Zero Trust - Sicherheit neu gedacht

ein neuer Sicherheitsansatz nicht nur für die Cloud

Zero Trust ist ein Strategie- und Designansatz

-.. keine Checkliste oder etwas, das Sie kaufen können!

 

Wir bewegen uns zwar im Digitalen Zeitalter – unsere Schutzmechanismen für unsere IT-Infrastruktur erinnert allerdings eher an das Mittelalter.

Die wertvollen Schätze werden in einer Burg verwahrt mit dicken Mauern und Schießscharten. Ein Wassergraben um die Burg herum soll vor ungeliebten Gästen schützen. Über eine Klappbrücke und an Wachen vorbei können Menschen und Güter in oder aus der Burg gelangen.

Übersetzt lautet das dann:

Die Assets des Unternehmens werden im abgesicherten Räumen (RZ) gespeichert. Ein Werkschutz und Überwachungskameras schützen vor Diebstahl. Der Datenverkehr wird über DMZ und Firewalls und Verbot von USB Sticke abgesichert. Vereinzelt kann von außen über VPN auf Daten zugegriffen werden.

Dieses Bild eines zentralen und nach außen abgeschirmten Geschäftsmodells ist Vergangenheit.

Mitarbeiter mitsamt den Informationen und Daten operieren zunehmen dezentral​ in einer globalisierten und durch das Internet beschleunigten Welt. Stichworte sind:

  • BYOD und Mobilität​
  • Verlagerung der IT-Infrastruktur in die Cloud
  • Geschäftsmodelle überregional und in real-time
  • Direkter Datenaustausch mit Partnern, Lieferanten und Kunden
  • Effizientere Collaboration
  • Höhere Anforderungen bezüglich Datenschutz und Compliance

 

Gleichzeitig verändert sich die Bedrohungslage dramatisch. Dazu gehört die Erkenntnis, dass Cybervorfälle in Unternehmen zahlenmäßig vorwiegend durch Bedrohungen von innen entstehen. Die zunehmende Gefahr durch Hacker und Cyberkriminelle betrifft zudem immer mehr die Identitäten und weniger die physikalischen Systemkomponenten selber. Der Schutz der Identitäten erweist sich als unzureichend und damit kann es keinen 100% Schutz der Infrastrukturen und Daten​ geben.

 

Sind die Unternehmen richtig vorbereitet?

Hier ein kurzes Beispiel:

Nicht zuletzt wegen der länger andauernden Pandemie und den damit verbundenen Anstrengungen, das Potenzial des Homeoffice auszuschöpfen, haben viele Unternehmen Teams (neu) im Einsatz. Selbst dort, wo es noch keine Cloud-Strategie gibt!

Was nicht allen bewusst ist, mit der Einführung der Cloud-Lösung werden automatisch SharePoint, OneDrive, Azure AD und wesentliche Komponenten von Microsoft Azure aktiviert und verwendet:

 

 

Wie schnell landen dann sensible Daten in der Cloud. Personenbezogene Daten werden in Teams hochgeladen und dort ohne Beachtung der Löschpflichten verwahrt. Durch das unkontrollierte Erstellen von neuen Teams und Kanälen wird häufig die Übersicht verloren. Ganz kritisch wird es, wenn Gäste in Temas eingeladen werden. Spätesten hier muss man auf den roten Knopf drücken.

 

Kern des Themas

Die obigen Ausführungen sollen verdeutlichen, warum die alten Sicherheitsstrategien nicht mehr funktionieren.

Und hier kommt der Zero Trust Ansatz ins Spiel.

Was bedeutet Zero Trust – erst einmal genau so wie im Wortlaut.

Die neuen Gebote des Zero Trust →

  • Traue Niemanden -  zu keiner Zeit.
    .

  • Traue dem Administrator nicht

  • Vertraue nicht auf "Landesgrenzen" (Perimeterschutz")

  • Perparieren ist teurer als Wiederherstellen

  • Vertrauen ist gut, Kontroller ist...

