Unternehmen speichern mehr Informationen als jemals zuvor, Daten werden immer wertvoller, die Gefahren durch Cyberkriminalität steigen kontinuierlich an. Anders ausgedrückt: Den Zugang zu Daten zu sichern, erlangt immer mehr strategische Bedeutung – was angesichts des rapide fortschreitenden digitalen Wandels immer schwieriger wird. Guido Kraft, Field CISO bei WALLIX, erläutert, wie Unternehmen und Behörden diesen Spagat meistern können.
Die Herausforderungen, vor denen Sicherheitsabteilungen derzeit stehen, sind vielfältig: Hybrides Arbeiten gehört mittlerweile zur Norm, die Anzahl der Cloud-basierten Anwendungen und Services steigt nach wie vor an, Angestellte greifen auf Daten von immer mehr vernetzten IoT-Geräten zu. Diese Entwicklungen bringen viele Vorteile mit sich. Sie sind zum Teil auch dafür verantwortlich, dass Organisationen auch dann ihren Betrieb aufrechterhalten können, wenn die Mitarbeiter:innen remote oder hybrid arbeiten.
Doch während sich neue Arten etablieren, remote zu arbeiten und Daten zu handhaben, müssen sich gleichzeitig auch die IT-Sicherheitsprotokolle weiterentwickeln. In Sachen Datenzugriff müssen sich Unternehmen und Behörden nun zum einen damit befassen, einen sicheren Remote-Zugriff für ihre Mitarbeiter:innen bereitzustellen – und zum anderen der zunehmenden Anforderung gerecht werden, Dritten einen sicheren externen Zugriff zu ermöglichen.
Status Quo: blühende (digitale) Landschaften?
Der Zugriff von Drittparteien auf interne Daten ist für Organisationen also essenziell. Eine Vielzahl nutzt die Unterstützung von Drittanbietern. Sie lassen sich beispielsweise ihre gesamte IT-Infrastruktur von einem externen Anbieter verwalten, lagern einzelne Elemente in die Cloud aus oder ziehen externe Berater:innen für bestimmte Projekte hinzu. Die Vorzüge dieser Fernzugriffe liegen auf der Hand: Wenn Unternehmen den externen oder remote-arbeitenden Personen, welche die Daten benötigen, keinen Zugriff bieten können, laufen sie Gefahr, als veraltet und unflexibel angesehen zu werden. Weiterer Vorteil des Remote-Zugriffs: Er macht es möglich, auf die besten verfügbaren Ressourcen, Talente und Lieferanten zurückzugreifen – unabhängig vom Standort.
Was wiederum nicht auf Kosten der Sicherheit gehen darf. Die Balance zwischen Sicherheit und effizientem Datenzugriff sollte nicht als Kompromiss gesehen werden, denn die Risiken eines ungesicherten Remote-Zugriffs sind gravierend.
Eine der größten Herausforderungen, wenn es um den sicheren Datenzugriff geht, ist der Mangel an Visibilität und Kontrolle. Organisationen verlieren schnell den Überblick darüber, wer Zugang zu welchen Daten hat. Das wiederum stellt ein Compliance-Problem dar. Und es macht die Betroffenen anfällig, für externe Angriffe genauso wie für interne Sicherheitsrisiken.
Ein umfassender Schutz nach Außen ist zwar ein wichtiger Bestandteil der Datensicherheit, reicht in der modernen IT-Landschaft jedoch schon lange nicht mehr aus. Das Beispiel der Remote-Access-VPNs verdeutlicht das gut: Virtuelle private Netzwerke galten früher als unerlässlich, um den externen Zugang zu sichern, mittlerweile sind sie jedoch zu einem beliebten Ziel für Cyberangriffe geworden. Durch VPNs sind die Server dem Internet ausgesetzt und Nutzer:innen erhalten über Tunnel, die bildlich gesprochen Löcher in die Firewall reißen, Zugang zum Unternehmensnetzwerk. Dadurch entstehen Schwachstellen, die sich Malware und Ransomware zunutze machen können. Darüber hinaus sind VPNs nicht nachverfolgbar und bieten keine Möglichkeit festzustellen, wer auf das Netzwerk zugreift und zu welchem Zeitpunkt welche Ressourcen einsieht.
Die zunehmende Anzahl an Endgeräten stellt einen weiteren Risikofaktor dar. Viele davon – wie Smartphones, Tablets und Laptops – liegen außerhalb des Sicherheitsbereichs. Unternehmen müssen also einen Weg finden, die außerhalb des ursprünglichen Netzwerks genutzten Geräte zu verwalten und zu sichern. Diese Endgeräte sind, ebenso wie Server und Workspaces, ein leichtes Ziel, durch das Angreifer:innen Zugang zum Netzwerk erhalten können. Was wiederum ein besonderes Risiko darstellt – da viele Unternehmen Schwierigkeiten damit haben, genau zu erfassen, welche Geräte mit ihrem Netzwerk verbunden sind, und sie keinen Einblick haben, wie gefährdet diese Geräte sind.
