Laut einer aktuellen Gartner-Studie wird bis zum Jahr 2025 fast die Hälfte der globalen Unternehmen von Angriffen auf ihre Software-Lieferketten betroffen sein. Was hilft gegen das erhöhte Risiko? Mit einer durchdachten Zero Trust-Strategie können Unternehmen gegensteuern.
Über alle Branchen hinweg sind Unternehmen immer wieder darauf angewiesen, Drittanbietern Zugriff auf ihre Systeme zu gewähren. Egal ob es um Webentwicklung oder Inventarsysteme geht, immer häufiger erhalten externe Anbieter deshalb eigene Zugänge, teilweise sogar mit privilegierten Rechten.
Das weckt die Begehrlichkeiten von Cyberkriminellen, über SaaS-Anbieter in die Netzwerke der Auftraggeber einzudringen. Ein berüchtigter Angriff war zum Beispiel der auf SolarWinds im Jahr 2021, bei dem ein Generalschlüssel gestohlen wurde und so Tausende von Logins und Systemen kompromittiert wurden.
Perimetersicherheit war gestern – auf Zero Trust kommt es an
Was können Unternehmen konkret tun, um die Zugänge ihrer Drittanbieter abzusichern? Es läuft alles auf Zero Trust hinaus. Das hat folgenden Grund:
Angesichts der großen Verbreitung von Cloud- und IoT-Technologien und immer verbreiteterer Remote-Arbeit, ist die heutige IT-Sicherheitsinfrastruktur äußerst komplex und fragmentiert. In dieser Umgebung ist die herkömmliche Perimetersicherheit nicht mehr zeitgemäß. Stattdessen sollten sich Unternehmen auf identitätsbasierte Sicherheit konzentrieren.
Frei nach dem Motto „Vertrauen ist gut, Kontrolle ist besser“ versteht Zero Trust Vertrauen als schwächstes Glied, wenn es um Cybersecurity geht. Der Fokus liegt deshalb auf einer strengen und kontinuierlichen Überprüfung von Identitäten, verwirklicht durch eine starke Authentifizierung und Autorisierung von Benutzern, Anwendungen, Geräten und Transaktionen. Ein wichtiger Bestandteil von Zero Trust ist das Prinzip „Least Privilege“. Das bedeutet, internen und externen Anwendern nur die Rechteebene zu gewähren, die sie für die Erledigung ihrer Aufgaben benötigen. Hinzu kommt ein Just-in-Time-Ansatz, das heißt Rechte werden nur so lange gewährt, wie nötig.
PAM und VPAM spielen Schlüsselrolle bei Absicherung der Lieferkette
Privileged Access Management (PAM) und Vendor Privileged Management (VPAM) sind grundlegende Bausteine eines Zero Trust-Modells.
Sie bieten einen mehrstufigen Ansatz zur Absicherung von privilegierten Konten und ermöglichen dabei zugleich nahtlosen Zugang für autorisierte Benutzer. PAM übernimmt dabei die Absicherung interner Zugriffe, während VPAM sich auf die Zugänge von Drittanbietern spezialisiert.
Viele PAM-Tools überwachen auch die Nutzeraktivitäten und protokollieren diese. Falls es doch einmal zu einem Sicherheitsverstoß kommt, haben IT-Sicherheitsteams die Möglichkeit einer gründlichen Untersuchung und weisen die Einhaltung detaillierter Prüfpfade nach.
Welche Technologien ergänzen eine Zero-Trust-Strategie?
PAM und VPAM bilden das Zentrum von Zero Trust. Von einem holistischen Standpunkt aus gesehen, sind sie jedoch nur eine Komponente einer digitalen Identitätsstrategie:
- Single Sign-On (SSO): Benutzeranmeldungen müssen effizient und sicher sein. Eine Single Sign-On-Lösung mit benutzerfreundlicher Anmeldung oder biometrischer Authentifizierung kann das Eingeben von Passwörtern reduzieren und zugleich ein hohes Maß an Sicherheit und Produktivität wahren.
- Multifaktor-Authentifizierung (MFA): MFA bietet eine zusätzliche Sicherheitsebene, indem Benutzer bei Netzwerknutzung aufgefordert werden, ihre Identität zu bestätigen. MFA ermöglicht sicheren Remote-Zugriff und bietet eine überprüfbare Vertrauenskette.
- Identitätsmanagement: Die manuelle Verwaltung des Benutzerlebenszyklus ist für IT-Teams zu umständlich und fehleranfällig. Im schlimmsten Fall erhalten Mitarbeiter weiter Zugriff auf sensible Systeme, selbst wenn sie bereits aus dem Unternehmen ausgeschieden sind. Abhilfe schafft ein automatisiertes rollenbasiertes Identitätsmanagement. Ein solches definiert Berechtigungen von Anfang an und ermöglicht kontinuierliche Anpassungen.
All diese Lösungen bilden zusammen mit PAM und VPAM ein Paket zur Implementierung einer Zero-Trust-Lösung. So können Unternehmen sich auch in der zunehmend arbeitsteiligen und vernetzten IT-Welt sicher fühlen.