Best Practices für Zero-Trust

Best Practices für Zero-Trust

Beitrag teilen

Der rasche Wandel hin zu mehr Remote-Arbeit und die damit verbundene explosionsartige Zunahme von Geräten hat die Zahl der Cyber-Bedrohungen drastisch erhöht.

Vor diesem Hintergrund stehen Unternehmen vor der Herausforderung, ihre hochkomplexen Cloud-basierten Technologie-Ökosysteme zu schützen, da Mitarbeiter, Software und selbst Partnerorganisationen eine Bedrohung für die Sicherheit wertvoller Systeme und Daten darstellen können. In Konsequenz hat sich der Zero-Trust-Ansatz als ein populäres Security-Framework etabliert. Das Analystenhaus Markets and Markets prognostiziert, dass die weltweiten Ausgaben für Zero-Trust-basierte Software und Dienstleistungen von 27,4 Milliarden US-Dollar im Jahr 2022 auf 60,7 Milliarden US-Dollar im Jahr 2027 steigen werden.

Anzeige

Was ist Zero Trust?

Bei einer Zero-Trust-Architektur wird das inhärente Vertrauen in das Netzwerk aufgehoben. Stattdessen wird das Netzwerk als feindlich eingestuft und jede Zugriffsanfrage auf der Grundlage einer Zugriffsrichtlinie überprüft. Ein effektives Zero-Trust-Framework kombiniert mehrere Tools und Strategien und basiert auf einer goldenen Regel: Vertraue niemandem. Stattdessen muss jede Entität (Person, Gerät oder Softwaremodul) und jede Zugriffsanfrage auf technologische Ressourcen genügend Informationen bereitstellen, um sich dieses Vertrauen zu verdienen. Wird der Zugriff gewährt, so gilt er nur für das spezifische Asset, das für die Ausführung einer Aufgabe erforderlich ist, und nur für einen begrenzten Zeitraum.

Zero-Trust-Authentisierung

Da passwortbasierte, traditionelle Multi-Faktor-Authentisierung (MFA) von Cyberkriminellen leicht ausgehebelt werden kann, erfordert ein effektiver Zero-Trust-Ansatz eine starke Validierung der Benutzer durch eine Phishing-resistente, passwortlose MFA. Außerdem muss das Vertrauen in das Endgerät hergestellt werden, das für den Zugriff auf Anwendungen und Daten verwendet wird. Wenn Unternehmen dem Benutzer oder dessen Gerät nicht vertrauen können, sind alle anderen Komponenten eines Zero-Trust-Ansatzes nutzlos. Die Authentisierung ist daher für eine erfolgreiche Zero-Trust-Architektur entscheidend, da sie den unbefugten Zugriff auf Daten und Dienste verhindert und die Durchsetzung der Zugriffskontrolle so granular wie möglich gestaltet. In der Praxis muss diese Authentisierung möglichst reibungslos und benutzerfreundlich sein, damit Nutzer diese nicht umgehen oder den Helpdesk mit Supportanfragen bombardieren.

Passwortlose Authentisierung

Das Ersetzen herkömmlicher MFA durch starke, passwortlose Authentisierungsmethoden ermöglicht Sicherheitsteams den Aufbau der ersten Schicht ihrer Zero-Trust-Architektur. Das Ersetzen von Passwörtern durch FIDO-basierte Passkeys, die asymmetrische Kryptografie verwenden, und deren Kombination mit sicherer gerätebasierter Biometrie, schafft einen Phishing-resistenten MFA-Ansatz. Benutzer werden authentifiziert, indem sie nachweisen, dass sie das registrierte Gerät besitzen, welches kryptografisch an ihre Identität gebunden ist, und zwar durch eine Kombination aus einer biometrischen Authentisierung und einer asymmetrischen kryptografischen Transaktion. Die gleiche Technologie wird bei der Transaction Layer Security (TLS) genutzt, mit der die Authentizität einer Website sichergestellt und ein verschlüsselter Tunnel aufgebaut wird, bevor Benutzer sensible Informationen austauschen, beispielsweise beim Online-Banking.

Diese starke Authentisierungsmethode bietet nicht nur erheblichen Schutz vor Cyberangriffen, sondern kann auch die Kosten und administrativen Aufgaben reduzieren, die mit dem Zurücksetzen und Sperren von Passwörtern bei herkömmlichen MFA-Tools verbunden sind. Vor allem aber ergeben sich langfristige Vorteile durch verbesserte Arbeitsabläufe und Produktivität der Mitarbeiter, da die Authentisierung besonders benutzerfreundlich und ohne Reibungsverluste gestaltet ist.

Anforderungen einer Zero-Trust-Authentisierung

Es ist wichtig, dass sich Unternehmen, die ein Zero-Trust-Framework implementieren möchten, so früh wie möglich mit der Authentisierung befassen. Dabei sollten sie auf die folgenden Punkte achten:

