Cybersicherheit Zero Trust: Vertrauen ist gut, Kontrolle ist besser

Immer häufiger werden Krankenhäuser und Kliniken von Hackern angegriffen. Für die Patientenversorgung kann das gravierende Folgen haben. Ein Ansatz, der vor diesem Hintergrund zunehmend auch im Gesundheitswesen diskutiert wird, ist das IT-Sicherheitskonzept „Zero Trust“. Es verspricht besonders hohe Sicherheit.

Kaum ein Unternehmen in Deutschland bleibt von Cyberattacken verschont, wie eine Studie im Auftrag des Digitalverbands Bitkom zeigt. Mehr als 1.000 Unternehmen verschiedener Branchen wurden repräsentativ befragt: 84 Prozent der Unternehmen waren in den 12 Monaten vor der Umfrage von Datenklau, Spionage oder Sabotage betroffen. Besonders Cyberangriffe aus Russland und China sind sprunghaft angestiegen. Datenpannen kommen Unternehmen teuer zu stehen: Laut dem jährlichen Bericht von IBM „Cost of a Data Breach Report” für den in mehr als 3.600 Interviews Mitarbeiter aus 550 Unternehmen in 17 Ländern und über 17 Branchen hinweg zu Datenschutzvorfällen befragt wurden, erreichten die durchschnittlichen Kosten einer Datenpanne im Jahr 2022 ein Allzeithoch von 4,35 Millionen Dollar, knapp drei Prozent mehr als im Vorjahr (2021: 4,24 Mio. USD). Die Folgen sind aber nicht nur finanziell: Ransomware-Attacken auf Krankenhäuser können für Patienten mitunter tödlich enden.

Das Thema Cybersicherheit gewinnt folglich immer mehr an Bedeutung und die Beseitigung von Netzwerk­schwächen stehen bei vielen Entscheidungsträgern in Unternehmen ganz oben auf der Tagesordnung. Zero Trust ist in diesem Zusammenhang eines der wichtigsten Buzzwords. Doch was ist Zero Trust genau, woher stammt das Konzept und was sind die Vorteile einer Zero Trust Architecture (ZTA)?

Was ist Zero Trust?

Zero Trust, auch bekannt als „perimeterlose” Sicherheit, ist ein Sicherheitsmodell, das auf einem Rahmen von Prinzipien für die Gestaltung und Implementierung von IT-Systemen basiert, um Cyber-Bedrohungen in zunehmend dezentralisierten Umgebungen zu begegnen.

Da immer mehr Mitarbeiter heute remote auf die Ressourcen der Organisation zugreifen und Anwendungen nicht mehr zwangsläufig im eigenen Rechenzentrum liegen, sondern in Multiple-Cloud-Umgebungen, heißt das Sicherheits-Prinzip in der neuen IT-Welt nicht mehr Firewall, sondern Zero-Trust.

„Zero Trust” vertraut – wie der Name vermuten lässt – absolut niemandem. Benutzer müssen authentifiziert, autorisiert und kontinuierlich überprüft werden, bevor sie Zugriff auf Systeme und Daten erhalten. Der klassische perimeterbasierte Sicherheitsansatz stellt lediglich den Schutz der Grenzen zum Unternehmensnetzwerk sicher. Der Einstiegspunkt für Hacker ist aber oft nicht der Zielort innerhalb eines Netzwerks. Stattdessen identifizieren sie eine Schwachstelle in einem Bereich und bewegen sich seitlich, bis sie ihr Ziel erreichen. ZTA verhindert dies, indem es Nutzer dazu zwingt, sich an mehreren Stellen zu identifizieren, was den Schaden, den ein Angreifer anrichten kann, ganz entscheidend begrenzt.

Zero Trust ist kein neues Konzept. Es wurde erstmals 2009 von John Kindervag, einem ehemaligen Chefanalysten bei Forrester Research, vorgestellt. In den letzten zwei Jahren ist seine Popularität jedoch explodiert. Der Trend wurde zweifelsohne durch die Zunahme von Remote-Arbeitsplätzen und die verstärkte Nutzung der Cloud beschleunigt. Ganz zu schweigen von der sprunghaft ansteigenden Zahl von Cyberangriffen weltweit.

„Alles schön und gut, aber wie kann ich Zero Trust in der Praxis umsetzen?"

