Zero Trust: Behörden können von der Industrie lernen
Ein Mindestmaß an Sicherheit reicht angesichts der weltweit organisierten Cyberkriminalität weder für Unternehmen noch für Behörden oder die öffentliche Verwaltung heutzutage aus. Zu groß gestalten sich die Angriffsflächen von Netzinfrastrukturen, wenn Anwendungen in die Cloud verlagert werden und Mitarbeitende von überall aus arbeiten. Im Zuge der Transformation in die Cloud hat die Industrie in der letzten Dekade bereits Erfahrungswerte sammeln können, wie durch Architekturen auf Basis der Zero Trust Prinzipien ein Redesign der Konnektivität durch moderne Sicherheit erreicht werden kann. Da die öffentliche Hand nun verstärkt in die Cloud strebt, können Kommunen, Behörden und die Verwaltung als auch das Gesundheitswesen von den Erfahrungen profitieren.
Heute müssen sich sowohl Unternehmen als auch Behörden eingestehen, dass eine Kompromittierung der IT-Umgebung ein ernstzunehmendes Risiko darstellt. Herkömmliche Schutzmaßnahmen, Angreifer durch Sicherheit am Netzwerkperimeter zu blocken, greifen in digitalisierten Umgebungen nicht mehr lückenlos. Durch die Verlagerung von Applikationen und Workloads in Multicloud-Umgebungen und mobile Mitarbeitende wurde ein Großteil der Datenströme ins Internet verlagert.
Unternehmen haben ihr Lehrgeld dahingehend bezahlt, dass sie nach der Implementierung von Applikationen in der Cloud auch ihre Infrastruktur adaptieren mussten. Wenn Anwendungen das interne Rechenzentrum verlassen, aber nach wie vor Hub-& Spoke-Netzwerke eingesetzt werden, gehen die Vorteile der Cloud hinsichtlich Agilität und Flexibilität verloren. In einer solchen zentralisierten Netzwerkarchitektur müssen die Datenströme vom User zur Anwendung in der Cloud über die am Perimeter angesiedelten Sicherheitsmechanismen umgeleitet werden.
In der Folge leiden Mitarbeitende in Zweigstellen, Niederlassungen oder im Homeoffice unter großen Latenzen beim Zugriff auf ihre Cloud-basierten Anwendungen. Der ungewollte Nebeneffekt ist ein steigendes Sicherheitsrisiko, da sich die User nicht selten für den direkten – aber ungesicherten Zugriff – auf ihre Anwendungen im Internet entscheiden. Zudem hat sich VPN-Infrastruktur in Zeiten des mobilen Arbeitens als angreifbar erwiesen, da Bedrohungsakteure gezielt Schwachstellen als Einfallstor für Angriffe ausnutzen.
Unternehmen haben gelernt, dass digitalisierte Arbeitsumgebungen mit einem Redesign der Sicherheitsarchitektur einhergehen müssen. Wenn Anwendungen in der Cloud vorgehalten werden und Mitarbeitende den mobilen Zugriff fordern, muss die Sicherheit auf dem direkten Pfad zwischen Applikation und User angesiedelt sein, um von den Vorteilen der Cloud zu profitieren. Anstelle des klassischen Perimeterschutzes tritt User-zentrierte Sicherheit, die durch das Konzept von Zero Trust gewährleistet wird.
Anwenderfreundlichkeit und Sicherheit im Fokus
Heute werden in der Privatwirtschaft Entscheidungen Richtung Cloud aufbauend auf den Faktoren Kosten, Sicherheit, Performanz und Anwenderfreundlichkeit gefällt. Nachdem man die Agilität der Cloud nicht erst seit der Pandemie mit den Anforderungen an den flexiblen Arbeitsplatz kombiniert, ist man sich hier der Bedeutung des Zusammenspiels der Faktoren bewusst. Aus Gründen der Wettbewerbsfähigkeit wird vom Silodenken Abstand genommen, und Applikationen, Netzwerk- und Sicherheitsansätze werden ganzheitlich modernisiert.
