Best Practices für Zero-Trust

Best Practices für Zero-Trust

Beitrag teilen

Der rasche Wandel hin zu mehr Remote-Arbeit und die damit verbundene explosionsartige Zunahme von Geräten hat die Zahl der Cyber-Bedrohungen drastisch erhöht.

Vor diesem Hintergrund stehen Unternehmen vor der Herausforderung, ihre hochkomplexen Cloud-basierten Technologie-Ökosysteme zu schützen, da Mitarbeiter, Software und selbst Partnerorganisationen eine Bedrohung für die Sicherheit wertvoller Systeme und Daten darstellen können. In Konsequenz hat sich der Zero-Trust-Ansatz als ein populäres Security-Framework etabliert. Das Analystenhaus Markets and Markets prognostiziert, dass die weltweiten Ausgaben für Zero-Trust-basierte Software und Dienstleistungen von 27,4 Milliarden US-Dollar im Jahr 2022 auf 60,7 Milliarden US-Dollar im Jahr 2027 steigen werden.

Anzeige

Was ist Zero Trust?

Bei einer Zero-Trust-Architektur wird das inhärente Vertrauen in das Netzwerk aufgehoben. Stattdessen wird das Netzwerk als feindlich eingestuft und jede Zugriffsanfrage auf der Grundlage einer Zugriffsrichtlinie überprüft. Ein effektives Zero-Trust-Framework kombiniert mehrere Tools und Strategien und basiert auf einer goldenen Regel: Vertraue niemandem. Stattdessen muss jede Entität (Person, Gerät oder Softwaremodul) und jede Zugriffsanfrage auf technologische Ressourcen genügend Informationen bereitstellen, um sich dieses Vertrauen zu verdienen. Wird der Zugriff gewährt, so gilt er nur für das spezifische Asset, das für die Ausführung einer Aufgabe erforderlich ist, und nur für einen begrenzten Zeitraum.

Zero-Trust-Authentisierung

Da passwortbasierte, traditionelle Multi-Faktor-Authentisierung (MFA) von Cyberkriminellen leicht ausgehebelt werden kann, erfordert ein effektiver Zero-Trust-Ansatz eine starke Validierung der Benutzer durch eine Phishing-resistente, passwortlose MFA. Außerdem muss das Vertrauen in das Endgerät hergestellt werden, das für den Zugriff auf Anwendungen und Daten verwendet wird. Wenn Unternehmen dem Benutzer oder dessen Gerät nicht vertrauen können, sind alle anderen Komponenten eines Zero-Trust-Ansatzes nutzlos. Die Authentisierung ist daher für eine erfolgreiche Zero-Trust-Architektur entscheidend, da sie den unbefugten Zugriff auf Daten und Dienste verhindert und die Durchsetzung der Zugriffskontrolle so granular wie möglich gestaltet. In der Praxis muss diese Authentisierung möglichst reibungslos und benutzerfreundlich sein, damit Nutzer diese nicht umgehen oder den Helpdesk mit Supportanfragen bombardieren.

Passwortlose Authentisierung

Das Ersetzen herkömmlicher MFA durch starke, passwortlose Authentisierungsmethoden ermöglicht Sicherheitsteams den Aufbau der ersten Schicht ihrer Zero-Trust-Architektur. Das Ersetzen von Passwörtern durch FIDO-basierte Passkeys, die asymmetrische Kryptografie verwenden, und deren Kombination mit sicherer gerätebasierter Biometrie, schafft einen Phishing-resistenten MFA-Ansatz. Benutzer werden authentifiziert, indem sie nachweisen, dass sie das registrierte Gerät besitzen, welches kryptografisch an ihre Identität gebunden ist, und zwar durch eine Kombination aus einer biometrischen Authentisierung und einer asymmetrischen kryptografischen Transaktion. Die gleiche Technologie wird bei der Transaction Layer Security (TLS) genutzt, mit der die Authentizität einer Website sichergestellt und ein verschlüsselter Tunnel aufgebaut wird, bevor Benutzer sensible Informationen austauschen, beispielsweise beim Online-Banking.

Diese starke Authentisierungsmethode bietet nicht nur erheblichen Schutz vor Cyberangriffen, sondern kann auch die Kosten und administrativen Aufgaben reduzieren, die mit dem Zurücksetzen und Sperren von Passwörtern bei herkömmlichen MFA-Tools verbunden sind. Vor allem aber ergeben sich langfristige Vorteile durch verbesserte Arbeitsabläufe und Produktivität der Mitarbeiter, da die Authentisierung besonders benutzerfreundlich und ohne Reibungsverluste gestaltet ist.

Anforderungen einer Zero-Trust-Authentisierung

Es ist wichtig, dass sich Unternehmen, die ein Zero-Trust-Framework implementieren möchten, so früh wie möglich mit der Authentisierung befassen. Dabei sollten sie auf die folgenden Punkte achten:

