Im Zeichen von NIS2

Doppelter Schutz: Zero Trust- und Mikrosegmentierung

Die Sicherstellung der Compliance ist für Unternehmen aller Branchen eine der aufwendigsten Aufgaben, insbesondere im Hinblick auf die kostbare Ressource Zeit.

Bei der Einhaltung von Cybersicherheitsvorschriften geht es nicht nur um die Kontrolle der Netzwerke, sondern auch um eine präzise Eingrenzung des Bereichs, der den Regulierungen unterliegt. Mit vielen Netzwerk-Segmentierungstechniken lassen sich diese Aufgaben nur schwer erfüllen – entsprechend durchwachsen sind in dem Fall die Aussichten für den erfolgreichen Abschluss der dazugehörigen Audits. Was können Unternehmen tun, um sich besser aufzustellen? Eine Option ist die Zero Trust-Segmentierung.

Anzeige

Cyberangriffe gehören derzeit zu den größten Bedrohungen für Unternehmen. In Deutschland bewegte sich die Zahl neuer Schadsoftware-Varianten, die für Cyberangriffe genutzt werden, im Jahr 2022 laut Bundesamt für Sicherheit in der Informationstechnik (BSI) im niedrigen dreistelligen Millionenbereich. Schon 2016 war europaweit mit der ersten NIS-Richtlinie („Network and Information Security“) eine gesetzliche Grundlage für den Schutz von bestimmten Netzwerken und Systemen u.a. vor Cyberangriffen geschaffen worden.

Seit Januar 2023 ist mit NIS2 die nächste, umfassendere Version der Richtlinie in Kraft – mit einem deutlich größeren Kreis betroffener Unternehmen und Branchen. Für Unternehmen heißt das: Ab Herbst 2024, wenn das deutsche Umsetzungsgesetz in Kraft tritt, gelten strengere Anforderungen an Sicherheitsvorkehrungen – für einen wirksameren Schutz vor Cyberangriffen, aber auch die Einhaltung neuer Standards sowie die Gewährleistung, dass alle Systeme auf aktuellem Stand sind. Erklärtes Ziel ist die Stärkung der Resilienz kritischer Infrastrukturen in der EU, also die Fähigkeit, Cyberangriffe und -vorfälle abwehren zu können.

Segmentierungstechniken für umfassende NIS-Compliance

Die Herausforderungen für Unternehmen bei der Einhaltung der Vorschriften in einer sich ständig verändernden Bedrohungslandschaft wachsen. Zur Sicherstellung der NIS2-Compliance braucht es bestimmte Segmentierungstechniken zur Sicherheit und Kontrolle.

Anzeige

Traditionell ging es in der Cybersicherheit vor allem um den Schutz des IT-Netzwerks nach außen. Lösungen wurden mit Blick auf die Verhinderung schädlicher Aktivitäten und die Gewährleistung des legitimen Netzwerk-Traffics entwickelt. Somit galt alles, was innerhalb des Netzwerks als „sicher“ eingestuft wurde, automatisch als vertrauenswürdig.

Spätestens seit Cloud Computing sowie Remote-Arbeit Alltag sind, ist das nicht mehr ausreichend. Legitime Nutzer und Anwendungen greifen auch von außerhalb des Netzwerks auf IT-Ressourcen zu. Zudem dringen Angreifer mit so genannten Lateral Movement-Techniken in die Tiefe der Netzwerke ein, statt sie lediglich von außen zu attackieren. IT-Netzwerke verändern sich heute sehr schnell – das erfordert einen angepassten Ansatz für die Netzwerksicherheit. Sich ausschließlich auf die Netzwerkgrenzen zu fokussieren, ist nicht mehr zeitgemäß.

Netzwerktransparenz sichern

Wie lassen sich unter diesen neuen Umständen Angriffe abwehren, Transparenz in das Netzwerk bringen und Compliance gewährleisten? Das gelingt durch die Umkehr von einem negativen in ein positives Sicherheitsmodell – einem Ansatz, nach dem verboten ist, was nicht ausdrücklich erlaubt ist. Diesen Ansatz hat Akamai als einer der weltweit größten Anbieter für die Bereitstellung, Beschleunigung und Absicherung von Online-Anwendungen und -Inhalten in seinem „Zero Trust“-Sicherheitskonzept realisiert.

