Zur post-pandemischen Normalität globaler Unternehmen wird in Zukunft ebenso die verstärkte Nutzung digitaler Technologien wie flexiblere Arbeitsmodelle gehören. Doch obwohl Technologiegiganten wie Twitter und Facebook Schlagzeilen mit dem Versprechen machten, dass einige Mitarbeiter für immer von zu Hause aus arbeiten zu können, ist die Realität für die meisten Arbeitgeber wahrscheinlich weniger klar. Mehr als 60 % der Unternehmen planen hybride Arbeitsmodelle einzuführen, bei denen die Mitarbeiter einen Teil der Woche zu Hause und einige Tage im Büro verbringen. Damit werden jedoch auch neue Cyber-Risiken mit einhergehen, wie wir im ersten Beitrag dieser Serie skizziert haben, der sich mit den Herausforderungen für die Absicherung des hybriden Arbeitsplatzes beschäftigt.

Genau dafür wurde das Zero Trust-Modell entwickelt, das in einer neuen Präsidialverordnung bereits für US-Bundesbehörden vorgeschrieben wurde. Es erlaubt Organisationen in einer Welt mit flexiblen Arbeitsmodellen, Cloud-Architekturen und hartnäckigen Bedrohungsakteuren Cyber-Risiken zu minimieren.

Weitere Artikel mit dem Themenschwerpunkt: Sicherheit am hybriden Arbeitsplatz
IT‑Sicherheit am hybriden Arbeitsplatz
Warum hybrides Arbeiten auf Cloud‑Sicherheit aufbaut
Insider-Bedrohungen am hybriden Arbeitsplatz

Die Herausforderungen beim Schutz des hybriden Arbeitsplatzes

CISOs von heute stehen unter unglaublichem Druck, Geschäftsgeheimnisse und Kundendaten vor Diebstahl und geschäftskritische Systeme vor Service-Unterbrechungen zu schützen. Trotz steigender Sicherheitsausgaben nehmen Sicherheitsvorfälle weiter zu. Die Kosten von Cyberangriffen belaufen sich heute auf durchschnittlich fast 3,9 Millionen US-Dollar pro Vorfall, wobei Unternehmen normalerweise Hunderte von Tagen benötigen, bevor sie diese Angriffe entdecken und eindämmen.

Durch die massenhafte Fernarbeit und den zunehmenden hybriden Arbeitsplätzen entstehen für Bedrohungsakteure nun noch mehr Vorteile. Organisationen sind auf vielfache Weise gefährdet:

  • Abgelenkte Heimarbeiter, die eher auf Phishing-Links hereinfallen
  • Remote-Mitarbeiter, die möglicherweise unsichere private Laptops und mobile Geräte, Netzwerke und Smart-Home-Geräte für die Arbeit verwenden
  • Angreifbare VPNs und andere ungepatchte Software, die auf Heimsystemen ausgeführt wird
  • Schlecht konfigurierte RDP-Endpoints, die leicht über geleakte oder leicht zu erratende Passwörter gekapert werden können. ESET meldete einen Anstieg der RDP-Angriffe um 4.516 % im Jahr 2020
  • Cloud-Dienste mit schwachen Zugriffskontrollen (schlechte Passwörter und keine Multi-Faktor-Authentifizierung)

Warum Zero Trust?

Im Jahr 2009 entwickelte Forrester ein neues Informationssicherheitsmodell namens Zero Trust Modell, das inzwischen weithin akzeptiert und angewendet wird. Es wurde für eine Welt entwickelt, in der es nicht mehr ausreicht, alle Sicherheitsressourcen, um die eigenen Systeme und Netzwerke herum zu platzieren und dann allem zu vertrauen, was sich darin befindet. Das ist, aufgrund der verteilten Arbeit und der Allgegenwart der Cloud unsere heutige Realität.

Stattdessen setzt Zero Trust auf das Mantra „Niemals vertrauen, immer überprüfen“, um die Auswirkungen von Sicherheitsverletzungen zu reduzieren. In der Praxis gibt es drei grundlegende Prinzipien:

1) Alle Netzwerke sollten als nicht vertrauenswürdig behandelt werden

Dies sollte Heimnetzwerke, öffentliche WLAN-Netzwerke (z. B. in Flughäfen und Cafés) und sogar lokale Unternehmensnetzwerke umfassen. Bedrohungsakteure sind einfach zu entschlossen und fähig, als dass wir davon ausgehen könnten, dass es noch sichere Räume gibt.

