Zum jetzigen Zeitpunkt sollten sich Unternehmen und Organisationen (hoffentlich) mit dem Gedanken angefreundet haben, dass ihre IT nie zu 100% sicher sein kann und dass es jede Firma – egal wie gross, in welchem Wirtschaftssektor oder wie attraktiv – immer treffen kann. Wenn man Seiten wie Ransomware.live, Konbriefing.com oder den X-Account wie jenen des DarkWebInformers verfolgt, kann man sich eines sicher sein: Es ist nur eine Frage der Zeit, bis man selbst betroffen ist.
Genau aus diesem Grund müssen Unternehmen und Organisationen moderne IT-Sicherheitsstrategien entwickeln, um auf Cybervorfälle vorbereitet zu sein.
Was bedeutet in dem Fall „modern“?
Früher war Cybersicherheit oberflächlich „relativ“ einfach zu verstehen. Die IT-Organisation hat sich mit dem Netzwerkperimeter eine Burgmauer gebaut, welche die eigene Organisation von der bösen Aussenwelt schützt. Eingänge in die Burg rein wurden nur über Firewalls oder VPNs zugelassen. Ansonsten war alles gegenüber aussen abgeriegelt.
Doch in der heutigen digitalen Welt reicht die Burgmauer des Netzwerkperimeters schlicht und einfach nicht mehr. Die Art und Weise wie wir zusammenarbeiten, die Verteilung der Daten über die Cloud und SaaS-Applikationen oder die physische Unabhängigkeit des Arbeitens stellen die Herausforderung an ein Unternehmen, ihre Burgmauer zu öffnen. Die Netzwerkgrenzen verschwinden.
Unternehmen müssen also ihre IT-Sicherheitsstrategie diesen Gegebenheiten ausrichten und entsprechend moderne Ansätze finden, sich dagegen zu schützen.
Das Problem mit moderne IT-Sicherheitsstrategie = Zero Trust
Zero Trust wurde in den letzten Jahren durch die Marketing- und Salesfolien von Cybersecurity-Anbietern geschleift wie kein anderer Begriff im Cybersecurity Raum. Im Zusammenhang mit der entsprechenden „Zero Trust Lösung“ des Anbieters wurde Zero Trust als der Heilsbringer gegenüber der dunklen Welt der Cybersicherheit angepriesen. Das hat dazu geführt, dass das eigentliche Verständnis zu Zero Trust gar nicht übermittelt wurde.
Zero Trust ist weder eine Lösung, noch eine Technologie, noch eine IT-Sicherheitsstrategie. Das Zero Trust Security Framework ist ein Werkzeugkoffer, um sich gegen die Risiken und Gefahren der modernen digitalen Welt zu schützen. Punkt.
Und was Unternehmen und Organisationen im Zusammenhang mit IT-Sicherheit unbedingt begreifen müssen ist, dass dieser Werkzeugkoffer des Zero Trust Security Frameworks die einzige Option ist, um sich gegen diese Risiken und Gefahren zu schützen.
Was muss eine moderne IT-Sicherheitsstrategie beinhalten?
Eine moderne IT-Sicherheitsstrategie muss einen Plan beinhalten, wie man sich gegenüber den Gefahren und Risiken der digitalen Welt heute und zukünftig schützen will. Und da kommt die Toolbox von Zero Trust zum Zug. Denn der essenziellste Bestandteil von Zero Trust ist, dass die Identität den Netzwerkperimeter als primären Sicherheitsfaktor ablöst. Bei einer modernen IT-Sicherheitsstrategie muss sich also alles um die Identität drehen.
Warum ist die Identität so wichtig? Früher kam die Verifizierung einer Zugriffsberechtigung vor allem darüber, ob sich ein Benutzer im Netzwerk bzw. im Netzwerksegment befand oder nicht – einfach gesagt. Da diese Netzwerkgrenzen nicht mehr existieren, muss eine andere Verifizierung der Zugriffsberechtigung stattfinden – die Identität. Grundsätzlich kann man sich das nun so vorstellen, wie in den James Bond Filmen. Wenn jemand irgendwo Zutritt haben wollte, musste er sich authentifizieren (Bei James Bond war es bspw. über Fingerscanner, Irisscanner, you name it). Genau das passiert nun in der IT auch. Die Identität wird zum führenden Sicherheitsfaktor und das Element (Benutzer, Gerät, Applikation, etc.) muss verifizieren können, dass es jenes ist, für das es sich ausgibt.
Wenn die Identität also zum primären Sicherheitsfaktor wird, muss ich als Organisation wissen, welche Identitäten bei mir im Unternehmen vorhanden sind. Und Identitäten sind nicht nur jene von Mitarbeitenden oder generell Benutzern. Identitäten können Service Accounts, Enduser Devices, Netzwerkkomponenten, Applikationen, Server, IoT Systeme, etc. sein. Alles hat eine Identität. Ein Inventar ist also unabdingbar.
Anhand des Inventars und dem generellen Verständnis des eigenen Geschäfts müssen die „Kristalle und Juwelen“ identifiziert werden. Sprich, welche Elemente sind zum wirtschaftlichen Betrieb des Unternehmens erforderlich (Welche Systeme produzieren das Geld). Für diese Elemente müssen die Risiken und Gefahren identifiziert und schlussendlich ein Massnahmen-Plan abgeleitet werden, diese zu sichern und zu schützen.
Ein weiterer Teil dieses Security-Plans muss das Thema „Incident Detection & Response“ sein. Wie finden wir als Organisation heraus, dass ein Cybervorfall stattfindet und wie reagieren wir drauf? Diese Hauptfrage führt zu vielen weiteren Folgefragen, die sich Organisationen stellen müssen. Begriffe wie Monitoring und Logging sowie Business Continuity Management sind in diesem Zusammenhang essenziell, um sich auf Sicherheitsverletzungen vorzubereiten und entsprechend schnell reagieren zu können.
Sämtliche Komponenten und Elemente aus diesem Security-Plan müssen, aufbauen auf dem Sicherheitsfaktor der Identität, ineinanderfliessen und dadurch einen gesamtheitlichen Cybersecurity-Schutz bilden.
Fazit
Die Identität ist in modernen IT-Sicherheitsstrategien ein essenzieller Faktor. Sämtliche Aspekte müssen also darum herum aufgebaut werden. In erster Linie müssen sich Organisationen folgende Fragen stellen:
- Was sind meine Identitäten in der Organisation?
- Auf welche Ressourcen greifen meine Identitäten zu?
- Welche Ressourcen sind besonders schützenswert?
- Wie kann ich den Zugriff meiner Identitäten auf die Ressourcen kontrollieren?
- Wie verfolge ich den Zugriff meiner Identitäten auf die Ressourcen?
- Wie kann ich Anomalien der Zugriffe meiner Identitäten feststellen?
- Wie reagiere ich auf Anomalien und Sicherheitsverletzungen, um den Geschäftsbetrieb meiner Organisation zu gewährleisten?
Basierend auf diesen Informationen kann eine pragmatische und gesamtheitliche IT-Sicherheitsstrategie entwickelt werden. 🛡️