*von Jürgen A. Krebs, Hitachi Vantara
Ransomware wird immer mehr zu einer persönlichen Sache: Laut einer kürzlich von Hitachi ID durchgeführten Umfrage (The Rising Insider Threat ) unter US-amerikanischen IT-Sicherheitsverantwortlichen gaben 65 Prozent der Befragten an, dass sie selbst oder Mitarbeiter bereits von Cyberkriminellen kontaktiert wurden, um bei einem Ransomware-Angriff gegen ihr eigenes Unternehmen zu helfen. Eine weitere Studie von Verizon hat ergeben, dass Insider für etwa 22 Prozent aller Sicherheitsvorfälle verantwortlich sind, in einigen Branchen sind es bis zu 50 Prozent. Zwischen 2018 und 2020, so der Bericht, hat die Häufigkeit von Vorfällen mit Insider-Bedrohungen um 47 Prozent zugenommen. Das betrifft sowohl böswillige Datenweitergabe als auch versehentlichen Datenverlust.
Einführung einer Zero-Trust-Architektur
Wie kann vor diesem Hintergrund noch eine Sicherheitsarchitektur auf Vertrauen aufbauen? Überhaupt nicht: Die einzig gangbare Lösung scheint eine Zero-Trust-Architektur zu sein, die sich mit den modernen Netzwerkrealitäten und ihrer Anfälligkeit befasst und niemandem vertraut – weder unternehmensintern noch -extern. Die Grundprinzipien von Zero Trust Security sind:
- Vertraue auf nichts.
- Sichere Alles.
- Authentifiziere Antragsteller kontextbezogen.
- Bewerte Zugriffsanfragen kontextabhängig.
- Bewerte alle Anfragen.
- Gewähre Zugriff nach dem “Prinzip der geringsten Privilegien” oder nur Mindestzugriffsrechte zur Ausführung einer bestimmten Aufgabe.
Diese Praxis setzt sich immer mehr durch. In den USA hat die Zero Trust Architecture landesweit Aufmerksamkeit erregt, als Präsident Biden im Mai 2021 eine entsprechende Verordnung zur Verbesserung der Cybersicherheit der Nation erließ. Anfang 2022 veröffentlichte das Office of Management and Budget (OMB) des Präsidenten dann das Memorandum “Moving the U.S. Government Toward Zero Trust Cybersecurity Principles” mit der Aufforderung an die Leiter aller Ministerien und Behörden, bis zum Ende des Geschäftsjahres 2024 bestimmte Zero-Trust-Sicherheitsziele zu erreichen.
Von der Peripherie ins Herz der IT
Der traditionelle Sicherheitsansatz setzt an der Peripherie an und schottet das Innere, also das Herz der IT, systematisch ab. Er beruht auf Firewalls, virtuellen privaten Netzwerken (VPNs) und Web-Gateways und verfolgt in erster Linie das Ziel, vertrauenswürdige von nicht vertrauenswürdigen Benutzern zu separieren. Aber wer gehört in Zeiten von Cloud, weltweiten Lieferketten, Homeoffice und Arbeiten von überall zu welcher Gruppe? Aus Sicherheitsgründen müssen wir uns bedauerlicherweise heute auch vor scheinbar vertrauenswürdigen Benutzern schützen – nicht etwa, weil die Menschen generell weniger vertrauenswürdig geworden sind, sondern weil die Angriffsfläche so schnell wächst, dass es immer schwieriger wird, sinnvolle Grenzen zu definieren.
Systeme und Daten, die sich früher innerhalb der traditionellen Netzwerkgrenzen des Rechenzentrums befanden, werden jetzt in die Cloud verlagert. Was früher auf einem einzigen Server bereitgestellt wurde, wird jetzt in Hunderten von Containern oder Microservices betrieben. Die Code-Entwicklung ist ein automatisierter DevOps-Prozess, bei dem Code von Drittanbietern verwendet wird, und Data Lakes sind vom Kern über den Rand bis zur Cloud verteilt. Dieses Rechen- und Datenmodell hat den Unternehmen zwar mehr Flexibilität, Produktivität und Möglichkeiten eröffnet, aber es hat auch die Grenzen geöffnet.
Das macht es faktisch unmöglich, irgendjemandem oder irgendetwas mit Blick auf die Schätze eines Unternehmens – seinen Daten – zu vertrauen.
