In Pandemiezeiten und der damit verbundenen Zunahme der Telearbeit werden Fragen der Cybersecurity immer komplexer. Fernzugänge, die über VPN bereitgestellt und a priori durch Firewalls geschützt werden, sind immer häufiger das Ziel gefährlicher Angriffe. Was kann man dagegen tun und wie kann man maximalen Schutz garantieren?
Seit dem ersten Lockdown im letzten Frühjahr heißt es von allen Seiten: Die Telearbeit muss so schnell wie möglich in den Unternehmen Einzug halten. Das hat dazu geführt, dass Unternehmen Remote-Arbeitsplätze eingerichtet haben und diese Organisationsform allmählich zur neuen Norm wird. So hat eine von L’Usine Nouvelle durchgeführte Umfrage kürzlich ergeben, dass 72 % der Entscheidungsträger seit der Covid-19-Krise mehr Vertrauen in das Potenzial der Telearbeit haben. 78 % geben an, dass diese in ihrem Unternehmen häufiger angeboten wird.
Trotz dieser Zuversicht gilt es jedoch, die Risiken der Digitalisierung der Arbeit und der Zunahme von Remote Work zu berücksichtigen. Unternehmen, die ihren Mitarbeitern Fernzugriff bieten, müssen die Risiken von Cyberangriffen und die Notwendigkeit des Managements von Sicherheitsverletzungen auf VPNs, die Computer mit entfernten Servern verbinden, sowie auf Firewalls berücksichtigen. Zudem muss sichergestellt sein, dass privilegierte Konten gesichert sind, um sensible Daten zu schützen und die Kontinuität des Geschäftsbetriebs zu gewährleisten.
Die Notwendigkeit eines »Zero Trust«-Sicherheitsansatzes. In diesem Zusammenhang haben Unternehmen keine andere Wahl, als einen »Zero Trust«-Sicherheitsansatz zu verfolgen. Auf der Grundlage dieses Prinzips können sie sicherstellen, dass Dritte nur auf die Ressourcen zugreifen können, die sie für ihre Arbeit benötigen. Gleichzeitig können Sicherheitsteams kontrollieren, wer wann auf welche Ressource(n) zugreifen kann und somit Unternehmensdaten schützen sowie die neuen Datenschutzbestimmungen einhalten.
Denn auch wenn VPNs und Firewalls dazu gedacht sind, Anwendern sichere Fernzugriffsmöglichkeiten zu bieten, sind sie ohne eine echte Kontrolle der Datenströme und ein Verständnis für die Verwundbarkeit von Unternehmen, mehr denn je ein bevorzugtes Ziel für Cyberangreifer. Denn Telearbeit weist eine entscheidende Schwachstelle auf: Sie vergrößert die Angriffsfläche, über die das Unternehmen destabilisiert oder sogar zum Stillstand gebracht werden kann. Es ist daher unerlässlich, den Perimeter-Zugang ebenso zu verwalten wie das interne Netzwerk und genau zu wissen, wem der Zugang gewährt wird.
Die Lösung: Passwörter, die von außen unsichtbar sind. Durch den Einsatz von »VPN-less«-Lösungen, die aus einer webportalähnlichen Oberfläche bestehen, ist es möglich, Datenströme umzuleiten und gleichzeitig Passwörter in einem Safe zu speichern. Aufgrund dieser zentralen Verwaltung sind die Passwörter von außen, dass heißt vom Standort des Benutzers aus, nicht mehr sichtbar und können nicht kompromittiert werden.
Damit diese Art von Architektur eingesetzt werden kann, muss ein Gateway bereitgestellt werden, das in 99 % der Fälle ein reines HTML-Gateway ist, um dem Benutzer den Zugriff über einen virtuellen Tunnel auf eine lokal verwaltete Komponente am Client zu ermöglichen. So sehen sowohl das Gateway als auch der Benutzer niemals das Passwort: Das ist der Kern der Philosophie von Remote-Access- und PAM-Lösungen.
Im Wesentlichen zielt eine Privileged-Access-Management-Lösung darauf ab, Organisationen vor der unberechtigten Nutzung von privilegiertem Zugriff zu schützen, sei es versehentlich oder absichtlich. Mit zunehmender Größe und Komplexität von IT-Systemen wird die Verwaltung von privilegierten Zugriffen immer wichtiger. Dies gilt insbesondere im Zusammenhang mit der Fernarbeit: Dabei gilt es zu verhindern, dass ein Passwort den entfernten Benutzer erreicht, und gleichzeitig eine große Kompatibilität mit verschiedenen Anwendungen und Systemen zu ermöglichen.
