Fachartikel

Risikobasierter Ansatz für das Zero-Trust-Modell

Vertrauen ist gut, Kontrolle ist besser. Das Zero-Trust-Modell ist simpel: Es gibt keinen vertrauenswürdigen Netzverkehr. Doch wie wägen Administratoren am besten ab, welche Teile des Unternehmensnetzwerks und welche Daten der einzelne Benutzer tatsächlich benötigt? Oder von welchem Standort aus er die Daten abrufen darf, um die Zugriffsrechte auf ein absolutes Mindestmaß zu beschränken? Wie der Beitrag zeigt, ist ein risikobasierter Ansatz für Prävention, Erkennung und Reaktion von entscheidender Bedeutung.
Das Maß an dem Anwender entgegenbrachten Vertrauen wirkt sich stark auf den IT-Betrieb aus.
Die Ausgaben für die Sicherheit von Unternehmensnetzwerken steigen kontinuierlich. So haben Firmen in den vergangenen sieben Jahren weltweit mehr als eine Billion US-Dollar in Sicherheitslösungen investiert. Doch die Bedrohungslandschaft und die Risiken verändern sich in noch höherem Tempo. Unternehmen werden nicht mehr nur von außen mit Bedrohungen konfrontiert, die weitaus größere Gefahr geht von innen aus. Solche sogenannten Insider Threats resultieren nur sehr selten aus böswilligem Verhalten der Mitarbeiter. Oft gehen diese während der Arbeit fahrlässig mit Daten um, verwenden infizierte USB-Sticks oder nutzen unsichere Passwörter. Der Schaden für die Datensicherheit ist dabei häufig genauso hoch wie bei externen Angriffen – oder sogar noch größer.

Aufgrund dieser veränderten Bedrohungslage sind heute neue Denk- und Lösungsansätze bei der Absicherung der IT-Systeme gefragt. So geht das Zero-Trust-Modell etwa davon aus, dass niemandem vertraut werden kann, der in irgendeiner Weise am Netzwerkverkehr beteiligt ist. Demnach stellt jeder Akteur eine potenzielle Gefahr dar, vor der das Unternehmensnetz wirksam zu schützen ist. Dieser Ansatz erfordert ein extrem hohes Maß an Kontrolle: Je weniger Vertrauen vorausgesetzt werden kann, desto stärker muss der Netzverkehr überwacht werden – und desto höher ist auch das Sicherheitsniveau. Diese Denkweise führt zwangsweise zu einer Segmentierung der Netzwerke. Dabei werden diese zwischen den einzelnen Abteilungen oder anderen Unternehmenseinheiten getrennt und voneinander abgeschottet.

Limitierte Zugriffsrechte hemmen Produktivität
Dadurch leidet natürlich die Durchgängigkeit des Datenverkehrs. Es entstehen hohe Reibungsverluste, die die Prozesse verlangsamen und die Effizienz verringern. Zudem sind die Mitarbeiter starken Restriktionen unterworfen. Aufgrund limitierter Zugriffsrechte wird deren Produktivität gehemmt, was hohe Kosten nach sich zieht. Die maximale Sicherheit eines solchen Zero-Trust-Ansatzes muss also durch einen hohen Preis erkauft werden. Auf der anderen Seite würden ein Plus an Vertrauen und ein zu liberaler Umgang mit Zugriffsrechten zu einem unkalkulierbaren Sicherheitsrisiko führen.

