Ihr digitales Umfeld entwickelt sich mit exponentieller Geschwindigkeit weiter. Dazu gehören leider auch die Bedrohungen für Ihr Unternehmen. Um mit diesen Entwicklungen mithalten zu können, benötigen Sie ein effektives und flexibles IT-Security System. Doch wie gelingt es Ihnen, ein solches aufzubauen? Das Zero Trust Security Framework hilft Ihnen genau dabei. Es liefert eine Reihe von Prinzipien und Best Practices, die sicherstellen, dass Ihr Sicherheitssystem effektiv ist und auch in Zukunft mit wenig Aufwand und Kosten aktuell bleibt. Doch was ist das Zero Trust Framework und mit welchen Schritten schaffen Sie Zero Trust Kompetenzen in Ihrem Unternehmen?
Was ist das Zero Trust Framework?
Das Zero Trust Framework legt Sie nicht auf einen bestimmten Ablauf Ihrer Arbeitsprozesse fest. Es ist nicht an bestimmte Anwendungen gebunden und zwingt Sie auch nicht zu einer ganzheitlichen Umsetzung. Allgemein sorgt die ganzheitliche Umsetzung zwar für mehr Sicherheit, es ist aber auch möglich, nur einzelne Teile des Frameworks zu befolgen. Es basiert auf folgenden drei Prinzipien:
Der große Vorteil an den Lösungsansätzen des Zero Trust Frameworks ist dabei, dass die Sicherheitsmechanismen sich in eine bereits existierende IT-Struktur einbauen lassen, ohne diese grundlegend zu verändern. Diese gelingt mithilfe von Kontrollpunkten, an denen die Prinzipien der expliziten Verifizierung und des Least Privilege Zugriffs durchgesetzt werden. Wie dies genau geschieht, erfahren Sie später. Das Prinzip der Annahme einer Sicherheitsverletzung hat nicht nur mit dem Aufbau Ihrer digitalen Infrastruktur zu tun. Es geht auch darum, dass Sie Abläufe für den Ernstfall klar definiert sind und das notwendige Wissen allen Beteiligten zur Verfügung steht.
Was ist explizite Verifizierung?
Die zwei Faktor Authentifizierung ist mittlerweile Standard für jegliche Identitätsverifizierung. Für eine zuverlässigere Identitätsverifizierung werden jedoch mehr als zwei Faktoren benötigt. Je nach Zugriffsanfrage können sich die benötigten Informationen auch unterscheiden. Hier kommt die explizite Verifizierung ins Spiel. Einige nützliche Verifikationsfaktoren sind Identität, Standort und Endpoint. Die Prüfung des Standorts und des Endpoints benötigen dabei nicht einmal eine Eingabe durch den Nutzer.
Wie implementieren Sie explizite Verifizierung in Ihr System?
Sie haben bereits erfahren, dass die Zugriffskontrolle mit Zero Trust an Kontrollpunkten geschieht, die Sie an strategisch wichtigen Stellen in Ihr System einbauen. Diese Kontrollpunkte treffen jedoch nicht direkt Entscheidungen. Zusätzlich zu den Kontrollpunkten benötigen Sie auch eine zentrale Verwaltungsstelle. Hier steuern Sie, welche Informationen von den jeweiligen Kontrollpunkten abgefragt werden. Die Kontrollpunkte senden die abgefragten Informationen an die Verwaltungsstelle. Hier entscheidet nun eine zentrale Richtlinie, ob die Verifizierung erfolgreich ist. Diese Entscheidung wird an den Kontrollpunkt zurückgesendet. Dieser gewährt gegebenenfalls Zugriff. Wenn Sie genauer erfahren wollen, wie der Entscheidungsprozess abläuft und wie Sie Ihre zentrale Zugriffsrichtlinie aufbauen, lesen Sie hier unser Whitepaper zum Thema “Zugriffskontrolle als Basis von Zero Trust”.
Was ist das Least Privilege Prinzip?