Fazit. Das Ziel dabei ist nicht unbedingt, VPNs zu ersetzen, die für den Fernzugriff sehr nützlich sind. Im Gegenteil: Es geht darum, sich auf den Zugriff auf privilegierte Konten von außen zu konzentrieren – mittels Add-ons zu PAM-Lösungen – anstatt unabhängige Lösungen zu implementieren. Bei diesem Ansatz gibt es den Begriff des Perimeters nicht mehr: Alles wird aus einer internen Perspektive betrachtet, um die Cybersicherheit von Anwendungen und Systemen zu gewährleisten.
Stefan Schweizer,
Vice President Sales DACH
bei ThycoticCentrify
Illustration: © T VECTOR ICONS /shutterstock.com
598 Artikel zu „Zero Trust“
NEWS | IT-SECURITY
Ist Zero Trust das Ende des VPN?
Ein VPN (Virtual Private Network) verschlüsselt Tunnel zwischen Unternehmensnetzwerken und zugelassenen Endnutzergeräten. Mit einem VPN können Remote-Mitarbeiter auf Netzwerkressourcen zugreifen, als ob sie in einem Büro arbeiten würden, das direkt mit dem Unternehmensnetzwerk verbunden ist. VPNs ermöglichen den Mitarbeitern einen sicheren Remote-Zugriff, ganz gleich, ob sie im Büro sind, zu Hause oder in einer anderen…
NEWS | IT-SECURITY | STRATEGIEN
Zero Trust – Ein Konzept auf dem Prüfstand
Unternehmen sollten nicht automatisch allem und allen in ihrem Netzwerk vertrauen – vom Benutzer bis hin zu sämtlichen Anwendungen. Das Zero-Trust-Konzept verlangt, alle Benutzer innerhalb eines Unternehmens zu authentifizieren und zu autorisieren, bevor ein Zugriff gewährt wird. Das Konzept wirklich zu verstehen, bedeutet, dass ein Unternehmen über Protokolle verfügt, mit denen die richtigen Benutzer, Systeme,…
NEWS
Zero Trust: Nur ein Buzzword oder wichtiger Teil der Sicherheitsstrategie?
Das Zero-Trust-Modell hat sich bereits vor einigen Jahren als Sicherheitskonzept etabliert. Nun wurde die IT-Landschaft von Unternehmen innerhalb der letzten zwölf Monate allerdings auf den Kopf gestellt, was auch Folgen für die IT-Sicherheit hat. Besonders der plötzliche Umzug in die Cloud stellte viele Sicherheitsteams vor neue Herausforderungen. Rolf Haas, Senior Enterprise Technology Specialist bei McAfee,…
NEWS | IT-SECURITY | PRODUKTMELDUNG
Zero Trust Network Access – Was bedeutet ZTNA für sicheres mobile IT-Nutzung?
Fernarbeit und eine positive Arbeitserfahrung haben sich bisher meist gegenseitig ausgeschlossen. Für viele Unternehmen hat die Corona-bedingte, rasche Erweiterung der mobilen IT-Nutzung dieses Dilemma nur noch verstärkt und viele IT-Führungskräfte mitten in einem Tauziehen zwischen Sicherheit und Benutzerproduktivität zurückgelassen. Infolgedessen bewerten viele die aktuellen herkömmlichen Lösungen und erwägen nun einen Übergang zu Zero-Trust-Prinzipien. Aber was…
NEWS | AUSGABE 3-4-2020 | SECURITY SPEZIAL 3-4-2020
Zero Trust und kritische Infrastrukturen – »Niemals vertrauen, immer verifizieren«
Der Begriff »Zero Trust« gewinnt aufgrund seiner zunehmend strategischen Rolle in der Cybersicherheit immer mehr an Bedeutung. Die Anwendung des Zero-Trust-Mantras spielt vor allem bei sogenannten kritischen Infrastrukturen eine entscheidende Rolle.
