Skip navigation EPAM

Zero Trust ist der beste Ansatz für digitales Risikomanagement

    • Boris Khazin

    Global Head of Digital Risk Management Services
    Connect
    Blog
    • Cybersecurity

    Oft ist das schlimmste Szenario genau jenes, in dem man sich gerade befindet. Wenn es um Cybersicherheit geht, ist ein Worst-Case-Szenario dann gegeben, wenn in ein Netzwerk eingedrungen wurde, die aktuellen Präventionswerkzeuge eines Unternehmens ohne Benachrichtigung versagt haben – bekannt als falsch-negativ – und das Unternehmen nicht weiß, dass die Hacker im Haus sind.

    Laut einer Studie von IBM können Hacker ein Netzwerk etwa acht Monate lang belagern, bevor sie entdeckt werden. Während dieser Zeit sammeln und stehlen sie wertvolle Daten oder Gelder von Bankkonten. Sie werden in der Regel erst entdeckt, nachdem die Opfer oder ihre Banken von der Bundespolizei oder dem Heimatschutzministerium benachrichtigt wurden. 

    Nach der Benachrichtigung über eine Sicherheitsverletzung leiten Unternehmen (falls vorhanden) einen Notfallplan ein und rufen ihren Anbieter an – oder versuchen, solch einen zu finden, der sie dann bei den nächsten Schritten unterstützt. Sobald sich der Staub gelegt hat, versuchen die Reaktionsteams herauszufinden, wie ein erneuter Verstoß verhindert werden kann. In solchen Fällen waren die gekauften und implementierten Sicherheitsprodukte für die Cyberkriminellen keine Herausforderung. Sich davon zu erholen, kann eine enorme Herausforderung sein.

    Der Schaden durch Sicherheitsverletzungen ist weit verbreitet

    Solch ein Szenario zeigt, wie im Zuge von Cybersicherheitsproblemen auch Fragen zu Governance, Risk und Compliance (GRC) oder digitalem Risikomanagement (DRM) an die Oberfläche kommen. Die Governance-Überwachung hat den Hacker übersehen, Ihre Risiken rund um die Cybersicherheit sind jetzt rot markiert und werden noch einige Zeit ein hohes bis mittleres Risiko darstellen. In der Zwischenzeit rennt Ihr Compliance-Personal herum und versucht, Brände zu löschen: Verletzung des Datenschutzes, Verletzung von Finanzvorschriften usw.

    Erhöhte Risiken und Wiederherstellungsmaßnahmen nach Sicherheitsverletzungen fordern ihren Tribut – nicht nur für den Ruf der betroffenen Organisationen, sondern auch für die Mitarbeiter vor Ort. Ein Bericht von Kaspersky Lab und B2B International kam zu dem Schluss, dass fast jeder dritte Sicherheitsverstoß zur Entlassung von Mitarbeitern geführt hat. Er zeigt, dass in Nordamerika etwa 32 Prozent aller Datenschutzverletzungen dazu führten, dass eine Führungskraft oder ein anderer leitender Angestellter im Zusammenhang mit den Folgen seinen Job verlor. Dieser Prozentsatz ist zwar alarmierend, aber nicht überraschend. Einfache Missgeschicke und Unfälle, wie z. B. ein unwissentlicher Mitarbeiter, der auf einen Phishing-Link klickt, sind immer wieder der Ausgangspunkt für größere Cybersicherheitsvorfälle. 

    Zero Trust kann Sicherheitsrisiken reduzieren

    Die Zunahme von Außendienstmitarbeitern, externen Büros, Cloud-Diensten und mobilen Geräten hat zu Netzwerken geführt, die so komplex sind, dass sie „[die] traditionellen Methoden der perimeterbasierten Netzwerksicherheit überholt haben, da es keinen einzigen, leicht identifizierbaren Perimeter für das Unternehmen gibt“, so das U.S. National Institute of Standards and Technology (NIST). Es wird ein großer Aufwand betrieben, um dieses Problem zu lösen, obwohl ein Anstieg der berechtigten Paranoia das Risiko deutlich hätte verringern können. Dieser Anstieg der Paranoia führt dazu, dass Unternehmen entsprechende Zero-Trust-Protokolle implementieren.