Das Least Privilege Prinzip besagt, dass jede Identität, nur auf die Informationen zu der Zeit Zugriff hat, die notwendig sind, um die zugewiesene Arbeit zu erfüllen. Die Begrenzung des Zugriffs erstreckt sich also über zwei Dimensionen. Jeder Nutzer darf nur Zugriff auf Anwendungen und Informationen haben, die er für die Erfüllung seines Arbeitsauftrags benötigt. Gleichzeitig darf die Berechtigung nur so lange bestehen, wie Sie auch tatsächlich benötigt wird. Dies ist vor allem bei Anwendungen und Informationen mit hoher Brisanz wichtig.
Wie implementieren Sie das Least Privilege Prinzip?
Um den Arbeitsaufwand zu minimieren und gleichzeitig abzusichern, dass alle Berechtigungen richtig vergeben werden, sollten Sie die Berechtigungszuweisung automatisieren. Dies gelingt Ihnen, indem Sie die Zugriffsberechtigung von bestimmten Kategorien wie Abteilung, Position und Standort abhängig machen. Diese Informationen werden in der Regel ohnehin vom Personalwesen gepflegt und müssen daher nicht zusätzlich hinterlegt werden. Mehr dazu erfahren Sie ebenfalls im oben verlinkten Beitrag. Für Anwendungen und Informationen mit höherer Brisanz sollten Sie zusätzlich manuelle Kontrollen hinzufügen und den Zugriff zeitlich begrenzen. Dies können Sie entweder durch einen Antrag des Nutzers oder durch zentrale Freigabe initiieren. In größeren Unternehmen werden Sie kaum um Nutzeranträge herumkommen. Generell lässt sich jedoch sagen, je weniger manuelle Eingaben benötigt werden, desto geringer ist die Wahrscheinlichkeit, dass absichtliche Täuschungsversuche erfolgreich sind.
Was bedeutet die Annahme einer Sicherheitsverletzung für Sie?
Aufgrund der hohen Geschwindigkeit, mit der sich die digitale Welt weiterentwickelt und der umfangreichen Möglichkeiten, die sie bietet, ist es unrealistisch, dass Sie nie mit einer Sicherheitsverletzung konfrontiert werden. Sie verringern mit guter Vorbereitung und IT-Security lediglich die Eintrittswahrscheinlichkeit und die Schadenhöhe. Daher ist es wichtig, Ihr System und Ihre Belegschaft auf den Ernstfall vorzubereiten.
Ihr System schützen Sie durch die oben beschriebenen Maßnahmen. Regelmäßige Verifikation und dem Anwendungsfeld entsprechende Zugriffsbeschränkungen verhindern/verlangsamen die unbefugte Bewegung innerhalb Ihres Systems. Durch die zentrale Verwaltung Ihrer Zugriffskriterien können Sie im Ernstfall in Echtzeit alle Zugriffe sperren und so die nicht kontaminierten Systemteile isolieren.
In den meisten Unternehmen ist nicht rund um die Uhr Personal aktiv. Außerdem können Menschen nicht in Echtzeit das gesamte Unternehmenssystem auf Sicherheitsverletzungen überwachen. Daher sollten Sie zusätzlich die Erkennung und initiale Reaktion auf Sicherheitsverletzungen automatisieren. Mehr dazu erfahren Sie hier.
Teil der automatischen Reaktion auf Sicherheitsverletzungen ist die Informationsweiterleitung an definierte Zuständige. Damit diese im Ernstfall, schnell die richtigen Entscheidungen treffen und die Arbeitsabläufe flüssig funktionieren, müssen Sie im Voraus bereits eindeutige Zuständigkeiten und Aufgaben zuweisen. Das betroffene Personal sollte auf entsprechend für den Ernstfall geschult werden. Außerdem sollten Sie auch nicht IT-Personal regelmäßig dazu schulen, mit welchem Verhalten es Sicherheitsverletzungen verhindert und wie es sich bei erkannten Sicherheitsverletzungen verhalten soll.
Bei Fragen oder Anregungen zum Thema Zero Trust Security, IT-Security oder Security Governance stehen wir Ihnen gerne beratend zur Seite. Wir freuen uns auf Ihre Kontaktaufnahme.