Identitiy und Perimeter Access Management
Zwei Schlüsselelemente der Zero Trust Architecture sind die Technologien und Prozesse, die das Identity Access Management (IAM) und das Perimeter Access Management (PAM) ausmachen.
IAM erlaubt es den richtigen Entitäten (Menschen oder Dingen), die richtigen Ressourcen (Anwendungen oder Daten) ohne Beeinträchtigung und mit den gewünschten Geräten zu nutzen. Es setzt sich aus den Systemen und Prozessen zusammen, mit denen IT-Administratoren jeder Entität eine einzige digitale Identität zuweisen, sie bei der Anmeldung authentifizieren, sie für den Zugriff auf bestimmte Ressourcen autorisieren und diese Identitäten dann während ihres gesamten Lebenszyklus im System überwachen und verwalten können.
PAM ist eine Kombination aus Tools und Technologien, die den Zugriff auf wichtige Informationen und Ressourcen eines Unternehmens sichern, steuern und überwachen. Privilegierte Benutzerkonten sind ein bevorzugtes Ziel für Angriffe, weil sie über erweiterte Berechtigungen verfügen, Zugang zu vertraulichen Informationen haben und Einstellungen ändern können. Die Implementierung eines PAM-Systems hilft Unternehmen bei der effektiven Überwachung des gesamten Netzwerks und gibt Aufschluss darüber, welche Benutzer Zugriff auf welche Daten haben. PAM kann Ransomware-Angriffe vereiteln, indem es Berechtigungen verweigert. Der privilegierte Zugriff erstreckt sich mittlerweile auch auf die Cloud, Big-Data-Projekte und DevOps-Automatisierung sowie auf Hunderte von Containern oder Microservices in hybriden Cloud-Umgebungen, die das in Instanzen umsetzen, was früher ein einzelner Server in einem „kontrollierten“ und „sicheren“ Rechenzentrum war.
Kein Ziel, sondern ein Weg
Eine Zero-Trust-Architektur wird in Zukunft über IAM und PAM hinausgehen, um beispielsweise den Kontext zu analysieren, in dem Authentifizierungen angefordert werden. Benutzer müssen in der Lage sein, erweiterte Rechte „just-in-time“ über Self-Service-Workflows anzufordern, z.B. den Benutzer, die angeforderte Ressource und Rolle, den Standort und das Vorhandensein eines Identitäts-Cookies, damit die Genehmiger fundierte Entscheidungen über die Gewährung oder Ablehnung treffen können.
Die Genehmiger sollten risikobewusst sein und modernes Machine Learning (ML) sowie Analysen des Benutzer- und Entitätsverhaltens nutzen, um das Sicherheitsniveau noch höher zu schrauben. Just-in-Time-Privilegien gewähren Anwendern nur so viele Rechte, wie sie für die Ausführung einer bestimmten Aufgabe benötigen. Die Steuerung des Zugriffs durch Just-in-Time- und Just-Use-Privilegien ermöglicht einen zeitlich begrenzten Zugriff mit Anfrage- und Genehmigungsworkflows.
Zero Trust bedeutet nicht, dass man alte Zöpfe radikal abschneiden und neue Systeme implementieren muss. Die Umsetzung kann vielmehr schrittweise erfolgen. Unternehmen können mit dem beginnen, was sie bereits haben, und es in Phasen implementieren, wenn es die Ressourcen und Prioritäten erlauben. Der erste Schritt besteht darin, zu prüfen, was bereits vorhanden ist und was noch benötigt wird.
Und wie so oft ist der Weg das Ziel und jeder Schritt dorthin zählt. Auf geht’s in eine sichere Zukunft im IT-Umfeld!
* Jürgen A. Krebs ist seit Juli 2004 bei Hitachi Vantara tätig und fokussiert sich seit 2021 auf einen großen europäischen Channel Partner, als Sales Director für EMEA. Mit Hilfe seiner umfangreichen Branchenerfahrung von mehr als 40 Jahren gestaltet er die strategische Ausrichtung von Hitachi Vantara mit Fokus auf die Kernkompetenzen des Unternehmens. Der begeisterte Techniker beschäftigt sich in seiner Freizeit leidenschaftlich mit jeglicher Art von Elektronik, Motorenbearbeitung und dem Motocross.