Die Sicherheit und Performanz beim Zugriff auf benötigte Anwendungen und Services stehen dabei im Mittelpunkt der Diskussion. Wenn sich nun Behörden neu in der Cloud aufstellen und moderne Services und Arbeitsumgebungen implementieren, dann stehen sie vor ähnlichen Herausforderungen wie Unternehmen. Und dort beschäftigen sich bereits 92 Prozent der Unternehmen, die auf die Cloud setzen, laut einer Studie zum Status der Transformation auch mit dem Thema Zero Trust. Die öffentliche Verwaltung tut also gut daran, aus den Fehlern der Industrie zu lernen und Sicherheit von vornherein mit der Digitalisierung zu verschmelzen.
Vertrauen in Zero Trust aufbauen
Im Zuge der fortschreitenden Digitalisierung hat die Motivation, sich auch mit Zero Trust zu beschäftigen, stark zugenommen. Dabei setzt sich die Erkenntnis durch, dass es sich bei dem Zero Trust-Ansatz nicht um ein Produkt von der Stange handelt, sondern um ein grundlegend anderes Konzept für Sicherheit, das an den jeweiligen Bedarf der Organisation angepasst werden kann. Es wird dabei von einer Kompromittierung der Infrastrukturen oder des einzelnen Geräts ausgegangen und durch Maßnahmen die Angriffsfläche der Organisation und damit potenzieller Schaden minimiert. Das Vertrauen wird zurückerlangt, indem User bzw. Geräte nach Authentifizierung und Verifizierung Richtlinien-basiert ausschließlich auf ihre benötigten Ressourcen zugreifen dürfen.
Zero Trust als Konzept wurde bereits vor mehr als einer Dekade entwickelt, erhält aber durch die Digitalisierung von Unternehmen und der öffentlichen Hand heute mehr denn je an Relevanz. Durch Software-basierte Sicherheit stehen heute die Lösungsansätze zur Verfügung, die eine Umsetzung des Ansatzes ermöglichen. Die Zero Trust Exchange Plattform von Zscaler stellt einen solchen Lösungsansatz zur Verfügung, bei dem jede Verbindung von User, Workload, IoT- oder OT-Umgebungen und B2B-Anbindungen durch eine Sicherheitsplattform an der jeweiligen „Edge“ verifiziert wird. Auf Basis der Identität des jeweiligen Users und / oder Geräts werden auf direktem Weg autorisierte Verbindungen hergestellt. Da Anwendungen nicht mehr dem Internet ausgesetzt sind, besteht auch keine Angriffsfläche mehr, die von Bedrohungsakteuren ausgenutzt werden könnte, was gerade für sensible Behördendaten wichtig ist. Dabei müssen vorab Daten nach ihrer Sensibilität kategorisiert werden, um darauf aufbauend Zugriffsrechte und Schutzmechanismen zu definieren. Zusätzlich lassen sich laterale Bewegungen im Netzwerk unterbinden, wenn der Zugriff lediglich auf Ebene der jeweilig benötigten Applikationen autorisiert wird.
Damit ein solches Konzept auch im öffentlichen Bereich eingeführt werden kann, müssen auch hier Silos aufgebrochen werden. Bei der Digitalisierung gehören moderne Sicherheitskonzepte und IT-Initiativen von Anfang an mit eingeplant. Die Verantwortlichen für die Einführung Cloud-basierter Anwendungen sollten sich dazu mit Infrastruktur- und Sicherheitsverantwortlichen an den runden Tisch setzen. Durch strategische Planung von Beginn an wird der Komplexität entgegengewirkt und die Verwaltung kann aus den Fehlern der Industrie lernen und schneller in der Digitalisierung aufholen. Durch Zero Trust ist ein Lösungsansatz für Sicherheit in modernen Arbeitsumgebungen vorhanden – die Digitalisierungsstrategie des Bundes sollte die Weichen stellen, damit sie auch im öffentlichen Sektor Einzug hält, wie es in anderen europäischen Ländern bereits der Fall ist.
Mehr zum Thema Zero Trust erfahren Interessenten auf der PITS 2023 am 20. und 21. September in Berlin.
–
Kevin Schwarz, Head of Field CTO Europa und Asien