  • Starke Benutzervalidierung: Ein starker Faktor, um die Identität des Nutzers zu bestätigen, ist der Besitznachweis seines zugewiesenen Geräts. Dieser wird erbracht, wenn sich der autorisierte Benutzer nachweislich am eigenen Gerät authentisiert. Die Identität des Geräts wird dafür kryptographisch an die Identität des Benutzers gebunden. Diese beiden Faktoren eliminieren Passwörter oder sonstige kryptographische Geheimnisse, die Cyberkriminelle von einem Gerät abrufen, über ein Netzwerk abfangen oder Benutzern durch Social Engineering entlocken können.
  • Starke Gerätevalidierung: Mit einer starken Gerätevalidierung unterbinden Organisationen die Nutzung unbefugter BYOD-Geräte, indem sie nur bekannten, vertrauenswürdigen Geräten Zugang gewähren. Der Validierungsprozesses prüft, ob das Gerät an den Benutzer gebunden ist und die nötigen Sicherheits- und Compliance-Anforderungen erfüllt.
  • Benutzerfreundliche Authentisierung für Nutzer und Administratoren: Passwörter und herkömmliche MFA sind zeitaufwändig und beeinträchtigen die Produktivität. Eine passwortlose Authentisierung ist einfach einzuführen und zu verwalten und verifiziert Benutzer innerhalb von Sekunden über einen biometrischen Scanner auf ihrem Gerät.
  • Integration mit IT-Verwaltungs- und Sicherheitstools: Das Sammeln von möglichst vielen Informationen über Benutzer, Geräte und Transaktionen ist bei der Entscheidung, ob ein Zugriff gewährt wird, sehr hilfreich. Eine Zero-Trust-Richtlinien-Engine erfordert die Integration von Datenquellen und anderen Software-Tools, um korrekte Entscheidungen zu treffen, Warnungen an das SOC zu senden und vertrauenswürdige Protokolldaten für Auditing-Zwecke zu teilen.
  • Fortschrittliche Richtlinien-Engines: Der Einsatz einer Richtlinien-Engine mit einer benutzerfreundlichen Oberfläche ermöglicht es Sicherheitsteams, Richtlinien wie Risiko-Level und Risiko-Scores zu definieren, die den Zugriff kontrollieren. Automatisierte Richtlinien-Engines helfen bei der Erfassung von Daten aus Zehntausenden von Geräten, einschließlich mehrerer Geräte sowohl von internen Mitarbeitern als auch von externen Dienstleistern. Da die Nutzung von Risiko-Scores anstelle von Rohdaten in vielen Situationen sinnvoll ist, muss die Engine auch auf Daten aus einer Reihe von IT-Verwaltungs- und Sicherheitstools zugreifen. Nach der Erfassung wertet die Richtlinien-Engine die Daten aus und ergreift die in den Richtlinien festgelegten Maßnahmen, zum Beispiel die Genehmigung oder das Blockieren eines Zugriffs oder die Quarantäne eines verdächtigen Geräts.

Phishing-resistent und passwortlos

Die traditionelle passwortbasierte Multi-Faktor-Authentisierung stellt für Angreifer inzwischen eine sehr niedrige Hürde dar. Ein Authentisierungsprozess, der sowohl Phishing-resistent als auch passwortlos ist, ist deshalb eine Schlüsselkomponente eines Zero-Trust-Frameworks. Hierdurch werden nicht nur Cybersecurity-Risiken erheblich verringert, sondern auch die Produktivität der Mitarbeiter und Effizienz des IT-Teams verbessert.

Mehr bei BeyondIdentity.com

 


Über Beyond Identity

Beyond Identity revolutioniert den sicheren digitalen Zugang für interne Mitarbeiter, externe und outgesourcte Mitarbeiter, Kunden und Entwickler. Die Universal-Passkey-Architektur von Beyond Identity bietet die branchenweit sicherste und reibungsloseste Multi-Faktor-Authentisierung, die Sicherheitsvorfälle aufgrund von Anmeldeinformationen verhindert, das Vertrauen in Geräte sicherstellt und einen sicheren und reibungslosen digitalen Zugang ermöglicht, der Passwörter vollständig eliminiert.


 

Passende Artikel zum Thema

Fünf lokale Schwachstellen in needrestart entdeckt

Ein Anbieter von Cloud-basierten IT-, Sicherheits- und Compliance-Lösungen, gab bekannt, dass die Qualys Threat Research Unit (TRU) fünf Local Privilege ➡ Weiterlesen

RAG: Innovative KI-Technologien bringen Gefahren mit sich

Seit der Einführung von ChatGPT 2022 wollen immer mehr Unternehmen KI-Technologien nutzen – oft mit spezifischen Anforderungen. Retrieval Augmented Generation ➡ Weiterlesen

2025: Wer will IT-Security-Verantwortlicher sein?

Wie jedes Jahr haben die IT-Security-Spezialisten von WatchGuard Technologies auch Ende 2024 einen Blick in die Zukunft gewagt und ihre ➡ Weiterlesen

Active-Directory-Sicherung und -Wiederherstellung

Ransomware-Bedrohungen oder auch aktive Angriffe sind für Unternehmen längst Bestandteil ihres Alltags. Viele Attacken auf Identity-Systeme und allen voran Active ➡ Weiterlesen

Neue Gefahren durch Ransomware-Gruppe RansomHub

Ein Anbieter einer KI-gestützten, Cloud-basierten Cyber-Sicherheitsplattform hat einen Bericht zu Ransomware-Aktivitäten und -Trends aus dem vergangenen Monat September 2024 veröffentlicht. ➡ Weiterlesen

Cybersecurity-Trends 2025

Die Cybersecurity befindet sich derzeit in einem dramatischen Wandel. Während Cyberkriminelle zunehmend KI-gestützte Angriffsmethoden entwickeln und ihre Taktiken verfeinern, stehen ➡ Weiterlesen

Disaster-Recovery-as-a-Service – DRaaS-Lösung

Investitionen in DRaaS (Disaster-Recovery-as-a-Service) sind sinnvoll und zukunftsweisend, denn DRaaS hilft den Unternehmen, ihre IT-Systeme und Daten im Fall eines ➡ Weiterlesen

Digitale Zertifikate mit verkürzter Lebensdauer

Apple hat sich nun Google angeschlossen und drängt auf eine kürzere Lebensdauer von Zertifikaten, um die Online-Sicherheit zu verbessern. Indem ➡ Weiterlesen