Die neue Realität, in der Mitarbeitende, Partner, Kundinnen und Kunden über ihre eigenen Geräte jederzeit und von überall auf Anwendungen und Daten in einer hybriden IT-Infrastruktur zugreifen, definiert den technischen Perimeter neu. Organisationen, die bisher ausschliesslich auf lokale Firewalls und VPNs gebaut haben, fehlt die Transparenz, die Integration und die Agilität für eine zeitnahe, risikobasierte End-to-End-Sicherheit. Zudem lässt mit dem klassischen Ansatz des Perimeter-Schutzes auch die Skalierbarkeit zu wünschen übrig, was vor allem in den Anfängen der Corona-Krise vielerorts spürbar war.
Neue Realität erfordert radikales Umdenken
Die neue Realität, die sich noch weiter akzentuieren und an Komplexität zulegen wird, erfordert neue Ansätze in Bezug auf IT-Sicherheit. Ein zukunftsorientierter Ansatz ist das "Zero Trust"-Sicherheitsmodell. Anstatt zu glauben, dass alle Anwendungen und Daten durch eine Firewall geschützt sind, funktioniert das Zero Trust-Modell nach dem Ansatz "Vertrauen ist gut, Kontrolle ist besser" ("never trust, always verify") und behandelt jede Zugriffsanfrage so, als stamme sie aus einem unkontrollierten, nicht-vertrauenswürdigen Netzwerk.
In einem Zero-Trust-Modell ist jeder Zugriff stark authentifiziert, innerhalb von Policies autorisiert und verschlüsselt. Mikrosegmentierung und Zugriff mit geringsten Rechten gehören zu den Grundfunktionen und verhindern die Ausbreitung von Angreifern im System. Hinzu kommen umfassende Intelligence und Analysen, um Anomalien in Echtzeit zu erkennen und abzuwehren.
Von Perimeter- hin zu datenbasiertem Schutz
Zero Trust bedeutet eine fundamentale Neuorientierung der Sicherheit, die nicht unterschätzt werden darf. Denn um wirksam zu sein, muss ZeroTrust neben der gesamten IT wenn möglich auch die IoT/OT-Infrastruktur umfassen. Diese wird in Sicherheitskonzepten oft vergessen, stellt aber ein beachtliches Sicherheitsrisiko dar.
Die Anzahl der über IoT-Geräte getätigten unbefugten Zugriffe auf Unternehmensnetzwerke ist in den vergangenen zwölf Monaten signifikant gestiegen. Um eine möglichst umfassende Sicherheit zu gewährleisten, müssen also alle verfügbaren Datenpunkte in die Authentifizierung und Autorisierung einbezogen werden.
Die dafür relevanten Kontroll-Elemente sind: Identitäten, Geräte, Anwendungen, Daten, Infrastruktur und Netzwerke. Da alle diese Komponenten wichtige Quellen für Zugriffssignale darstellen, ist deren Integration zentral. Das bedeutet, dass alle Signale, die auf verschiedenen hybriden Infrastrukturen von verschiedenen Herstellern anfallen, zusammengeführt und korreliert werden müssen.
Den Identitäten kommt dabei eine zentrale Rolle zu. Sie bilden also sozusagen das Fundament des Zero-Trust-Modells, in dem netzwerkbasierte Kontrollen durch identitätsbasierte Richtlinien und risikobasierte Prozesse ersetzt werden. Daher sollte auch der Identitäts-Anbieter mit Bedacht gewählt werden.
Vom Ja/Nein zum granularen, risikobasierten Zugriff
Da eine umfassende Einschätzung der Bedrohungslage und damit eine grosse Menge "Threat Intelligence" notwendig ist, kommen die meisten Unternehmen nicht um eine cloud-basierte Lösung herum. Moderne Applikationen – sowohl SaaS als auch Eigenentwicklungen – werden oft ohne grössere Aufwände direkt unterstützt und lassen sich deshalb einfach integrieren.
Etwas komplexer wird es bei Legacy-Anwendungen. Oftmals verwenden diese bereits zur Authentifizierung veraltete und aus heutiger Sicht unsichere Protokolle. Geht man davon aus, dass das Unternehmensnetzwerk potenziell bereits kompromittiert ist, ist eine Modernisierung sowieso schnellstens angebracht. Zusätzlich bieten viele Hersteller auch Applikations-Proxys an, welche Abhilfe schaffen können. Diese sind aber mit Vorsicht anzuwenden, denn in diesem Umfeld gilt die 80/20-Regel: 80% der Applikationen lassen sich mit vertretbarem Aufwand migrieren. Die anderen 20% können Arbeit geben.
Ein zukunftsorientiertes Modell
Die Umstellung auf ein Zero-Trust-Modell ist eine grosse Herausforderung. Für eine Organisation, die ihre Mitarbeitenden befähigen und die Vorteile der Digitalisierung für sich nutzen will, ist sie jedoch unverzichtbar. Entsprechend gross ist auch das aktuelle Interesse am Zero-Trust-Modell. Gemäss einer aktuellen IDG-Studie nutzen bereits 21% der befragten Unternehmen ein solches, und 63% planen die Einführung in den nächsten 12 Monaten. Das Zero-Trust-Modell ist keine Sofortlösung. Es ist vielmehr eine schrittweise Veränderung – eine lohnenswerte Reise in eine sichere digitale Zukunft.
Roger Halbheer
Roger Halbheer ist Chief Security Advisor in EMEA bei Microsoft und Mitglied des Advisory Board Cybersecurity der SATW. Zuvor war er bei Accenture Security als Managing Director für die DACH-Region tätig sowie als Head of Group Security bei der Swisscom. Bei Microsoft hat er bereits früher während mehrerer Jahre in verschiedenen Positionen gearbeitet, unter anderem als Worldwide Chief Security Advisor. Roger Halbheer hat einen Master in Computer Science der ETH Zürich und ist Certified Information System Security Professional.
Zu dieser Kolumne
SATW insights: Unter diesem Titel berichten Mitglieder der Schweizerischen Akademie der Technischen Wissenschaften SATW regelmässig für unsere Leser über relevante, aktuelle Schweizer Technologie-Fragen. Die Meinung der Autoren muss sich nicht mit derjenigen von
inside-it.ch/inside-channels.ch decken.
Zur SATW
Die Schweizerische Akademie der Technischen Wisssenschaften SATW ist das bedeutendste Expertennetzwerk im Bereich Technikwissenschaften in der Schweiz und steht im Kontakt mit den höchsten Schweizer Gremien für Wissenschaft, Politik und Industrie. Das Netzwerk besteht aus 350 gewählten Einzelmitgliedern, 55 Mitgliedsgesellschaften sowie Expertinnen und Experten.