    Im Wesentlichen geht ein Zero-Trust-Ansatz zur Sicherheit davon aus, dass jedes Netzwerk durchbrochen und jeder Rechner kompromittiert werden kann, so dass jeder Benutzer (unwissentlich oder nicht) einem Risiko ausgesetzt ist. Nichts und niemandem kann in einem Zero-Trust-Netzwerk vertraut werden, solange nicht bewiesen ist, dass es keine Bedrohung für die Sicherheit des Unternehmens darstellt. Das US-amerikanische NIST definiert es wie folgt: „Zero Trust ist ein Cybersicherheit-Paradigma, das sich auf den Schutz von Ressourcen und die Prämisse konzentriert, dass Vertrauen niemals implizit gewährt wird, sondern kontinuierlich evaluiert werden muss.“

    Das NIST fügt hinzu, dass zwischen Zero Trust und Zero-Trust-Architektur (ZTA) zu unterscheiden ist: „Zero Trust (ZT) stellt eine Sammlung von Konzepten und Ideen zur Verfügung, welche die Unsicherheit reduzieren sollen, die bei der Erzwingung von präzisen Zugriffsentscheidungen auf jede Anfrage in Informationssystemen und Diensten angesichts eines als kompromittiert angesehenen Netzwerks besteht.“ ZTA ist das technische Design dieser Konzepte, um ein funktionales Zero-Trust-System zum Schutz und zur agilen Reaktion zu liefern.

    Zero Trust als Erweiterung des Risikomanagements

    Ähnlich wie andere Arten der digitalen Transformation ist Zero Trust keine Plug-and-Play-Lösung für die Schwächen der aktuellen Cybersicherheitspraxis; es ist ein umfassendes Engagement für einen Prozess, der große Teile der Struktur eines Unternehmens verändert. 

    Daher sollte das DRM mit dieser Aussage übereinstimmen. Es müssen Verfahren entwickelt werden, welche die „Sammlung von Konzepten ...“ erleichtern und die „Zugriffsentscheidungen pro Anfrage“ berücksichtigen. Gleichzeitig müssen Sie die Überwachung (Governance) und die Audits zur Überprüfung der Compliance hinzufügen.Diese Komponenten sorgen dafür, dass sich Ihr Reputationsrisiko sowie das finanzielle Risiko von Geldverlusten durch Diebstahl, Bußgelder und Umsatzeinbußen aufgrund von Kundenabwanderungen verringert.

    CDM-Systeme (Continuous Diagnostic and Mitigation), die Informationen über den aktuellen Sicherheitsstatus eines Vermögenswerts sammeln, aktualisieren bei Bedarf das Betriebssystem sowie die Sicherheitssoftware des Geräts und geben diesen Status an die Managementkette weiter. Die Überprüfung der Branchen-Compliance stellt sicher, dass sich der Datenverkehr und die Vermögenswerte innerhalb der Branchen- und Organisationskonformitätsregeln bewegen. Die Überprüfung der Branchen-Compliance umfasst auch:

    • Feeds mit Bedrohungsdaten, wie Blacklists
    • Definitionen der Malware-Engine
    • CVE-Einträge
    • Aktivitätsprotokolle, die auf ungewöhnliche Aktivitäten hinweisen können

    Datenzugriffsrichtlinien, die in einem Zero-Trust-System eng ausgelegt und dynamisch für jede Person und jeder Vermögenswert angepasst werden müssen, sodass ein Netzwerkangreifer keine Möglichkeit hat, sich zu bewegen. Eine Public-Key-Infrastruktur (PKI), die Zertifikate validiert, die von einer Organisation für ihre Vermögenswerte ausgestellt wurden, und diese mit einer globalen Zertifizierungsstelle abgleicht. Außerdem SIEM-Systeme (Security Information and Event Management), die sicherheitsrelevante Daten sammeln und für spätere Analysen zum Verbessern des restlichen Zero-Trust-Systems verwenden.

    Fazit

    Im DRM-Bereich ermöglicht Zero Trust eine deutliche Verbesserung der digitalen Überwachung (Governance), eine Reduzierung des Risikos und ein reiferes Compliance-Framework. Zero Trust wirkt sich auch positiv auf den Gesamtreifegrad von DRM innerhalb einer Organisation aus. Der Einsatz von Zero-Trust-Methoden und Sicherheitsprotokollen ist der richtige Ansatz für das Risikomanagement und der beste Weg, um Ihr Unternehmen auch in Zukunft zu schützen.