Grundannahme in einem Zero-Trust-Framework ist, dass alle Nutzer und Geräte prinzipiell schädlich oder kompromittiert sein könnten. Das bedeutet: Sie müssen zunächst als legitim verifiziert werden. Konkrete Sicherheitslösungen, die das Zero-Trust-Modell unterstützen, müssen mithilfe von Verhaltensanalysen, Filtern und Protokollen zur Verifizierung von Maßnahmen und zur Erkennung von Gefährdungs-Anzeichen sämtliche Signale für den Fall identifizieren können, dass ein Nutzer untypisch handelt, oder sich Anomalien zeigen. Diese Methode erschwert es Hackern mit Hilfe von Schadsoftware Netzwerk-Schwachstellen auszunutzen und sich Zugang zu verschaffen.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Zero-Trust-Modell braucht Mikrosegmentierung

Das Zero-Trust-Modell sollte durch die Aufteilung des Netzwerks in separate Bereiche – die Mikrosegmentierung – ergänzt werden. Sie verhindert die ungebremste und unerwünschte Ausbreitung von Schadsoftware.

Als unverzichtbares Workflow-Tool unterstützt die Mikrosegmentierung die Unternehmen bei der Anwendung der Zero-Trust-Netzwerkprinzipien maßgeblich. Grundsätzlich beginnt der Mikrosegmentierungs-Prozess mit einem fundierten Verständnis von Abhängigkeiten und Kommunikationsformen, die in der jeweiligen IT-Umgebung einzigartig sind. Sie schützen vor Ransomware und anderen Angriffen, weil sie die Angriffsflächen in komplexen und dynamischen Umgebungen stark reduzieren.

Fit für das nächste Audit

Mithilfe von Akamai Guardicore Segmentation lassen sich Abhängigkeiten zwischen Ressourcen einfach grafisch zuordnen – unerlässlich für die Gruppierung von Mikroperimetern und die Erstellung genauer Richtlinien. Protokolle erfassen sämtliche Transaktionen in Echtzeit im Verlauf. So ermöglichen sie eine kontinuierliche Validierung und sorgen dafür, dass Unsicherheiten und Risiken umfassend eliminiert werden.

Hierfür sammelt die Lösung detaillierte Informationen über die Unternehmens-IT-Infrastruktur und generiert eine dynamische Karte, mit der Sicherheitsteams alle relevanten Aktivitäten auf Nutzer- und Prozessebene in Echtzeit und auf Basis von Verlaufsdaten einsehen können. In Kombination mit KI-basierten Sicherheitsrichtlinien-Workflows ermöglichen diese detaillierten Einblicke Sicherheitsteams die Erstellung von Segmentierungsrichtlinien für einzelne IT-Assets. Dadurch können Cyberangriffe wie Ransomware-Angriffe, die sich über laterale Bewegungen ausbreiten, effektiv blockiert werden.

Grundsätzlich funktioniert die Segmentierungstechnologie von Akamai mit aktuellen, aber auch mit älteren Betriebssystemen auf Bare-Metal-Servern oder virtuellen Maschinen, zudem im Bereich Kubernetes und Container, mit Cloudinstanzen und IoT-Geräten. Die Akamai Guardicore Segmentation bietet zudem mehrere Methoden, um Schadsoftware zu erkennen und zu blockieren, darunter eine Threat Intelligence Firewall, Reputationsanalyse sowie einen Service zur Auffindung von Schwachstellen, Anomalien und Data Breaches.

Auch Akamai selbst nutzt diese Lösung für Compliance-Audits – mit nachweislichem Erfolg. Seit 2017 ist das Unternehmen in der Kategorie ‚Content Delivery Network‘ beim BSI gelistet. In diesem Rahmen werden alle zwei Jahre intensive externe Audits durchgeführt. Dabei muss das Unternehmen nachweisen, dass es Technik auf dem neuesten Stand für die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der kritischen Systeme vorhält.

Philipp

Merth

Regional Vice President CER

Akamai

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.