrheit der Befragten an, dass ihr Arbeitgeber keine Security Policies für den Umgang mit schützenswerten Informationen aufgestellt hat. Cyberkriminelle haben folglich leichtes Spiel und können diese Defizite zu ihren Gunsten ausnutzen, was auch im ersten Halbjahresbericht 2020 der Melde- und Analysestelle Informationssicherung des Bundes (Melani) bestätigt wird.
Die digitale Transformation wurde durch die globale Pandemie befeuert und schreitet schneller denn je voran. Wir wollen all die neu erworbenen Fähigkeiten weiter für uns nutzen, uns aber auch adäquat vor Attacken schützen.
Der Perimeter funktioniert nicht mehr
Während die Mehrzahl der Mitarbeitenden vor Corona meistens im Büro arbeitete und das Home Office eher als Ausnahme galt, befinden sich heutzutage immer mehr Nutzer, aber auch Services und somit schützenswerte Daten ausserhalb der physischen Organisationsgrenzen. Im Gegensatz zu diesen Entwicklungen konzentrieren sich die meisten aktuellen IT-Infrastrukturen allerdings auf den klassischen Perimeterschutz. Anders ausgedrückt: Allen Anfragen mit internen IP-Adressen vertraue ich, den anderen nicht. Vor dem Hintergrund einer Remote-Work-Arbeitskultur und zunehmender Cloud-Nutzung greift dieser Ansatz nicht mehr. Wir brauchen eine neue Lösung: Das zukunftssichere Konzept lautet Zero Trust.
Zero Trust – Never trust, always verify
Entsprechend der Prämisse «Never trust, always verify» geht man bei Zero Trust davon aus, dass keinem Gerät, Nutzer oder Prozess mehr einfach so vertraut werden darf. Konkret bedeutet dies, dass jede Zugriffsanfrage neu verifiziert werden muss, bevor schützenswerte Ressourcen freigegeben werden. Im Zentrum steht dabei die Identität der Anfragenden und es spielt keine Rolle, ob sie sich innerhalb oder ausserhalb der Organisationsgrenzen befinden.
“Mit Zero Trust können wir digitale Errungenschaften zukunftssicher machen„
Reto Heutschi
Das Konzept wird konsequent angewandt. Zusätzlich zur Identität können auch weitere Parameter wie beispielsweise der Benutzerkontext, der Gerätezustand oder Geolokalisierung verwendet werden.
Absolute Sicherheit, wie dies im Rahmen der Perimeter-basierten Infrastruktur meist angenommen wurde, existiert nicht. Man geht grundsätzlich davon aus, dass es erfolgreiche Angriffe gibt (assume breach). Das Ziel ist, die Auswirkungen eines Zwischenfalls minimal zu halten und danach rasch wieder auf die Beine zu kommen. Dabei ist die Mikrosegmentierung zentral.
Zero Trust in der Anwendung
Soweit zur Theorie – aber wie soll man am besten mit der Umsetzung von Zero Trust beginnen? Chase Cunningham, Lead Analyst bei Forrester, nennt in diesem Zusammenhang drei Punkte, die als Minimalanforderung für Zero Trust gelten:
- Always verify: Jegliche Zugriffe müssen immer wieder verifiziert werden.
- Least Privilege Access: Nur so viel Zugriff gewähren wie unbedingt notwendig.
- Assume breach: Grundsätzlich davon ausgehen, dass sich Cyberangriffe ereignen.
Wenn sich eine Organisation grundsätzlich an diese Prinzipien hält, wendet sie im Kern schon Zero Trust an. Während verschiedene Reifegrade von Zero Trust existieren, empfiehlt es sich grundsätzlich, mit den machbaren Massnahmen zu starten und alle weiteren Anstrengungen an Zero Trust auszurichten. Google macht das mit BeyondCorp, was in ihrem Blog nachgelesen werden kann.
Interessant für IT-Verantwortliche ist, dass mittlerweile schon viele der grossen Hersteller wie zum Beispiel Microsoft oder Cisco, aber auch neue Player wie Cato Networks auf Zero Trust einzahlen.
Autor(in)
Inseya
AG