2) Prinzip der geringsten Berechtigungen

Wenn alle Netzwerke als nicht vertrauenswürdig angesehen werden, müssen Sie dies auch für die Benutzer annehmen. Schließlich können Sie nicht garantieren, dass ein Konto nicht gehackt wurde oder dass ein Benutzer kein böswilliger Insider ist. Das bedeutet, dass Mitarbeiter gerade genug Berechtigungen bekommen sollten, um ihre Arbeit zu erledigen. Anschließend sollten die Zugriffsrechte regelmäßig überprüft und alle Rechte, die nicht mehr angemessen sind, regelmäßig entfernt werden.

3) Gehe von Sicherheitsvorfällen aus

Jeden Tag sind neue Cyberangriffe in den Medien. Deswegen sollten Unternehmen eine Kultur und Praxis der Wachsamkeit pflegen und ihre Abwehrkräfte durch eine Zero-Trust-Mentalität weiter verbessern. Sicherheitsverstöße sind letzten Endes unvermeidlich – es geht vielmehr darum, ihre Auswirkungen zu reduzieren.

Wie sich Zero Trust entwickelt hat

Als das Zero Trust-Modell im Jahr 2009 erstmals entwickelt wurde, war es noch sehr netzwerkzentriert. Im Laufe der Jahre hat es sich zu einem kompletten Ökosystem entwickelt. Im Zentrum stehen die kritischen Daten oder Geschäftsprozesse, die geschützt werden müssen. Um diese herum gibt es vier Schlüsselelemente: Die Personen, die auf diese Daten zugreifen können, die Geräte, die sie speichern, die Netzwerke, durch die sie zirkulieren, und die Workloads, die sie verarbeiten.

Nun hat Forrester noch eine weitere wichtige Ebene hinzugefügt: Automatisierung und Orchestrierung sowie Transparenz und Analyse. Diese integrieren alle tiefergehenden Kontrollen, die zur Unterstützung von Zero Trust erforderlich sind.

In dieser neuen Form ist Zero Trust ein perfektes Modell, um die Risiken eines hybriden Arbeitsplatzes zu mindern – einer Umgebung, in der die Sicherheitsbereiche sich stets verändern, verteilte Mitarbeiter ständig authentifiziert werden müssen und Netzwerke segmentiert werden, um die Ausbreitungsmöglichkeiten von Bedrohungen zu reduzieren. Im Verlauf der Pandemie wurde auch deutlich, dass VPNs in vielen Fällen nicht darauf ausgelegt waren, eine große Anzahl von Fernarbeitern mit einer zuverlässigen Anbindung an das Unternehmensnetzwerk zu versorgen – sowohl im Hinblick auf den eingehenden Datenverkehr als auch bei der ausgehenden Last bei Patch-Auslieferungen. Und sie sind zunehmend auch selbst ein Ziel, wenn sie ungepatcht bleiben und schlecht geschützt werden. Zero Trust ist auf längere Sicht die bessere Option.

Wie Sie mit Zero Trust starten können

Die neuesten Daten deuten darauf hin, dass fast drei Viertel (72 %) aller Unternehmen Zero Trust planen (42 %) oder bereits eingeführt haben (30 %). Die gute Nachricht ist, dass dies keinen großen Aufwand erfordert.

Vermutlich verwenden Sie bereits viele der Tools und Techniken, die für den Einstieg erforderlich sind. Dazu gehören:

Personen: Rollenbasierte Zugriffskontrollen, Multi-Faktor-Authentifizierung, Kontentrennung.

Workloads: Die meisten Cloud-Anbieter bauen hier Kontrollen ein. Organisationen sollten diese verwenden, um den Zugriff auf verschiedene Workloads zu reduzieren. und eine gute Politik durchsetzen.

Geräte: Mittels Asset Management verstehen Sie besser, welche Geräte Sie besitzen. Verwenden Sie dann Endpoint Detection and Response (EDR), hostbasierte Firewalls und mehr, um diese Assets zu schützen und seitliche Ausbreitungen von Malware zu verhindern.

Netzwerke: Mikrosegmentierung ist hier wichtig. Verwenden Sie Netzwerkgeräte wie Router und Switches in Kombination mit Access Control Lists (ACLs), um einzuschränken, wer und was mit verschiedenen Teilen des Netzwerks kommunizieren kann. Wichtig ist auch der Umgang mit Schwachstellen.

Daten: Klassifizieren Sie Ihre Daten und sorgen Sie mit Verschlüsselung dafür, dass ihre Daten sicher gespeichert und übertragen werden. Auch die Überwachung der Dateiintegrität und die Verhinderung von Datenverlust tragen zur Datensicherung bei.

Schließlich geht es um das Management und die Automatisierung der Sicherheitstools und die Nutzung von Datenanalysefunktionen. Das verschafft Security-Teams das nötige Situationsbewusstsein, um ihre Arbeit effektiv zu erledigen.