26. Januar 2021
«Zero Trust»: Was bringt der Ansatz für die Schweizer Cybersecurity?
von Reto Heutschi, Inseya AG
Spätestens seit dem Homeoffice arbeiten wir von irgendwo, nutzen Cloud- und On-Premises-Dienste auf privaten und firmeneigenen Geräten, geben sensible Informationen über ungesicherte Services weiter – und das oft ohne Zugriffseinschränkungen. IT-Security-Ansätze, die auf den Perimeterschutz setzen, greifen hier nicht mehr.
Cybersecurity in der Schweiz
Die Universität Oxford kommt in der vom Bund beauftragten Studie «Cybersecurity Capacity Review Switzerland 2020» zum Schluss, dass die Schweiz in puncto Cybersicherheit vor allem in den Bereichen Politik und Strategie sowie beim rechtlichen Regelwerk überzeugt. Dabei erachtet eine hohe Anzahl von KMU sich nicht als Zielscheibe für Angreifer, obwohl Cyberangriffe gegen Schweizer KMU keine Einzelfälle mehr sind. Dies bestätigt auch eine Studie des Marktforschungsinstituts GFS-Zürich: Ein Viertel aller Schweizer KMU wurde bereits mit einem Cyberangriff konfrontiert. Rund ein Drittel davon erlitt wegen eines Cyberangriffs finanziellen Schaden. Und jeder zehnte Angriff resultierte im Verlust von Kundendaten oder fügte dem Unternehmen schweren Reputationsschaden zu.
Das Nationale Zentrum für Cybersicherheit macht auf eine weitere Schwachstelle aufmerksam: Gemäss einer neuen Umfrage, auf die das Nationale Zentrum für Cybersicherheit (NCSC) Bezug nimmt, erlebten fast 80 Prozent der Unternehmen in den vergangenen 18 Monaten mindestens eine Verletzung ihrer Cloud-Daten. Über 40 Prozent meldeten zehn oder mehr Datenverletzungen. In diesem Zusammenhang waren fehlende Transparenz bei Zugriffen und Zugriffseinstellungen, Sicherheitsfehlkonfigurationen sowie Fehler im Identitäts- und Zugriffsmanagement die grössten Sorgen für die 300 befragten Informationssicherheitsverantwortlichen (CISO).
Der Perimeterschutz funktioniert nicht mehr
Heutzutage arbeiten immer mehr Mitarbeitende im Homeoffice-Modus. Laut der oben erwähnten KMU-Studie von GFS-Zürich waren 38 Prozent der Mitarbeitenden von Unternehmen, die auf Homeoffice umstellen können, während des Lockdowns im März von zuhause aus tätig. Nach dem Lockdown ging diese Zahl zwar wieder zurück, erhöhte sich aufgrund der im Januar 2021 verordneten Homeoffice-Pflicht allerdings wieder deutlich. Auch Services, die Mitarbeitende via Fernzugriff nutzen, und somit schützenswerte Daten werden ausserhalb der physischen Organisationsgrenzen verlegt.
Im Gegensatz zu diesen Entwicklungen konzentrieren sich die meisten aktuellen IT-Infrastrukturen allerdings auf den klassischen Perimeterschutz. Anders ausgedrückt: Allen Anfragen mit internen IP-Adressen vertraue ich, den anderen nicht. Vor dem Hintergrund einer Remote-Work-Arbeitskultur und zunehmender Cloud-Nutzung greift dieser Ansatz nicht mehr. Die Schweizer Cybersecurity braucht also einen neuen Ansatz.
Zero Trust – Never trust, always verify
Entsprechend dem Prinzip «Never trust, always verify» geht man bei Zero Trust davon aus, dass keinem Gerät, Nutzer oder Prozess mehr einfach so vertraut werden darf. Konkret heisst dies, dass jede Zugriffsanfrage neu verifiziert werden muss, bevor schützenswerte Daten freigegeben werden. Im Zentrum steht die Identität des anfragenden Benutzers. Dabei spielt es keine Rolle, ob sich die Anfragenden innerhalb oder ausserhalb der Organisation befinden.
