Best Practices für Zero-Trust

5. Juli 2023
| Keine Kommentare
Best Practices für Zero-Trust

Beitrag teilen

Der rasche Wandel hin zu mehr Remote-Arbeit und die damit verbundene explosionsartige Zunahme von Geräten hat die Zahl der Cyber-Bedrohungen drastisch erhöht.

Vor diesem Hintergrund stehen Unternehmen vor der Herausforderung, ihre hochkomplexen Cloud-basierten Technologie-Ökosysteme zu schützen, da Mitarbeiter, Software und selbst Partnerorganisationen eine Bedrohung für die Sicherheit wertvoller Systeme und Daten darstellen können. In Konsequenz hat sich der Zero-Trust-Ansatz als ein populäres Security-Framework etabliert. Das Analystenhaus Markets and Markets prognostiziert, dass die weltweiten Ausgaben für Zero-Trust-basierte Software und Dienstleistungen von 27,4 Milliarden US-Dollar im Jahr 2022 auf 60,7 Milliarden US-Dollar im Jahr 2027 steigen werden.

Was ist Zero Trust?

Bei einer Zero-Trust-Architektur wird das inhärente Vertrauen in das Netzwerk aufgehoben. Stattdessen wird das Netzwerk als feindlich eingestuft und jede Zugriffsanfrage auf der Grundlage einer Zugriffsrichtlinie überprüft. Ein effektives Zero-Trust-Framework kombiniert mehrere Tools und Strategien und basiert auf einer goldenen Regel: Vertraue niemandem. Stattdessen muss jede Entität (Person, Gerät oder Softwaremodul) und jede Zugriffsanfrage auf technologische Ressourcen genügend Informationen bereitstellen, um sich dieses Vertrauen zu verdienen. Wird der Zugriff gewährt, so gilt er nur für das spezifische Asset, das für die Ausführung einer Aufgabe erforderlich ist, und nur für einen begrenzten Zeitraum.

Zero-Trust-Authentisierung

Da passwortbasierte, traditionelle Multi-Faktor-Authentisierung (MFA) von Cyberkriminellen leicht ausgehebelt werden kann, erfordert ein effektiver Zero-Trust-Ansatz eine starke Validierung der Benutzer durch eine Phishing-resistente, passwortlose MFA. Außerdem muss das Vertrauen in das Endgerät hergestellt werden, das für den Zugriff auf Anwendungen und Daten verwendet wird. Wenn Unternehmen dem Benutzer oder dessen Gerät nicht vertrauen können, sind alle anderen Komponenten eines Zero-Trust-Ansatzes nutzlos. Die Authentisierung ist daher für eine erfolgreiche Zero-Trust-Architektur entscheidend, da sie den unbefugten Zugriff auf Daten und Dienste verhindert und die Durchsetzung der Zugriffskontrolle so granular wie möglich gestaltet. In der Praxis muss diese Authentisierung möglichst reibungslos und benutzerfreundlich sein, damit Nutzer diese nicht umgehen oder den Helpdesk mit Supportanfragen bombardieren.

Passwortlose Authentisierung

Das Ersetzen herkömmlicher MFA durch starke, passwortlose Authentisierungsmethoden ermöglicht Sicherheitsteams den Aufbau der ersten Schicht ihrer Zero-Trust-Architektur. Das Ersetzen von Passwörtern durch FIDO-basierte Passkeys, die asymmetrische Kryptografie verwenden, und deren Kombination mit sicherer gerätebasierter Biometrie, schafft einen Phishing-resistenten MFA-Ansatz. Benutzer werden authentifiziert, indem sie nachweisen, dass sie das registrierte Gerät besitzen, welches kryptografisch an ihre Identität gebunden ist, und zwar durch eine Kombination aus einer biometrischen Authentisierung und einer asymmetrischen kryptografischen Transaktion. Die gleiche Technologie wird bei der Transaction Layer Security (TLS) genutzt, mit der die Authentizität einer Website sichergestellt und ein verschlüsselter Tunnel aufgebaut wird, bevor Benutzer sensible Informationen austauschen, beispielsweise beim Online-Banking.

Diese starke Authentisierungsmethode bietet nicht nur erheblichen Schutz vor Cyberangriffen, sondern kann auch die Kosten und administrativen Aufgaben reduzieren, die mit dem Zurücksetzen und Sperren von Passwörtern bei herkömmlichen MFA-Tools verbunden sind. Vor allem aber ergeben sich langfristige Vorteile durch verbesserte Arbeitsabläufe und Produktivität der Mitarbeiter, da die Authentisierung besonders benutzerfreundlich und ohne Reibungsverluste gestaltet ist.

Anforderungen einer Zero-Trust-Authentisierung

Es ist wichtig, dass sich Unternehmen, die ein Zero-Trust-Framework implementieren möchten, so früh wie möglich mit der Authentisierung befassen. Dabei sollten sie auf die folgenden Punkte achten:

  • Starke Benutzervalidierung: Ein starker Faktor, um die Identität des Nutzers zu bestätigen, ist der Besitznachweis seines zugewiesenen Geräts. Dieser wird erbracht, wenn sich der autorisierte Benutzer nachweislich am eigenen Gerät authentisiert. Die Identität des Geräts wird dafür kryptographisch an die Identität des Benutzers gebunden. Diese beiden Faktoren eliminieren Passwörter oder sonstige kryptographische Geheimnisse, die Cyberkriminelle von einem Gerät abrufen, über ein Netzwerk abfangen oder Benutzern durch Social Engineering entlocken können.
  • Starke Gerätevalidierung: Mit einer starken Gerätevalidierung unterbinden Organisationen die Nutzung unbefugter BYOD-Geräte, indem sie nur bekannten, vertrauenswürdigen Geräten Zugang gewähren. Der Validierungsprozesses prüft, ob das Gerät an den Benutzer gebunden ist und die nötigen Sicherheits- und Compliance-Anforderungen erfüllt.
  • Benutzerfreundliche Authentisierung für Nutzer und Administratoren: Passwörter und herkömmliche MFA sind zeitaufwändig und beeinträchtigen die Produktivität. Eine passwortlose Authentisierung ist einfach einzuführen und zu verwalten und verifiziert Benutzer innerhalb von Sekunden über einen biometrischen Scanner auf ihrem Gerät.
  • Integration mit IT-Verwaltungs- und Sicherheitstools: Das Sammeln von möglichst vielen Informationen über Benutzer, Geräte und Transaktionen ist bei der Entscheidung, ob ein Zugriff gewährt wird, sehr hilfreich. Eine Zero-Trust-Richtlinien-Engine erfordert die Integration von Datenquellen und anderen Software-Tools, um korrekte Entscheidungen zu treffen, Warnungen an das SOC zu senden und vertrauenswürdige Protokolldaten für Auditing-Zwecke zu teilen.
  • Fortschrittliche Richtlinien-Engines: Der Einsatz einer Richtlinien-Engine mit einer benutzerfreundlichen Oberfläche ermöglicht es Sicherheitsteams, Richtlinien wie Risiko-Level und Risiko-Scores zu definieren, die den Zugriff kontrollieren. Automatisierte Richtlinien-Engines helfen bei der Erfassung von Daten aus Zehntausenden von Geräten, einschließlich mehrerer Geräte sowohl von internen Mitarbeitern als auch von externen Dienstleistern. Da die Nutzung von Risiko-Scores anstelle von Rohdaten in vielen Situationen sinnvoll ist, muss die Engine auch auf Daten aus einer Reihe von IT-Verwaltungs- und Sicherheitstools zugreifen. Nach der Erfassung wertet die Richtlinien-Engine die Daten aus und ergreift die in den Richtlinien festgelegten Maßnahmen, zum Beispiel die Genehmigung oder das Blockieren eines Zugriffs oder die Quarantäne eines verdächtigen Geräts.

Phishing-resistent und passwortlos

Die traditionelle passwortbasierte Multi-Faktor-Authentisierung stellt für Angreifer inzwischen eine sehr niedrige Hürde dar. Ein Authentisierungsprozess, der sowohl Phishing-resistent als auch passwortlos ist, ist deshalb eine Schlüsselkomponente eines Zero-Trust-Frameworks. Hierdurch werden nicht nur Cybersecurity-Risiken erheblich verringert, sondern auch die Produktivität der Mitarbeiter und Effizienz des IT-Teams verbessert.

Mehr bei BeyondIdentity.com

 

Über Beyond Identity

Beyond Identity revolutioniert den sicheren digitalen Zugang für interne Mitarbeiter, externe und outgesourcte Mitarbeiter, Kunden und Entwickler. Die Universal-Passkey-Architektur von Beyond Identity bietet die branchenweit sicherste und reibungsloseste Multi-Faktor-Authentisierung, die Sicherheitsvorfälle aufgrund von Anmeldeinformationen verhindert, das Vertrauen in Geräte sicherstellt und einen sicheren und reibungslosen digitalen Zugang ermöglicht, der Passwörter vollständig eliminiert.

 

Passende Artikel zum Thema

IT-Sicherheit: NIS-2 macht sie zur Chefsache

Nur bei einem Viertel der deutschen Unternehmen übernimmt die Geschäftsführung die Verantwortung für die IT-Sicherheit. Vor allem in kleineren Unternehmen ➡ Weiterlesen

Anstieg der Cyberangriffe um 104 Prozent in 2023

Ein Unternehmen für Cybersicherheit hat die Bedrohungslandschaft des letzten Jahres unter die Lupe genommen. Die Ergebnisse bieten entscheidende Einblicke in ➡ Weiterlesen

Mobile Spyware ist eine Gefahr für Unternehmen

Sowohl im Alltag als auch in Unternehmen nutzen immer mehr Menschen mobile Geräte. Dadurch nimmt auch die Gefahr von "Mobil ➡ Weiterlesen

Crowdsourced Security lokalisiert viele Schwachstellen

Crowdsourced Security hat im letzten Jahr stark zugenommen. Im öffentlichen Bereich wurden 151 Prozent mehr Schwachstellen gemeldet als im Vorjahr. ➡ Weiterlesen

Digitale Sicherheit: Verbraucher vertrauen Banken am meisten

Eine Umfrage zum digitalen Vertrauen zeigte, dass Banken, das Gesundheitswesen und Behörden das meiste Vertrauen der Verbraucher genießen. Die Medien- ➡ Weiterlesen

Stellenbörse Darknet: Hacker suchen abtrünnige Insider

Das Darknet ist nicht nur eine Umschlagbörse für illegale Waren, sondern auch ein Ort, an dem Hacker neue Komplizen suchen ➡ Weiterlesen

Solarenergieanlagen – wie sicher sind sie?

Eine Studie hat die IT-Sicherheit von Solarenergieanlagen untersucht. Probleme bereiten fehlende Verschlüsselung bei der Datenübertragung, Standardpasswörter und unsichere Firmware-Updates. Trend ➡ Weiterlesen

Neue Phishing-Welle: Angreifer nutzen Adobe InDesign

Aktuell zeigt sich ein Anstieg von Phishing-Attacken, die Adobe InDesign missbrauchen, ein bekanntes und vertrauenswürdiges System zur Veröffentlichung von Dokumenten. ➡ Weiterlesen

Storys
, , , ,