In der Vergangenheit konnten Unternehmen kontrollieren, wie, wann und wo ihre Mitarbeiter auf sensible Daten zugegriffen haben. Im Zeitalter von Hybrid- und Fernarbeit können sich Mitarbeiter nun von jedem Ort aus und mit fast jedem Gerät in Unternehmensnetzwerke einloggen. Den Schutz von Daten und Mitarbeiterzugriff in Einklang zu bringen, ist keine leichte Aufgabe. Hier kommen Zero-Trust-Lösungen für den Remotenzugriff ins Spiel.
Zero-Trust-Lösungen sind keine einzelne Hardware oder Software, sondern eine Sammlung von Tools und Prozessen, die Unternehmen dabei helfen, Remote-Zugriff und Cybersicherheit in Einklang zu bringen. Die Zero-Trust-Philosophie basiert auf einem einfachen Prinzip: „Vertrauen ist gut, Kontrolle ist besser.“ Wir stellen fünf Lösungen vor, die Ihre Organisation implementieren kann, um die Sicherheit zu erhöhen, ohne Ihre Mitarbeiter zu belasten. Strenge Authentifizierungsverfahren, „Least-Privilege“-Zugriffsprinzipien und ausgefeilte Analysen können Mitarbeiter stärken und potenzielle Bedrohungen abwehren.
Was sind Zero Trusted Remote Access-Lösungen?
Zero Trust Remote Access-Lösungen bezeichnen Verfahren oder Technologien, die Benutzern standardmäßig misstrauen. Während viele Systeme Benutzern vollständigen Zugriff gewähren, solange sie einen legitimen Benutzernamen und ein Passwort angeben, geht ein Zero-Trust-System davon aus, dass der Benutzername und das Passwort kompromittiert sind, bis das Gegenteil bewiesen wird.
Arbeitnehmer können ihre Identität in Zero-Trust-Systemen mithilfe von Multi-Faktor-Authentifizierung (MFA), vom Unternehmen bereitgestellten Geräten, bekannten IP-Adressen und vertrauten Anmeldeseiten überprüfen. Das System kann sie auch nach jeder Sitzung abmelden und in regelmäßigen Abständen Anmeldeinformationen anfordern. Diese gelegentlichen Herausforderungen sind für Mitarbeiter nur geringfügige Unannehmlichkeiten, für Bedrohungsakteure jedoch große Stolpersteine – selbst wenn sie einen Benutzernamen und ein Passwort erhalten.
Um die besten Zero-Trust-Lösungen für Ihre Organisation zu finden, bewerten Sie Ihre aktuelle Sicherheitslage und entwickeln Sie daraus eine Strategie. Implementieren Sie neue Lösungen nacheinander und stellen Sie sicher, dass Mitarbeiter weiterhin mit den benötigten Dateien arbeiten können. Arbeiten Sie mit den Mitarbeitern zusammen, um das richtige Gleichgewicht zwischen Zugriffs- und Zero-Trust-Prinzipien zu finden.
Bevor Sie beginnen, sollten Sie sich darüber im Klaren sein, dass Sie möglicherweise einige Ihrer vorhandenen Tools ausmustern müssen. Wenn Sie beispielsweise nach einem Zero-Trust-VPN suchen, werden Sie möglicherweise keines finden. VPNs sind ältere Tools, bei denen der Zugriff tendenziell Vorrang vor der Sicherheit hat. Die Implementierung von Zero-Trust-Protokollen bedeutet, dass man offen für neue Software, Best Practices und Arbeitsabläufe sein muss.
5 Zero-Trust-Lösungen, die Sie implementieren sollten
Multi-Faktor-Authentifizierung
Von allen potenziellen Zero-Trust-Lösungen für den Remote-Zugriff ist MFA eine der am einfachsten zu implementierenden. Bei einer MFA-Einrichtung reicht die einfache Eingabe eines Benutzernamens und eines Passworts nicht aus. Ein System verlangt einen zweiten Zugangscode, der in der Regel per SMS, E-Mail oder über eine andere dedizierte Anwendung übermittelt wird. Während ein potenzieller Angreifer im Dark Web möglicherweise noch gültige Benutzernamen und Passwörter aus hochkarätigen Datenlecks findet, laufen MFA-Codes ab und werden etwa jede Minute neu generiert.
Mehr als die Hälfte aller Unternehmen weltweit nutzen MFA, und jedes Smartphone hat Zugriff auf eine Vielzahl zuverlässiger Authentifizierungstools. Und obwohl MFA nicht undurchdringlich ist, bietet sie eine zusätzliche Sicherheitsebene zwischen einem Angreifer und sensiblen Unternehmensdaten. Google hat festgestellt, dass einfache MFA-Praktiken 100 % der automatisierten Bots und mehr als zwei Drittel anderer gezielter Angriffe abwehren können.
