Es war nicht erst die Pandemie, welche die Tür zur Welt des Remote- und des hybriden Arbeitens geöffnet hat. Aber sie hat maßgeblich und in einer hohen Geschwindigkeit dazu beigetragen, dass die Arbeitsrealität zu der wurde, die sie heute ist. Berufstätige haben die Möglichkeit, überall auf der Welt zu arbeiten und jederzeit auf die erforderlichen Dokumente und Technologien zuzugreifen – genau so als würden sie am Arbeitsplatz vor Ort sein.
Für Mitarbeiter außerhalb der IT-Teams bedeutet die neue Arbeitsrealität eine spannende, flexible Arbeitswelt, die nebenbei eine Revolution für die Lebensgestaltung sein kann. Für die Verantwortlichen der Cybersicherheit hat sich die „neue Normalität“ allerdings zu einer Mammutaufgabe entwickelt. Es gab viel zu wenig Vorbereitungszeit für dieses Ausmaß an fragmentierter Informationstechnologie. Außerdem hatte man kaum Entwicklungs- und Lernphasen für angepasste Security-Infrastrukturen. Remote- und Cloud-basiertes Arbeiten bedeutet, dass die Unternehmensdaten mehr als je zuvor außerhalb des klassischen Unternehmensschutzperimeters verteilt sind und dass es damit deutlich schwieriger wird, den Überblick darüber zu behalten, wer Zugang zu den Unternehmensdaten hat, worauf zugegriffen wird und von wo aus.
Die Risse in der Security von Unternehmen zeigen sich in der Security-Selbsteinschätzung. Nur 40 Prozent der deutschen Unternehmen waren laut dem “Keeper Security 2022 Cybersecurity Census Report” davon überzeugt, die eigene Organisation gegen Cyberangriffe verteidigen zu können. Der Druck auf IT-Führungskräfte wächst also, diesen Problemen unter Beibehaltung der hybriden Arbeit ein Ende zu setzen. Glücklicherweise gibt es eine Lösung für dieses Problem – eine, die 70 Prozent der Unternehmen anstreben: die Zero-Trust- und Zero-Knowledge-Architektur.
Der Paradigmenwechsel
Zero Trust ist kein Produkt und auch keine Softwarelösung, sondern vielmehr eine Strategie, bei der jeder Benutzer, jede Anwendung und jedes Gerät als potenziell böse gilt und daher keinerlei Rechte im Unternehmensnetzwerk hat. Zero Trust bedeutet auch, dass Unternehmen durchgängig das Prinzip der geringsten Privilegien befolgen. Erst durch eine Authentifizierung und Autorisierung wird der Zugriff auf Unternehmensdaten zeitlich beschränkt gewährt – im Gegensatz zum traditionellen Ansatz der Cybersicherheit, der sich auf implizites Vertrauen in die Mitarbeiter und die von einem Unternehmen verwendete Technologie stützt. Zero Trust stellt sicher, dass Informationen niemals ohne Überprüfung geöffnet oder verwendet werden können.
Deutlich reduziertes Sicherheitsrisiko
Indem jedes Gerät und jeder Benutzer gezwungen wird, seine Beziehung zum Unternehmen zu validieren, reduziert Zero Trust das Sicherheitsrisiko sowohl für die IT-Teams als auch für die Endbenutzer grundlegend. Für IT-Administratoren ist es – bei richtigem Einsatz – möglich, einen vollständigen Einblick in alle Benutzer, Systeme und Geräte sowie deren Sicherheitsgewohnheiten zu erhalten. Durch die Protokollierung und Nachverfolgung, wer wann auf was zugegriffen hat, können Cybersicherheitsteams herausfinden, wo Sicherheitsverletzungen stattgefunden haben, warum sie passiert sind und wie das Problem schnell und effizient behoben werden kann.
Für die Mitarbeiter bietet Zero Trust gleichzeitig die Möglichkeit, von überall und zu jeder Zeit mit einem Minimum an Aufwand zu arbeiten. IT-Teams können sichere, benutzerfreundliche Tools wie Single-Sign-On-Software (SSO) und Passwortmanager einsetzen, die es den Mitarbeitern ermöglichen, sich über eine Netzwerkverbindung anzumelden und mit der Arbeit zu beginnen, als wären sie in ihrem Büro. Mit diesen Tools können die Mitarbeiter unter Einhaltung der Zero-Trust-Richtlinien sicher auf Informationen zugreifen, ohne sich ständig lange Listen von Passwörtern merken zu müssen.