NEWS | FAVORITEN DER REDAKTION | IT-SECURITY | STRATEGIEN | TIPPS
Ransomware-Angriffe mit Zero Trust bekämpfen: Best Practices gegen Daten-Geiselnahme
Ransomware bleibt ein lukratives Geschäft für Cyberkriminelle. Allein mit der Ransomware-Variante Ryuk erpressten Angreifer bereits Lösegelder von über 3,7 Millionen US-Dollar. Um die Sicherheitsvorkehrungen von Unternehmen zu umgehen, nutzen Hacker mittlerweile häufig anspruchsvolles Spear-Phishing, damit Opfer auf bösartige Links und Anhänge klicken oder verseuchte Webseiten besuchen. Nach der Infektion beginnt der Erpressungstrojaner mit der Verschlüsselung…
Zero-Trust-Security Webinarreihe
Warum das Konzept »Zero-Trust-Security« in der zukünftigen, hybriden Arbeitswelt immer wichtiger wird und welche Lösungsansätze und Komponenten sich dahinter verbergen, erfahren Sie in der brandneuen Webinarreihe der IT-Security Spezialisten von ESET.
NEWS | IT-SECURITY | PRODUKTMELDUNG
Zscaler erweitert Zero-Trust-Security-Portfolio um ZPA Private Service Edge und Browser Isolation
Innovationen der Zero-Trust-Exchange-Plattform, Ressourcen und Best Practises überwinden die Hürden der Einführung von Zero Trust und beschleunigen die digitale Transformation. Zscaler, Anbieter von Cloud-Sicherheit, kündigt Innovationen für die Zscaler Zero-Trust-Exchange-Plattform an und rundet das Portfolio durch neue Angebote zur Sicherung digitaler Unternehmen ab. Neue Sicherheitslösungen, Ressourcen für IT-Führungskräfte sowie Implementierungsleitfäden zur Beschleunigung der Zero-Trust-Adaption werden…
NEWS | IT-SECURITY | STRATEGIEN
Vertraue niemandem: Das Zero-Trust-Security-Modell
Mit der steigenden Bedrohungslandschaft und erhöhten Anforderungen an die Datensicherheit hat das Zero-Trust-Security-Modell bei Unternehmen deutlich an Popularität gewonnen. Die meisten traditionellen Ansätze der Netzwerksicherheit konzentrieren sich auf starke Schutzmaßnahmen gegen unerlaubten Zugang. Deren tendenzielle Schwäche ist jedoch das Vertrauen, welches User und Entitäten automatisch genießen, sobald sie sich im Netzwerk befinden. Denn gelingt es…
NEWS | IT-SECURITY | STRATEGIEN
Security über das Netzwerk hinaus – Integration von Endgerätesicherheit in die Zero-Trust-Strategie
Während der Begriff »Zero Trust« sofort an Netzwerksicherheit denken lässt, geht eine richtige Zero-Trust-Strategie mittlerweile über das Netzwerk hinaus – wie Palo Alto Networks meint. Endpunkte spielen eine wichtige Rolle, da sie Daten auf der ganzen Welt speichern und auf sie zugreifen, was sie zu verwundbaren Einstiegspunkten für Cyberangreifer macht. Da auf Daten und Anwendungen…
NEWS | IT-SECURITY | STRATEGIEN
Zero-Trust: Vertrauen Sie niemandem!
Sicherheitsstrategien zur Absicherung von Remote-Arbeitskräften auf Grundlage einer Zero-Trust-Sicherheits-Strategie. Die Belegschaft vieler Unternehmen arbeitet derzeit noch immer fast vollständig von Zuhause aus. Das hat gravierenden Einfluss auf die Sicherheitsstrategie eines Unternehmens, da die Mitarbeiter nun nicht mehr geschützt durch die Unternehmenssicherheit Zugang zu verschiedenen internen Unternehmensressourcen haben. Für Unternehmen ist es jetzt besonders wichtig ihre…
NEWS | IT-SECURITY | AUSGABE 5-6-2020 | SECURITY SPEZIAL 5-6-2020
IT-Sicherheit im Home Office – Macht Zero-Trust-Architektur die Cloud sicher?
Cyberkriminelle nutzen die aktuelle Unsicherheit rund um die weltweite Corona-Pandemie. Die Folge sind umfangreiche Angriffe auf Industrieunternehmen. Bevorzugte Opfer: Mitarbeiter im Home Office. Können hochsichere Cloud-Dienste für den Unternehmenseinsatz Abhilfe schaffen?