Grundsatz „Least Privilege“
Nicht alle Mitarbeiter benötigen Administratorrechte, um ihre Arbeit zu erledigen. Sprechen Sie vor der Implementierung einer Zero-Trust-Sicherheitslösung mit Ihren Mitarbeitern, um festzustellen, welche Programme, Dateien und Berechtigungen sie für ihre Arbeit benötigen. Bei der Remote-Anmeldung sollten sie nur auf diese Tools und auf nichts anderes zugreifen können. Dies gilt als "Least Privilege"-Prinzip. Indem Sie den Fernzugriff auf bestimmte Anwendungen und Daten beschränken, begrenzen Sie die Menge an sensiblen Informationen, die ein Bedrohungsakteur extrahieren kann.
Wenn legitime Benutzer zusätzliche Berechtigungen benötigen, können sie sich direkt an die IT-Abteilung wenden oder sich von firmeneigenen Geräten in bekannten Netzwerken aus anmelden. Nur wenige Bedrohungsakteure sind so versiert, dass sie dies schaffen.
Nutzeranalyse
Mitarbeiter greifen in der Regel auf berechenbare Weise auf Daten zu, und zwar über ihre üblichen Produktivitäts-Apps, über dieselben Netzwerke und von denselben Standorten aus. User & Entity Behavior Analytics (UEBA) hilft Unternehmen, Zugriffe zu identifizieren, die außerhalb dieses Rahmens liegen.
Wenn sich beispielsweise jemand als Mitarbeiter eines Standorts ausgibt, an dem er weder lebt noch arbeitet, Informationen anfordert, die außerhalb seines Zuständigkeitsbereichs liegen, oder sich über ein neues Gerät anmeldet, würde UEBA diese Aktivität identifizieren und analysieren. Bei diesem Prozess werden Algorithmen für künstliche Intelligenz (KI) und maschinelles Lernen (ML) eingesetzt, um ungewöhnliches Benutzerverhalten zu erkennen. Wenn die IT-Abteilung verdächtiges Verhalten feststellt, kann die Abteilung den Zugriff bis zur weiteren Untersuchung sperren.
Kontinuierliche Authentifizierung
Ein weiterer wichtiger Bestandteil des Zero Trust Remote Access ist die kontinuierliche Authentifizierung. Wenn sich ein Benutzer von einem Remotecomputer aus anmeldet, kann es vorkommen, dass das System ihn gelegentlich abmeldet und ihn auffordert, seinen Benutzernamen, sein Passwort und seine MFA-Anmeldedaten erneut einzugeben.
Mit einer Zero Trust Network Access (ZTNA)-Lösung können Organisationen einen granularen, kontextsensitiven Zugriff basierend auf den Risikostufen der Endbenutzergeräte gewähren und den Zugriff beenden und eine erneute Authentifizierung verlangen, wenn Risiken erkannt werden.
Eindämmung der Bedrohung
Trotz Ihrer besten Bemühungen kann es vorkommen, dass ein Bedrohungsakteur Zugriff auf Ihre Systeme erhält und Ihre Zero-Trust-Protokolle umgeht. Bevor dies geschieht, sollten Sie versuchen, abzuschätzen, wie viel Schaden er anrichten könnte. Beauftragen Sie einen Mitarbeiter oder stellen Sie einen Berater ein, der Ihr System „infiltriert“. Beobachten Sie, wie lange es dauert, bis Sie ihn entdecken und aussperren, und welche Art von Daten er bis dahin extrahieren kann.
Cybersicherheitsexperten nennen dies „Assumed Breach Testing“, und es kann Ihnen helfen, Gegenmaßnahmen für ein Worst-Case-Szenario zu entwickeln. Denken Sie daran, dass es jetzt an der Zeit ist, eine Reaktion auf eine potenzielle Datenschutzverletzung zu entwickeln – nicht erst, wenn sie bereits eingetreten ist.
Schützen Sie Ihre Daten mit Zero-Trust-Lösungen
Wenn Sie nach Zero-Trust-Lösungen für den Remote-Zugriff für Ihr Unternehmen suchen, sollten Sie überlegen, wie Sie Ihre Daten derzeit schützen und ob Ihre Strategie Schwachstellen aufweist. Vielleicht hat ein Mitarbeiter mehr Berechtigungen als nötig, kann unbegrenzt auf einem Remote-Computer angemeldet bleiben oder verwendet ein VPN, das ihm vollen Zugriff auf das Unternehmensnetzwerk gewährt. Wenn dies der Fall ist, sind Ihre sensiblen Daten möglicherweise nur einen kompromittierten Account von einem schwerwiegenden Sicherheitsverstoß entfernt.
Zero-Trust-Lösungen können Ihnen dabei helfen, ein Gleichgewicht zwischen Zugriff und Sicherheit herzustellen. Durch häufige und strenge Benutzerüberprüfungen können Sie Ihren Arbeitsplatz für Mitarbeiter sicherer und viel widerstandsfähiger gegen Cyberangriffe machen. Weitere Informationen finden Sie in unserem E-Book „The Data Protection Playbook: How to Enforce Zero Trust to Your Private Apps“.