Traditionelle Security? Reicht nicht (mehr)!
Auch wenn es inzwischen eine Vielzahl an Security-Lösungen für den Endpunkt gibt, reicht es mittlerweile nicht mehr aus, sich nur auf einen reaktiven Ansatz zu verlassen. Einen Königsweg in Sachen Sicherheit gibt es nicht. Daher müssen alle reaktiven Maßnahmen mit einem proaktiven Toolkit kombiniert werden, das bekannte Bedrohungen identifizieren und den Datenzugriff im Falle eines Angriffs einschränken kann. Die mangelnde Rückverfolgbarkeit vieler Endpoint- und Antivirus-Lösungen stellt für Security-Verantwortliche eine große Herausforderung dar: Herauszufinden, welche Endgeräte auf ein System zugreifen und wie aktuell ihr Update-Status ist, ist nur schwer möglich. Noch schwieriger ist es, genau nachzuverfolgen, auf welche Daten von dem Gerät aus zugegriffen wurde. Für Unternehmen mit remote-arbeitenden Angestellten bedeutet das: Handlungen, die – wenn auch unabsichtlich – zu einem Datenverstoß geführt haben, lassen sich nicht genau nachverfolgen können. Daher ist es auch nicht möglich, wirksame Maßnahmen zur Wiederherstellung oder zum Schutz vor einem erneuten Verstoß zu ergreifen. Für externe Anbieter steht die fehlende Möglichkeit, ihre Handlungen eindeutig aufzuzeichnen, im Widerspruch mit der Notwendigkeit, Rechenschaft über Aktionen im Netzwerk abzulegen und somit eine vertrauensvolle Beziehung zu der Kundenorganisation zu pflegen. Darüber hinaus kann das auch ein Compliance-Problem sein.
Grundsätzlich sollten die Nutzer:innen keinen automatisch gewährten, vollen Zugang zu allen Unternehmensdaten haben. Herkömmliche Tools bieten außerdem oft nur eine unzureichende Kontrolle der Zugriffsrechte. Zwar können viele Sicherheitstools den Zugriff auf der Grundlage der passenden IP-Adresse prüfen, jedoch gibt es eine geeignetere Methode dazu, den Zugriff einzugrenzen: Die Autorisierung sollte auf der Grundlage spezifischer Zieldateien, Anmeldeinformationen und Aktionen erteilt werden. Dadurch lassen sich ungewöhnliches Verhalten und auffallende Muster identifizieren und melden.
Trotz der Herausforderungen, die das Management des Datenzugriffs mit sich bringt, gibt es erprobte Maßnahmen, die Unternehmen recht einfach ergreifen können. Der entscheidende Punkt ist die Bewertung von Sicherheitsprotokollen. Die Art und Weise, wie gearbeitet und auf Daten zugegriffen wird, hat sich weiterentwickelt. Also ist es nur sinnvoll, dass die Sicherheit dem folgt. Es gibt Zero-Trust-Lösungen, die einen proaktiven Sicherheitsansatz bieten und von Nutzer:innen einen Nachweis darüber verlangen, dass der Datenzugriff sowohl notwendig als auch berechtigt ist. Dieser Ansatz sollte für alle Unternehmen von Interesse sein. Darüber hinaus bietet eine robuste PAM-Lösung (Privileged Access Management), gemeinsam mit einer Lösung für Endpoint Privilege Management (EPM), die Funktionen zur Zugriffskontrolle und Überwachung, die heutige Digital-First-Unternehmen benötigen. Anstatt sich auf einen reaktiven Ansatz zu verlassen, der versucht, bekannte Angriffe zu identifizieren und zu blockieren, wird proaktiv verhindert, dass Aktionen, die als nicht legitim angesehen werden, überhaupt erst ausgeführt werden.
Fazit
Zusammenfassend lässt sich festhalten: Für Unternehmen, die agil und wettbewerbsfähig bleiben und gleichzeitig ihre Sicherheit weiterentwickeln wollen, kann ein effektives Zugriffsmanagement, das auf effektiven PAM- und EPM-Lösungen basiert, das perfekte Gleichgewicht bieten.
Die zunehmende Nutzung von externen und Remote-Zugriffen ist nicht nur ein Nebeneffekt des Wettlaufs zur digitalen Transformation, sondern auch ein Wettlauf mit ihr. Auch wenn sich neue Bedrohungen so nicht komplett verhindern lassen, kann ein proaktiver Ansatz Unternehmen die passenden Tools an die Hand geben, ihre digitale Zukunft sicherer zu gestalten.
Guido Kraft ist Field CISO bei WALLIX, dem europäischen PAM-Anbieter und Spezialisten für Zugangs- und digitale Identitätssicherheit.