Den Spruch aus unserer Kindheit kennen wir alle – „Sei vorsichtig, öffne keinem Fremden die Haustür“. Was in der realen Welt in unserem Sicherheitsbewusstsein fest verankert ist, wird in der virtuellen Welt jetzt als zentraler Ansatz für die Authentifizierung von Benutzern und Endgeräten diskutiert.
Persönliche Daten gelten als das neue Gold des Internets und die neue Währung der digitalen Welt. Personenbezogene Daten wie Name, E-Mail-Adresse oder Einkommen dienen als wichtige Informationsquelle für gezielte Marketinganstrengungen, ein lukratives Ziel von Cyber-Kriminellen. Durch Diebstahl, Spionage und Sabotage entsteht der deutschen Wirtschaft jährlich ein Gesamtschaden von 223 Milliarden Euro. (Quelle: Bitkom, 8/2021)
Datendiebe lauern überall – lokal und in der Cloud
Externe Netzwerkzugriffe auf Unternehmensressourcen sind heutzutage Normalität. Geräte werden weltweit genutzt und können überall und zu jeder Zeit direkt auf Cloud-Dienste, E-Mail-Applikationen und andere potenziell vertrauliche Unternehmensressourcen zugreifen. Kriminelle können somit an unterschiedlichen Stellen ansetzen, um ihre Ransomware zuplatzieren. Hier schiebt das Sicherheitskonzept Zero Trust einen Riegel vor. Es fußt auf der Philosophie, weder einem Gerät noch einem Benutzer einen Vertrauensvorschuss zu geben, bevor eine sichere Authentifizierung erfolgt ist. Im Mittelpunkt von Zero Trust stehen die Ressourcen – und nicht die klassische Perimeter-Sicherheit am Übergang zwischen einem Privat- oder Unternehmens-Netz und einem öffentlichen Netz, wie dem Internet. Das Konzept, ein Netzwerk zu errichten und es mit einer Firewall zu schützen, funktioniert nur noch bedingt, da Dienste und Daten nicht mehr lokal verwaltet werden. Die „New Worker“ müssen mit allen Endgeräten und Apps auf Tools und Firmendaten zugreifen. Cloud-Dienste außerhalb der Firewall sind Elemente dieser flexiblen Umgebung.
Dazu Christian Bücker, Geschäftsführer macmon secure GmbH: „Mit Zero Trust ist es möglich, die Datensicherheit nachhaltig zu gewährleisten und modernen Anforderungen an die Netzwerksicherheit zu entsprechen. Besonders bedroht fühlen sich mittelständische Unternehmen und Einrichtungen, die im Bereich KRITIS tätig sind, wie beispielsweise Krankenhäuser und Behörden, für die wir branchenspezifische Sicherheitslösungen anbieten.“
Bildquelle: macmon secure GmbH
Viele Unternehmen haben in den letzten Jahren in das Thema IT-Sicherheit investiert, oft jedoch sind die Maßnahmen nicht ausreichend, um einen wirklichen Schutz vor dem Eindringen Unbefugter zu bieten. Dagegen setzt das Zero-Trust-Konzept auf Restriktion und Monitoring. Die Idee dahinter ist über viele Jahre gereift. Bereits seit 2003 trägt macmon secure mit seiner Network-Access-Lösung (NAC) dem Ansatz Rechnung. Dieser erlaubt nur definierten Geräten Zugang zum Netzwerk, ganz gleich, ob iPads, Laptops oder medizintechnische Geräte. IT-Administratoren wissen jederzeit, welche Endgeräte im lokalen Netzwerk angemeldet sind, und können diese dank der kompletten Netzwerk-Übersicht permanent identifizieren und effizient überwachen. Jedes Endgerät, welches im jeweiligen Netzwerk nichts zu suchen hat, erhält von vornherein keinen Zugriff. Die unbefugte Nutzung der IT-Systeme ist damit nahezu ausgeschlossen.
New Normal erfordert New Security
Security-Experte Bücker ergänzt: „Unternehmen stehen vor der Herausforderung flexible Arbeitsformen in ihre Sicherheitsstrategie integrieren zu müssen. Um den Entwicklungen Rechnung zu tragen, hat macmon secure seine bewährte NAC-Lösung um macmon SDP (Secure Defined Perimeter) ergänzt. Es trägt den Zero-Trust-Network-Access-Gedanken in die mobile Welt und nutzt dabei die langjährigen Erfahrungen mit NAC.“ Um die Identität eines Benutzers, seines Geräts und dessen Sicherheitszustand zu prüfen, übernimmt ein sogenannter SDP-Agent die Authentifizierung gegenüber einem SDP-Controller. Dieser arbeitet hochgesichert in einem ISO 27001-zertifizierten Rechenzentrum in Berlin. Ist die Authentifizierung erfolgreich, teilt er dem Agenten mit, ob der jeweilige Nutzer Zugriffsrechte auf die Unternehmensressourcen hat und welche das sind.
Mauern und Tunnel sind nicht mehr ausreichend
Um darüber entscheiden zu können, welcher Security-Ansatz sich für ein Unternehmen am besten eignet, ist eine qualifizierte Beurteilung wichtig. In den vergangenen Jahren standen vor allem perimeterbasierte Sicherheitsvorkehrungen im Vordergrund. Im Unterschied zu klassischen VPNs authentifizieren sich bei SDP sowohl der Benutzer als auch der Agent am Controller. Erst wenn beide als gültig erkannt werden, erfolgt der Zugriff auf das Netzwerk. Dank einer exakten Segmentierung entscheidet das System, wer mit welchem Gerät welche internen Ressourcen erreichen darf und übernimmt zudem die intelligente Steuerung der Kommunikationswege. So werden Bandbreitenengpässe vermieden, und möglichst geringe Latenzen gewährleistet. Jeder einzelne Zugriff auf Unternehmensressourcen – egal ob im Firmennetzwerk oder in der Cloud wird geprüft – es gibt keinen Vertrauensvorschuss.
Sage mir wer Du bist und ich sage Dir was Du darfst
macmon SDP überträgt die ZTNA-Idee auch auf sämtliche Cloud-Dienste und verfolgt einen identitätsbasierten Ansatz. Nach erfolgreicher Authentifizierung erreicht der Nutzer alle erforderlichen Ressourcen – entweder per Single Sign-On bei Cloud-Applikationen, über das SDP Cloud Gateway bei Cloud-Rechenzentren, oder über lokale SDP-Gateways auf die internen Unternehmensressourcen. Der Ansatz ermöglicht eine granulare Zugriffssteuerung. Es kann bestimmt werden, ob der Zugriff auf eine Unternehmensressource lediglich bei voller, oder auch bei eingeschränkter Konformität der Identitätsmerkmale möglich ist.
Weiterer Vorteil gegenüber virtuellen privaten Netzwerken ist die individuelle Festlegung von Richtlinien auf Benutzer- und Geräte-Ebene. Unternehmensnetzwerke sind heute in der Regel vielschichtig. macmon SDP reduziert die Komplexität effektiv, letztlich geht es immer um eine Identität, die Zugriffe benötigt. Die Spielregeln sind klar und werden von den Policies vorgegeben, der Aufwand hält sich im Vergleich zu anderen Ansätzen, die die Zugriffsberechtigung steuern, in Grenzen. macmon SDP wird als Software as a Service (SaaS) angeboten. Der Pflegeaufwand seitens der Nutzer ist minimal, die Betriebskosten gering. Gleichzeitig ist die Lösung hoch skalierbar und wird in Deutschland in einem ISO-zertifizierten Rechenzentrum gehostet, der Support von einem internen Team in Berlin geleistet.