NEWS | IT-SECURITY
Ein Zero-Trust-Modell mithilfe von File Integrity Monitoring (FIM) und Sicherheitskonfigurationsmanagement (SCM) implementieren
Vor inzwischen annähernd zehn Jahren prägte John Kindervag, damals Analyst bei Forrester, den Begriff des »Zero Trust«. Er entwickelte das Modell im Jahr 2010 zu einer Zeit, da viele Unternehmen gerade erst damit begonnen hatten, grundlegende Regelungen zur Cybersicherheit einzurichten. Gleichzeitig gingen Firmen in zu hohem Maße von einer nur angenommenen Sicherheit innerhalb der Grenzen ihrer Netzwerke aus.…
NEWS | CLOUD COMPUTING | FAVORITEN DER REDAKTION | INFRASTRUKTUR | IT-SECURITY | RECHENZENTRUM | SERVICES | SICHERHEIT MADE IN GERMANY
Datenschutz im Home Office: Macht Zero-Trust-Technologie die Cloud sicher?
Rund ein Viertel der Deutschen arbeitet derzeit von Zuhause aus [1]. Rosige Zeiten für Hacker: Sie nutzen die Krise um COVID-19 für gezielte Cyberangriffe. Sicherheitsforscher sprechen im Rahmen der Corona-Pandemie von einer der größten E-Mail-Kampagnen durch Cyberkriminelle, die jemals unter einem einzigen Thema durchgeführt wurde [2]. Auch die deutsche Verbraucherzentrale warnt explizit vor Malware und…
NEWS | IT-SECURITY | RECHENZENTRUM | STRATEGIEN
Ein Zero-Trust-Modell mithilfe von FIM und SCM implementieren
Vor inzwischen annähernd zehn Jahren prägte John Kindervag, damals Analyst bei Forrester, den Begriff des »Zero Trust«. Er entwickelte das Modell im Jahr 2010 zu einer Zeit, da viele Unternehmen gerade erst damit begonnen hatten, grundlegende Regelungen zur Cybersicherheit einzurichten. Gleichzeitig gingen Firmen in zu hohem Maße von einer nur angenommenen Sicherheit innerhalb der Grenzen…
NEWS | CLOUD COMPUTING | IT-SECURITY | LÖSUNGEN
Datenpannen in der Cloud – Ist der Zero-Trust-Ansatz die Lösung?
In den vergangenen Monaten gab es zahlreiche, teilweise drastische Meldungen über Datenverluste beziehungsweise die ungewollte Offenlegung von Daten durch ungesicherte Clouds sowie Attacken auf Cloud-Infrastrukturen. Vor dem Hintergrund dieser Ereignisse erläutert Palo Alto Networks das Konzept von »Zero Trust« in der Cloud. Den Begriff »Zero Trust« gibt es seit fast zehn Jahren, aber er hat…
NEWS | IT-SECURITY | AUSGABE 5-6-2021 | SECURITY SPEZIAL 5-6-2021
TÜV SÜD und die Charter of Trust – Gemeinsam für mehr Cybersicherheit
Die Charter of Trust verfolgt das Ziel, Vertrauen in die digitale Welt von heute und morgen aufzubauen. Durch ganzheitliche Cybersicherheit soll das Business zuverlässiger, nachhaltiger und sicherer werden.
NEWS | TRENDS SECURITY | IT-SECURITY
Cyberkriminalität auf dem Vormarsch: Das digitale Wettrüsten hat begonnen
Kaum eine Woche vergeht, ohne dass neue Berichte über Hacker-Angriffe publik werden. So sorgte zuletzt der Angriff auf den französischen Fernsehsender TV5 Monde für Aufsehen. Auch deutsche Unternehmen und Institutionen sehen sich zusehends mit hochprofessionellen Cyber-Attacken konfrontiert. Dabei ist der Cyber-Krieg bereits in vollem Gange – und die heimische Wirtschaft steht unter Zugzwang. Im April…
NEWS | IT-SECURITY | AUSGABE 1-2-2021 | SECURITY SPEZIAL 1-2-2021
Sicherer Zugriff für Mitarbeiter und Kunden – User Experience first
Zero Trust und IAM aus der Cloud als Fundament einer hybriden IT muss einfach und komfortabel für den Anwender sein.
AUSGABE 9-10-2021 | SECURITY SPEZIAL 9-10-2021 | NEWS | IT-SECURITY | ADVERTORIAL
Wie können sich Unternehmen auf Cyberangriffe vorbereiten? – Die 1-10-60-Regel
Viele Unternehmen unterschätzen immer noch die Gefahr, die von Cyberbedrohungen ausgeht. Dabei wird diese immer realer, wie ein Blick auf die aktuelle Bedrohungslandschaft zeigt.