Zusätzlich zur Identität können weitere Parameter wie der Benutzerkontext, der Gerätezustand oder die Geolokalisierung usw. verwendet werden. Die Idee ist, diese Schwellen dynamisch zu gestalten, also abhängig von Bedrohungslage, Verhalten, Ort der Anfrage, Zustand des anfragenden Gerätes, der Identität des Nutzers sowie weiteren Faktoren.
Absolute Sicherheit, wie dies im Rahmen der perimeterbasierten Infrastruktur meist angenommen wurde, existiert nicht. Erfolgreiche Angriffe gibt es. Das Ziel ist es aber, die negativen Folgen eines Vorfalls zu minimieren und danach die betroffene Infrastruktur schnell wieder lauffähig zu haben, Stichwort Cyber Resilienz.
Zero Trust in der Anwendung
Soweit zur Theorie – aber wie sollte man am besten mit der Umsetzung von Zero Trust anfangen? Chase Cunningham, Lead Analyst bei Forrester, nennt in diesem Zusammenhang drei Prinzipien, die als Minimalanforderung für Zero Trust gelten:
- Always verify: Jegliche Zugriffe müssen jedes Mal verifiziert werden
- Least Privilege Access: Nur so viel Zugriff gewähren wie unbedingt notwendig
- Assume breach: Grundsätzlich davon ausgehen, dass Cyberangriffe stattfinden
Während verschiedene Reifegrade von Zero Trust existieren, empfiehlt es sich, mit den machbaren Massnahmen zu beginnen und alle weiteren Aktivitäten auf Zero Trust auszurichten. Kein Big Bang also, sondern konsequent Schritt für Schritt auf ein konkretes Ziel hin arbeiten. Google mit seinem BeyondCorp-Framework ist schon länger genau so unterwegs, was man unter «BeyondCorp» nachlesen kann. Spannende Lektüre.
Über den Autor
Reto Heutschi ist Mitgründer und CEO des IT-Security-Unternehmens Inseya AG.
Quellen
- Cybersecurity Capacity Review Switzerland. June 2020: https://www.eda.admin.ch/content/dam/eda/en/documents/aktuell/news/2020_06_CMM_Switzerland.pdf
- Informationssicherung. Lage in der Schweiz und international. Halbjahresbericht 2020/I: https://www.melani.admin.ch/dam/melani/de/dokumente/2020/MELANI-HJB_2020-1_DE.pdf.download.pdf/MELANI-HJB_2020-1_DE.pdf
- Digitalisierung, Home-Office und Cyber-Sicherheit: https://www.fhnw.ch/de/die-fhnw/hochschulen/hsw/media-newsroom/news/digitalisierung-home-office-und-cyber-sicherheit
- DIGITALISIERUNG, HOMEOFFICE UND CYBERSICHERHEIT IN SCHWEIZER KMU: https://ictswitzerland.ch/publikationen/studien/digitalisierung-und-cybersicherheit-kmu/
Bild: zvg
Disclaimer: Inseya AG ist ein swissICT Firmen-Mitglied. Firmen-Mitgliedern steht unser Blog offen für Themen-Inputs und Fachartikel. Die Beiträge müssen journalistischen Anforderungen genügen und dürfen nicht werblich sein. Sie möchten auch einen Beitrag publizieren? Für Fragen dazu benutzen Sie gerne
var JFL_91543917781365 = new JotformFeedback({
formId: ‚91543917781365‘,
base: ‚https://form.jotformeu.com/‘,
windowTitle: ‚IHRE ANFRAGE‘,
background: ‚#ac202f‘,
fontColor: ‚#FFFFFF‘,
type: ‚1‘,
height: 500,
width: 700,
openOnLoad: false
});
dieses Kontaktformular.