Es gibt kein Patentrezept für die Umsetzung von ZTA. Organisationen sollten jedoch in der Regel Folgendes berücksichtigen:

• Identitätsverwaltung: Krankenhäuser und Kliniken müssen sicherstellen, dass sie alle Benutzeridentitäten durch robuste Richtlinien und Zugriffsberechtigungen verwalten und sichern. Rollenbasierte Zugriffskontrollen unterstützen sie bei der Durchsetzung dieser Richtlinien. Benutzerrollen gewährleisten den Zugriff auf Systeme und Anwendungen, die diese Rollen für ihre Arbeit benötigen.

• Privilegiertes Zugriffsmanagement (PAM): Privilegierte Konten stellen ein besonders hohes Sicherheitsrisiko dar, da sie ein hohes Maß an sensiblen Informationen preisgeben können. Privileged Access Management (PAM) hält sich an das Prinzip der geringsten Privilegien, indem Dritten oder Administratoren durch eine granulare Richtlinienkontrolle auf Systemebene gerade genug Zugriff gewährt wird, um eine Aufgabe zu erledigen.

• Multifaktor-Authentifizierung (MFA): Einer der häufigsten ersten Angriffsvektoren sind kompromittierte Benutzeranmeldeinformationen, und genau das soll mit MFA verhindert werden. Diese Sicherheitsebene erfordert verschiedene Authentifizierungsmethoden, bevor der Zugriff auf ein System oder eine Anwendung gewährt wird: Etwas, was Nutzer wissen (Passwort oder PIN), etwas, das sie haben (Smartphone oder Token), und etwas, das sie sind (biometrische Daten).

• Einmalanmeldung (SSO): 57 Prozent der Nutzer geben zu, dass sie ihre Passwörter auf Notizzetteln notieren und viele andere teilen ihre Anmeldedaten mit Kollegen. SSO (Single Singn-On) ermöglicht es Unternehmen, eine höhere Sicherheit zu implementieren, da Nutzer sich nicht mehr an Benutzernamen und Passwörter erinnern und diese wiederholt eingeben müssen, um auf Systeme zuzugreifen.

• Zero Trust Policy Engine: Das ist das „Gehirn” der ZTA. Die Parameter für ihre Policy Engine, also ihre Richtlinien, legen die Einrichtungen selbst fest. Jedes Mal, wenn eine digitale Identität, sei es eine Person oder eine Maschine, versucht, auf eine Unternehmensressource zuzugreifen, wird die ZTA-Policy-Engine gefragt, ob sie darauf zugreifen darf. Wenn das digitale Identitätsmanagement engmaschig ist, kann die ZTA-Policy-Engine auch verwendet werden, um einige Anforderungen an Benutzernamen oder Kennwörter sowie MFA-Anforderungen zu entfernen. So können sie die Sicherheit verbessern und gleichzeitig den Zugang erleichtern.

Auf der nächsten Seite: Identitäts- und Zugriffsmanagement

Identitäts- und Zugriffsmanagement – bringt Ordnung in das Haus

Die effektive Verwaltung und Sicherung digitaler Identitäten ist wohl die wichtigste Komponente von ZTA. Einfach ausgedrückt: Ohne eine Strategie für das Identitäts- und Zugriffsmanagement (IAM) können auch Einrichtungen im Gesundheitswesen Zero Trust vergessen. Oder zumindest alle Vorteile, die sich daraus ergeben.

Es gibt eine Vielzahl von Tools, die Unternehmen bei der Implementierung ihrer IAM-Strategie einsetzen können, aber der Einsatz der oben genannten Lösungen schafft nicht zwangsläufig alle Probleme aus dem Weg. In den meisten Organisationen sind noch eine Reihe von Altsystemen vorhanden und es ist üblich, ein Tool für PAM, ein anderes für MFA, ein drittes für SSO usw. zu verwenden. Ohne es zu beabsichtigen, führen Unternehmen mit dieser Art von fragmentiertem Ansatz oft genau die Risiken ein, die sie zu vermeiden versuchen.

Stattdessen sollten vorausschauende Einrichtungen versuchen, diese Tools mit einer einheitlichen Strategie zu konsolidieren, die Lücken beseitigt und einen einzigen Kontrollpunkt ermöglicht.

Alles in allem kann man die Herausforderungen im Zusammenhang mit der Cybersicherheit, mit denen Unternehmen derzeit konfrontiert sind, kaum überschätzen. Für viele geht es zunächst darum, herauszufinden, wie sie ihre Systeme, Daten und Nutzer schützen können. Aber wenn sie mit der akuten „Brandbekämpfung“ fertig sind, kommen sie an der Implementierung von ZTA – auf der Grundlage einer effektiven Identitäts- und Zugriffsmanagementstrategie – nicht vorbei.

(ID:49242758)