Zero Trust beim (Remote) Access: Vorsicht ist besser als Nachsicht
Autor/Redakteur: Paddy Srinivasan, Chief Executive Officer von GoTo/gg
Die zunehmende Anzahl an Cyberangriffen auf Remote-Infrastrukturen hat gezeigt, dass Remote Access einen neuen Sicherheitsansatz erfordert: „Zero Trust“. Bei diesem Ansatz traut das Sicherheitssystem niemandem, der sich nicht verifiziert – weder Anwendern noch Geräten, bekannt oder unbekannt. Dies führt zwar zu zusätzlichen Schritten im Sicherheitsprozess, aber die Unterbrechungen des Arbeitsablaufs sind minimal und die Vorteile sind es wert. Kleinen Unternehmen bietet Zero Trust das gleiche Sicherheitsniveau, das in Großunternehmen eingesetzt wird.
Remote Work hat den Mitarbeitern viele Vorteile gebracht. Sie können Beruf und Privatleben besser vereinbaren, lange Arbeitswege fallen weg und die Kollegen lenken weniger von der Arbeit ab. Dennoch gibt es auch negative Aspekte, die vor allem die Unternehmenssicherheit bedrohen. Denn Remote-Zugriffe oder auch Bring Your Own Device (BYOD) bieten große Angriffsflächen für Cyberkriminelle Die Zahl der Cyber-Angriffe hat sich laut KuppingerCole und Wolf Security während der Pandemie mehr als verdoppelt. Das größte Problem sei, dass die Beschäftigten ihre Firmenrechner immer öfter privat nutzen, aber auch mitunter private Geräte für die Arbeit einsetzen müssen. Dies sei für jedes vierte Unternehmen (26 Prozent) „existenzbedrohend“.
Vor allem kleine und mittelständische Unternehmen (KMU) haben es oft schwer. Sie verfügen nur über geringe finanzielle und personelle Ressourcen, um ihre IT-Infrastruktur zu verwalten, sind aber den gleichen Bedrohungen ausgesetzt wie größere Firmen. Unternehmen mit unter 100 Mitarbietern haben oftmals nur einem IT-Verantwortlichen, im Betrieb ist es schwer, die IT-Landschaft sicherheitstechnisch auf dem neuesten Stand zu halten. Die steigenden Anforderungen an die Sicherheit lassen ihnen meist zu wenig Zeit für das Monitoring aller Fernzugriffe. Ein Großteil der IT-Mitarbeiter (76 Porzent) bestätigt GoTo in einer Befragung, dass sich ihre Belastung durch die flexiblen Arbeitsmodelle erhöht hat und ihre Arbeit schwieriger geworden ist (43 Prozent).
Vertrauen ist gut, Kontrolle ist besser
Klassische Security-Ansätze agieren so, dass sie jedem bekannten Nutzer vertrauen, der sich rechtmäßig mit den richtigen Log-in-Informationen im Netzwerk anmeldet. Sie schätzen nur den externen Datenverkehr als gefährlich ein. Doch Phishing-Attacken, Social Engineering oder das Ausnutzen von Sicherheitslücken geben Cyberkriminellen auch Zugang zu Login-Informationen, sodass der Perimeter-basierte Ansatz nicht mehr funktioniert.
Moderne Tools verfügen hingegen über eine Zero-Trust-Architektur. Durch Sie können auch kleinere Unternehmen Sicherheitsfunktionen implementieren, die in großen Konzernen zum Standard gehören. Das Konzept basiert darauf, grundsätzlich keinem Gerät, Anwender oder Dienst zu vertrauen, der oder das nicht ausreichend verifiziert ist. Das gilt auch für bereits bekannte Nutzer und Geräte innerhalb des eigenen Netzwerks. Jeder einzelne Zugriff auf Unternehmensdaten und -anwendungen wird erneut geprüft. Dazu setzen Sicherheitsverantwortliche Software Defined Perimeter (SDP) ein, um Netzwerkzugänge und Verbindungen nach dem Need-to-know-Prinzip zu sichern. Dabei erteilen sie Berechtigungen für Zugriffe nur, wenn sie für die anstehende Aufgabe des Nutzers erforderlich sind. Damit bleibt immer nachvollziehbar wer wann auf welche Informationen zugreift und wie sie sie nutzen. Bei Zero-Trust ist entscheidend, dass erst wenn ein IT-Administrator den Zugriff digital freigibt, der Server die Freigabe an den Laptop des Anwenders erteilt. es wird also immer noch von einem Menschen und nicht von einem Computer entschieden, wer Fernzugriff und Anwendungs- oder Dateifreigaben erhält.