  • Assume Breach

  • Unterscheiden Sie nicht zwischen Intern und Extern

  • → Permanente Autorisierung und Authentifizierung, Multifaktor-Authentifizierung (MFA)

  • → Geringstmögliche Zugriffsberechtigung und JIT/JEA

  • → Mikrosegmentierung

  • → Intelligente Backup / Recovery Konzepte (Virtualisierung, Container)

  • → Benutzer- und Gerätezugriffe permanent überwachen

  • → Jeder Datenverkehr wird verschlüsselt (auch in-rest)

  • → Unterscheiden Sie über Block oder Grant

Was bedeutet das konkret?

Explizite Überprüfung

  • Authentifizieren und autorisieren Sie immer und durchgehend basierend auf allen verfügbaren Datenpunkten, einschließlich Benutzeridentität, Standort, Gerätezustand, Datenklassifizierung und Anomalien.

  • Verlassen Sie sich nicht auf einen einmaligen Log-In-Vorgang.

  • Unterbinden Sie Zugriffe von nicht registrierten und verwalteten Devices auf sensible Daten.

  • Schließen Sie komplette IP-Adressräume aus (nicht nur Nordkorea!).

  • Verlangen Sie einen zweiten Faktor (MFA), wenn von „untypischen“ Standorten zugegriffen wird.

  • Konzipieren Sie diese Richtlinien in Abhängigkeit von den Vertraulichkeitsstufen.

 

Minimale Privilegien

  • Minimieren Sie insbesondere den administrativen Benutzerzugriff mit Just-In-Time- und Just-Enough-Zugriff (JIT / JEA)

  • Führen Sie risikobasierte adaptiven Richtlinien ein und gewährleisten Sie angemessenen Datenschutz

  • Mit dem Just-In-Time Ansatz minimieren Sie die Privilegien, indem über einen automatisierten Beantragungsprozess und Vier-Augen-Prinzip ein definiertes Zeitfenster für administrative Aufgaben gewährt wird

  • Diese Aufgaben können Sie auch als Scripte durchführen lassen, dadurch entfällt die Notwendigkeit, einem Mitarbeiter Privilegien zuzuteilen (JEA Prinzip)

 

Gehen Sie davon aus, dass Sie attackiert werden!

  • Minimieren Sie das Ausmaß von Sicherheitsverletzungen und verhindern Sie seitliche Bewegungen, indem Sie den Zugriff über Netzwerk, Benutzer, Geräte und Anwendungsbewusstsein segmentieren

  • Stellen Sie sicher, dass alle Sitzungen durchgehend verschlüsselt sind

  • Verwenden Sie Analysen, um die Sichtbarkeit zu verbessern und die Erkennung von Bedrohungen voranzutreiben

 

Eine 100% Bereinigung nach einem erfolgten Angriff lässt sich nicht durch Reparatur erreichen

Moderne Cyberangriffe sind geprägt von extrem komplexen Angriffsszenarien, die über eine längere Zeit erfolgen und i.d.R. viele Komponenten (Server, Clients, Netzwerk, etc.) betreffen. Häufig erkennt ein betroffenes Unternehmen die Attacke, wenn überhaupt, dann mit Verzögerung.

Mit Virtualisierung , Containern und insbesondere Cloud Architekturen können Sie dieses Ziele elegant erreichen.

  • Analyse und Bereinigungen führen zu immensen Ausfällen und Kosten

  • Setzen Sie deshalb auf schnelle Wiederherstellung

  • Sichern Sie Ihre Daten und Identitäten und etablieren Sie effiziente Recovery-Verfahren

  • Mit Virtualisierung, Containern und insbesondere Cloud Architekturen können Sie dieses Ziele elegant erreichen

Voraussetzung dafür sind (stets aktuelle) explizite Policies und Richtlinien. Diese definieren, welche authentifizierten Nutzer, Dienste, Geräte und Anwendungen miteinander interagieren dürfen.