Ein Administrator steht also immer vor der entscheidenden Frage, inwieweit den Mitarbeitern vertraut werden kann und in welchem Maß deren Befugnisse eingeschränkt werden müssen, um ein Höchstmaß an IT-Sicherheit zu gewährleisten. Softwarebasierte Sicherheitslösungen sollen diesen Entscheidungsprozess unterstützen und automatisieren. Dies funktioniert nur über eine vernünftige und realistische Abwägung von relevanten Sicherheitsrisiken. Die Systeme müssen zudem interne wie externe Bedrohungen gleichermaßen berücksichtigen und alle Bereiche der Infrastruktur überprüfen und absichern. Ähnlich wie ein Mensch entscheiden die Algorithmen traditioneller Sicherheitslösungen jedoch noch häufig in "Schwarz-Weiß-Manier": Sollen Zugriffe zugelassen oder komplett verweigert werden? Je nach Entscheidung erschwert dieser Ansatz es, einen Angriff bereits im Vorfeld zu verhindern oder schränkt die Produktivität von Mitarbeitern ein.
Flexibel auf dynamische Risiken reagieren
Bei der Vielzahl unterschiedlicher Sicherheitsbedrohungen ist jedoch ein höheres Maß an Flexibilität gefragt. Denn alle Menschen und Maschinen in einem Netzwerk, die so genannten "Entities", stellen ein dynamisches Risiko für Unternehmen dar, das sich innerhalb von Sekunden verändern kann. Dabei gilt es, Nutzer so wenig wie möglich in ihrer Arbeit einzuschränken. Zudem sollten Administratoren nicht mit großen Mengen von unnötigen Alerts konfrontiert werden. Sie müssen sich voll und ganz auf relevante, auffällige Entities und Aktivitäten konzentrieren können – ohne Rückstau von Warnmeldungen. Klassische Sicherheitslösungen helfen hier in der Regel nicht weiter. Als fragmentierte Einzelprogramme bieten sie keinen zuverlässigen Schutz vor dem Potenzial moderner Sicherheitsbedrohungen.

Eine praktikable Lösung hierfür bietet beispielsweise Risk Adaptive Protection (RAP) auf Basis eines so genannten Adaptive Trust Profile (ATP). Dabei handelt es sich um eine Sammlung von Eigenschaften, Mustern und Schlussfolgerungen einzelner Entities. Ausgefeilte Analytikalgorithmen sammeln hierbei die Daten von Sensoren – sei es aus Cloud-, Endpoint- oder Drittanbieteranwendungen. Modelle auf Grundlage von künstlicher Intelligenz (KI) setzen die Ereignisse in Kontext und berechnen einen Risikowert für jede Einheit auf Basis eines umfassenden Verhaltenskatalogs. Dieser enthält unzählige verschiedene Szenarien und wird ständig individuell auf das Unternehmen angepasst und erweitert. Greift ein bestimmter Nutzer etwa von einem anderen Ort als üblich auf Daten zu oder meldet er sich von einem bisher nicht verwendeten Gerät an, wird Alarm geschlagen: Das System stellt ein erhöhtes Risiko fest und ebnet den Weg für entsprechende Handlungsoptionen. Gleiches geschieht, wenn der Anwender spezielle Daten nutzen möchte, die nicht in seinen Aufgabenbereich fallen.

IT-Sicherheit im Einklang mit Produktivität und Effizienz
Noch weiter geht Forcepoint mit einer neuen, risikoadaptiven Sicherheitslösung namens Dynamic Data Protection (DDP). Im Gegensatz zu herkömmlichen Data Loss Prevention (DLP)-Systemen lassen sich damit interne Sicherheitsrichtlinien adaptiv an alle Endpunkte oder -geräte anpassen, ohne dass ein Administrator eingreifen muss. Dadurch können Unternehmen die Sicherheit von Nutzern und Daten problemlos mit Anforderungen hinsichtlich Produktivität und Effizienz in Einklang bringen. Die DDP-Lösung prüft sämtliche Risiken kontinuierlich und passt das Sicherheitslevel automatisch sowie situativ an die jeweiligen Anforderungen an. Dadurch lässt sich verhindern, dass sensible Daten aus dem Unternehmen abfließen können. Hierbei unterstützen moderne Analysemethoden, die den Umgang von Entities mit kritischen Daten und geistigem Eigentum fokussieren. Wichtige Kontextinformationen wie sich ändernde Risiken in Unternehmensnetzwerken werden so auf intelligente Weise in die Sicherheitsstrategie miteinbezogen.