Zero Trust braucht Zero Knowledge und Passwortsicherheit
Benutzer- und Geräteüberprüfung sind der Kern von Zero Trust. Eine Zero-Trust-Lösung muss eine Reihe von Funktionen umfassen, um ihre Wirksamkeit zu gewährleisten. Einige dieser Funktionen sind die Multi-Faktor-Authentifizierung (MFA), das Prinzip des geringsten Privilegs (PoLP) sowie die Überwachung und Validierung. Unternehmen müssen in der Lage sein, umfassende Passwortsicherheit bei ihren Benutzern durchzusetzen, einschließlich der Verwendung von starken, eindeutigen Passwörtern für jedes Konto, Multi-Faktor-Authentifizierung für alle Konten, die dies unterstützen, rollenbasierte Zugriffskontrollen und Zugriff mit geringsten Rechten. Dafür eignet sich eine Passwortmanagement-Plattform, auf der Zero-Trust-Sicherheit und Compliance durch die Vereinheitlichung von Enterprise Password Management (EPM), Secrets Management (SM) und Privileged Connection Management (PCM), die alle auf einem proprietären Zero-Knowledge-Verschlüsselungsmodell aufbauen.
Beim Passwort-Management ist allerdings das Prinzip des Zero-Knowledge ein weiteres nötiges Sicherheitsmodell, das ein einzigartiges Verschlüsselungs- und Datentrennungs-Framework verwendet. Zero Knowledge ist ein Sicherheitsprinzip, das im Wesentlichen besagt, dass keine Informationen an andere weitergegeben werden, wenn dies nicht ausdrücklich erforderlich ist. Zero-Knowledge wird häufig in SSO-Tools und Passwortmanagern als Sicherheitsmodell implementiert, das Daten verschlüsselt und trennt. Der Vorteil: Absolut niemand außer dem Endbenutzer kann wissen, was sich im digitalen Tresor mit persönlichen Informationen befindet. Auch der Anbieter hat keinerlei Kenntnis von jeglichen Anmeldedaten; er fungiert lediglich als Vermittler zwischen dem Nutzer und der Plattform des Passwortmanagers. Konkret bedeutet das Folgendes:
- Kundendaten werden auf der Geräteebene (nicht auf dem Server) ver- und entschlüsselt.
- Die Passwortanwendung speichert niemals Klartextdaten.
- Die Server des Passwormanagementanbieters erhalten niemals Daten im Klartext.
- Die Schlüssel zum Ent- und Verschlüsseln der Daten wird aus dem Master-Passwort des Benutzers abgeleitet.
Bestmöglich geschützt
Für den Fall, dass ein Unternehmen gehackt wird, macht Passwort-Management mit Zero Trust es für böswillige Akteure unmöglich, auf Mitarbeiterdaten oder Anmeldedaten zuzugreifen, indem sichergestellt wird, dass nur der Mitarbeiter Zugriff hat – beispielsweise auf das Master-Passwort. Durch Zero Knowledge wird weniger die Sicherheit des Unternehmens gewährleistet, sondern zudem die Privatsphäre der Mitarbeiter geschützt. Zero Knowledge interagiert mit Zero Trust und stellt sicher, dass jeder Zugangspunkt für Hacker vollständig abgeschottet ist. Damit haben Mitarbeiter und IT-Verantwortliche gleichermaßen die Sicherheit, dass ihre wertvollen Informationen geschützt sind.
Trends und Entwicklungen, wie beispielsweise die hybride Arbeitswelt, werden sich in den kommenden Jahren schnell weiterentwickeln. Infolgedessen liegt die Wahrscheinlichkeit nahe, dass es eine Zunahme von Cyberangriffen geben wird und dass Hacker neue Wege finden, Unternehmen ins Visier zu nehmen, um sie zu erpressen. Mit den beiden Prinzipien Zero Trust und Zero Knowledge, kombiniert mit geeigneten Passwort-Management-Lösungen, sind Unternehmen jedoch in der Lage, auf Angriffe nicht nur zu reagieren, sondern sie zu verhindern.