Mit dem methodischen Vorgehen entlang Zero-Trust wird jede Interaktion zudem dokumentiert. Dies ermöglicht einen weitaus genaueren Einblick in den IT-Arbeitsalltag der Mitarbeitenden und somit das Erkennen von Schwachstellen, Bedrohungen und Datenschutzverletzungen.

 

DIE Frage – mehr oder weniger Passwort

Es ist nicht unüblich, Passwortrichtlinien zu etablieren. Sie zwingen den Benutzer sein Passwort regelmäßig zu ändern, bestimmte Eigenschaften wie Passwortlänge, Verwendung von Sonderzeichen etc. zu beachten.

Unter der Prämisse des Zero Trust Ansatzes wird eine konträre Lösung empfohlen – auf ein Passwort ganz zu verzichten oder zumindest sich nicht allein auf ein Passwort zu verlassen. Die neue Strategie lautet daher Less Passord bzw. Passwordles.

Was steckt dahinter?

Selbst vermeintlich „sichere“ Passwörter bieten geringen bis gar keinen Schutz gegenüber Credential Stuffing, Phishing, Keystroke logging, Local discovery, Extortion, Password spray, Brute force u.s.w. Die größte daraus resultierende Gefahr betrifft die Identitäten der Mitarbeiter. Die Angriffe sind dabei so raffiniert und ausgeklügelt, dass selbst Spezialisten überrumpelt werden. Was liegt näher als auf Passwortschutz zu verzichten. Es gibt hervorragende Alternativen. Zuerst einmal gehört auch das Single-Sign-On (SSO) dazu. Die somit verminderten Login-Vorgänge erhöhen die Angriffsfläche für Attacker. Die eigentliche Lösung und Substitution der Passworte bei der Authentifizierung erfolgt durch biometrische Faktoren und/oder Multi-Faktor Authentifizierung.

Biometrische Verfahren sind z.B. Finger-Print Sensoren oder Gesichtserkennung wie bei Microsoft „Hello“. Eine kostengünstige Lösung bieten die Authenticator Apps auf Smartphones. Einmal eingerichtet liefern sie einen zweiten Faktor in Form eines temporär gültigen Codes, der beim Login-Vorgang angefordert wird. Es gibt auch dedizierte Devices wie den USP Schlüssel durch FIDO2 standardisiert.

Mit verhältnismäßig wenig Aufwand schützen Sie hocheffizient Ihre Daten und Identitäten gegen Phishing & Co Angriffe. Sie stärken damit eine u.U. vorhandenes SSO Architektur und können vertrauenswürdige Nutzer auch aus wenig vertrauenswürdigen Umgebungen berechtigen.

Fragen Sie uns nach einer modernen Sicherheitsstrategie für Ihr Unternehmen.

Ob Sie mit Ihren Überlegungen zu M365 & Teams noch am Anfang stehen oder diese schon eingeführt haben, wir stehen Ihnen in jeder Phase als Guide zur Seite.

SCHÖPFEN SIE IHRE POTENTIALE AUS

Mit verschiedenen, individuell abgestimmten Workshop unterstützen wir Sie bei der nachhaltigen Nutzung von Microsoft 365 & Microsoft Teams.  

  • Strategie Workshop -  M365 Roadmap

  • Kick-Off Workshop - Microsoft Teams

  • Datenklassifizierung und Governance

  • Security Baseline Check – Informationssicherheit und DSGVO

  • Migration Exchange | OneDrive | SharePoint in die 365 Cloud

  • User Adoption Strategie - Change Management

 

X

Wir verwenden Cookies

Wir nutzen Cookies auf unserer Website. Einige sind notwendig, während andere uns helfen, diese Website und Ihre Erfahrung zu verbessern.