Ein weiterer Vorteil: IT-Administratoren erhalten mehr Kontrolle und Wissen für die erfolgreiche Umsetzung von Zero-Trust-Modellen. Gleichzeitig lassen sich klassische Reibungspunkte minimieren, was die Sicherheitsteams in IT-Abteilungen entlastet und zur Produktivitätssteigerung beiträgt. Zudem wird die Zeit für das Erkennen von Risiken auf wenige Sekunden reduziert. Somit können sich Administratoren weg von reaktiven Ja- und Nein-Bewertungen hin zu dynamisch bewerteten, risikobasierten Sicherheitsentscheidungen bewegen. Der DDP-Ansatz verbindet quasi intelligente Algorithmen zur Bedrohungserkennung mit modernen Methoden der Verhaltensforschung. Somit lässt sich das individuelle und sich stets wandelnde Verhalten von Mensch und Maschine umfassend verstehen und ein weitreichender, adaptiver Schutz vor verschiedensten Risiken für das Unternehmensnetzwerk realisieren.

Fazit
Die Risiken und Gefahren für Unternehmensnetzwerke nehmen kontinuierlich zu. Dabei spielen Bedrohungen von innen eine immer größere Rolle. Um maximale Sicherheit zu gewährleisten, sollte nach dem Zero-Trust-Prinzip keinem Beteiligten im Netzverkehr vertraut werden. Dies führt zwangsweise zu starken Restriktionen für Mitarbeiter und eingeschränkten Befugnissen und Zugriffsrechten, was die Effizienz der Geschäftsprozesse beeinträchtigt und die Produktivität lähmt. Moderne, adaptive Dynamic-Data-Protection-Lösungen auf Basis von Adaptive Trust Profiles analysieren das Verhalten von Nutzern und leiten daraus Risiken für die Sicherheit des Firmennetzwerks ab. Administratoren können so von einem optimalen Verhältnis zwischen IT-Sicherheit und Produktivität der Unternehmensabläufe profitieren.
9.10.2019/ln/Carsten Hoffmann, Manager Sales Engineering bei Forcepoint

Nachrichten

Besser im Blick [18.10.2019]

Axis Communications, Anbieter netzwerkbasierter Video-, Audio- und Zutrittskontrolllösungen, kündigt mit der "AXIS Companion version 4" die neueste Version seiner Software zur Verwaltung von Sicherheitssystemen an. Das Produkt bietet einige erweiterte Funktionen, unter anderem lassen sich Warnmeldung direkt an ein mobiles Gerät senden und die Systemverwaltung per Fernzugriff tätigen. [mehr]

Hybride Umgebungen im Blick [17.09.2019]

tribe29 kündigt mit "Checkmk 1.6" die jüngste Ausgabe seines Monitoringwerkzeugs an. Die ab dem 24.09.19 erhältliche Version enthält verbesserte Funktionen zum Überwachen von Cloudumgebungen und Containern und kommt mit einem neuen Dienst zum dynamischen Konfigurieren von Hosts. Bei den erhältlichen Plug-ins gab es einen deutlichen Sprung nach oben. [mehr]

Tipps & Tools

Jetzt bestellen: "PowerShell" und "Windows 10 im Unternehmen" [11.11.2019]

In seiner Kompakt-Buchreihe bündelt IT-Administrator die besten Artikel zu ausgesuchten Themen. Das neue Buch "PowerShell" beleuchtet den Einstieg in das Framework und stellt unter anderem die Systemverwaltung mit Cmdlets sowie Skripten vor. Wieder erhältlich ist außerdem der Verkaufsschlager "Windows 10 im Unternehmen", diesmal als Kindle-Version. Darin erfahren Sie als Administrator alles Wissenswerte rund um den Betrieb von Windows 10. [mehr]

Bibliotheken in PRTG nutzen [27.10.2019]

Remote Probes helfen beim Überwachen der IT-Infrastruktur. Damit beispielsweise der Datenbank-Admin einen Überblick über alle Datenbankserver hat, muss er aber im Gerätebaum zwischen den einzelnen Probes wechseln. PRTG kann hier weiterhelfen, mit Bibliotheken können Sie zusätzliche individuelle Ansichten Ihrer Gerätestruktur erzeugen und entsprechend Ihren Wünschen anordnen. [mehr]

Buchbesprechung

Windows Server 2019

von Peter Kloep, Karsten Weigel, Kevin Momber, Raphael Rojas und Annette Frankl

Anzeigen