  • Starke Benutzervalidierung: Ein starker Faktor, um die Identität des Nutzers zu bestätigen, ist der Besitznachweis seines zugewiesenen Geräts. Dieser wird erbracht, wenn sich der autorisierte Benutzer nachweislich am eigenen Gerät authentisiert. Die Identität des Geräts wird dafür kryptographisch an die Identität des Benutzers gebunden. Diese beiden Faktoren eliminieren Passwörter oder sonstige kryptographische Geheimnisse, die Cyberkriminelle von einem Gerät abrufen, über ein Netzwerk abfangen oder Benutzern durch Social Engineering entlocken können.
  • Starke Gerätevalidierung: Mit einer starken Gerätevalidierung unterbinden Organisationen die Nutzung unbefugter BYOD-Geräte, indem sie nur bekannten, vertrauenswürdigen Geräten Zugang gewähren. Der Validierungsprozesses prüft, ob das Gerät an den Benutzer gebunden ist und die nötigen Sicherheits- und Compliance-Anforderungen erfüllt.
  • Benutzerfreundliche Authentisierung für Nutzer und Administratoren: Passwörter und herkömmliche MFA sind zeitaufwändig und beeinträchtigen die Produktivität. Eine passwortlose Authentisierung ist einfach einzuführen und zu verwalten und verifiziert Benutzer innerhalb von Sekunden über einen biometrischen Scanner auf ihrem Gerät.
  • Integration mit IT-Verwaltungs- und Sicherheitstools: Das Sammeln von möglichst vielen Informationen über Benutzer, Geräte und Transaktionen ist bei der Entscheidung, ob ein Zugriff gewährt wird, sehr hilfreich. Eine Zero-Trust-Richtlinien-Engine erfordert die Integration von Datenquellen und anderen Software-Tools, um korrekte Entscheidungen zu treffen, Warnungen an das SOC zu senden und vertrauenswürdige Protokolldaten für Auditing-Zwecke zu teilen.
  • Fortschrittliche Richtlinien-Engines: Der Einsatz einer Richtlinien-Engine mit einer benutzerfreundlichen Oberfläche ermöglicht es Sicherheitsteams, Richtlinien wie Risiko-Level und Risiko-Scores zu definieren, die den Zugriff kontrollieren. Automatisierte Richtlinien-Engines helfen bei der Erfassung von Daten aus Zehntausenden von Geräten, einschließlich mehrerer Geräte sowohl von internen Mitarbeitern als auch von externen Dienstleistern. Da die Nutzung von Risiko-Scores anstelle von Rohdaten in vielen Situationen sinnvoll ist, muss die Engine auch auf Daten aus einer Reihe von IT-Verwaltungs- und Sicherheitstools zugreifen. Nach der Erfassung wertet die Richtlinien-Engine die Daten aus und ergreift die in den Richtlinien festgelegten Maßnahmen, zum Beispiel die Genehmigung oder das Blockieren eines Zugriffs oder die Quarantäne eines verdächtigen Geräts.

Phishing-resistent und passwortlos

Die traditionelle passwortbasierte Multi-Faktor-Authentisierung stellt für Angreifer inzwischen eine sehr niedrige Hürde dar. Ein Authentisierungsprozess, der sowohl Phishing-resistent als auch passwortlos ist, ist deshalb eine Schlüsselkomponente eines Zero-Trust-Frameworks. Hierdurch werden nicht nur Cybersecurity-Risiken erheblich verringert, sondern auch die Produktivität der Mitarbeiter und Effizienz des IT-Teams verbessert.

Mehr bei BeyondIdentity.com

 


Über Beyond Identity

Beyond Identity revolutioniert den sicheren digitalen Zugang für interne Mitarbeiter, externe und outgesourcte Mitarbeiter, Kunden und Entwickler. Die Universal-Passkey-Architektur von Beyond Identity bietet die branchenweit sicherste und reibungsloseste Multi-Faktor-Authentisierung, die Sicherheitsvorfälle aufgrund von Anmeldeinformationen verhindert, das Vertrauen in Geräte sicherstellt und einen sicheren und reibungslosen digitalen Zugang ermöglicht, der Passwörter vollständig eliminiert.


 

Passende Artikel zum Thema

Cyberangriffe: Russland hat es auf deutsche KRITIS abgesehen

Russland setzt gezielt destruktive Schadsoftware ein und bedroht mit seiner digitalen Kriegsführung kritische Infrastrukturen in Deutschland. Durch die zunehmende Aggressivität, ➡ Weiterlesen

DORA: Stärkere Cybersecurity für Finanzunternehmen

Der Digital Operational Resilience Act (DORA) soll die IT-Sicherheit und das Risikomanagement in der Finanzbranche stärken, indem er strenge Anforderungen ➡ Weiterlesen

Identitätssicherheit: Viele Unternehmen sind noch am Anfang

Ein Anbieter von Identity Security für Unternehmen, hat seine aktuelle Studie „Horizons of Identity Security“ vorgestellt. Unternehmen mit fortschrittlicher Identitätssicherheit stehen ➡ Weiterlesen

NIS2-Compliance verstärkt IT-Fachkräftemangel

Eine neue Umfrage zur EU-weiten Umsetzung von NIS2 zeigt die erheblichen Auswirkungen auf Unternehmen bei der Anpassung an diese zentrale ➡ Weiterlesen

Datenverlust Klassifizierung: Wie verheerend ist er wirklich?

Ein Datenverlust ist immer ein Problem. Aber wie schwerwiegend der Verlust ist, hängt von den verlorenen Daten ab. Um das ➡ Weiterlesen

E-Mails: Sicherheit in den meisten Unternehmen mangelhaft

Jede achte Organisation war im letzten Jahr von einer Sicherheitsverletzung im E-Mail-Bereich betroffen, so die Studie “Email Security Threats Against ➡ Weiterlesen

Studie: SOC-Teams haben wenig Zutrauen in ihre Sicherheitstools

Ein führender Anbieter von KI-gestützter erweiterter Erkennung und Reaktion (XDR), hat die Ergebnisse seines neuen Forschungsberichts "2024 State of Threat ➡ Weiterlesen

Geräte und Nutzerkonten – darauf zielen Cyberangreifer

Der neue Cyber Risk Report zeigt die kritischen Schwachstellen in Unternehmen auf und bietet somit aber auch neue Möglichkeiten der ➡ Weiterlesen