Weniger ist oft mehr Zero Trust für eine sichere Cloud

Autor / Redakteur: Rolf Haas* / Elke Witmer-Goßner

Niemand würde eine Person in seine Wohnung lassen, die er nicht kennt und der er nicht vertraut. Warum sollte dies nicht auch für (komplexe) Cloud-Infrastrukturen von Unternehmen zum Daten- und Netzwerk-Schutz gelten? Unternehmen und ihre Cloud-Umgebung können hier von Zero Trust profitieren.

Firmen zum Thema

Trau, schau, wem – so ähnlich ließe sich „Zero Trust“ auch übersetzen. Und doch ist es eine valide Methode, die innere Sicherheit zu bewahren.
Trau, schau, wem – so ähnlich ließe sich „Zero Trust“ auch übersetzen. Und doch ist es eine valide Methode, die innere Sicherheit zu bewahren.
(Bild: ©peterschreiber.media - stock.adobe.com)

Cloud Computing erfreute sich bereits vor der Pandemie immer größerer Beliebtheit: So konnte McAfee im Rahmen einer 2019 durchgeführten EMEA-Studie feststellen, dass 91 Prozent der befragten IT-Leiter in ihrem Unternehmen eine Cloud-First-Strategie etablieren konnten. Neben dem effizienteren Zugriff auf Ressourcen, der besseren Zusammenarbeit im Team sowie dem generellen Aufschwung von Mitarbeiterproduktivität und -zufriedenheit, versprechen sich IT-Leiter ein höheres Sicherheitsniveau von der Migration in die Cloud. Dies ist womöglich auch einer der Gründe, warum die Mehrheit plant, einen Großteil ihrer sensiblen Daten auf Cloud-Servern zu lagern.

Dem gegenüber stehen Cyber-Kriminelle, die ihre eigenen Methoden ständig verfeinern sowie dem technologischen Fortschritt anpassen, um Netzwerke zu kapern und wertvolle Daten zu stehlen. So haben sie in Unternehmen, die ihre Daten und Prozesse in die Cloud transferieren, einen neuen Angriffsvektor erkannt. Laut einer aktuellen Studie von IDG waren 2019 46,5 Prozent der befragten Unternehmen mindestens einmal Opfer eines Cyber-Angriffs auf ihre Cloud-Services. Mit der Pandemie im letzten Jahr verschärfte sich die Lage und sowohl Cloud-Nutzung als auch cyberkriminelle Aktivitäten nahmen ein unvorhergesehenes Ausmaß an.

Cloud-Wachstum und Zunahme der Übergriffe gehen Hand in Hand

Befeuert durch die Corona-Pandemie, Kontaktbeschränkungen, Maximalanzahl an Mitarbeitern in Büros sowie den Massenumzug in die Heimbüros, rechneten die meisten IT-Teams der Migration in die Cloud eine höhere Priorität bei. Ganz spontan mussten sie neue Tools und Prozesse etablieren, damit die Belegschaft auch von zu Hause aus effizient und produktiv arbeiten konnte. Dies führte zu einem rasanten Anstieg der Cloud-Nutzung um 50 Prozent. Der Einsatz cloud-basierter Anwendungen wie Kollaborations-Tools explodierte schlagartig um 600 Prozent.

Diese Entwicklung erleichtert Unternehmen auch heute den Wechsel zu flexibleren Remote-Work-Konzepten und fördert das simple Speichern sowie den schnellen Austausch relevanter Daten. Doch genau hier liegt die Krux: Mit jedem Endgerät, das sich remote mit dem Unternehmensnetzwerk verbindet, und mit jedem neuen Cloud-Service vergrößert sich die Angriffsfläche für cyberkriminelle Aktivitäten. Das Risiko des Datenabgriffs steigt – im schlimmsten Fall handelt es sich dabei um sensible, personenbezogene Inhalte oder geistiges Eigentum.

Aus dem aktuellen Threat Reports von McAfee geht hervor, dass allein im zweiten Quartal 2020 7,5 Millionen Cyber-Angriffe auf Cloud-Services – einschließlich unbefugter Login-Versuche – verübt wurden. Um an die notwendigen Login-Daten zu gelangen, müssen externe Dritte ihre Opfer entweder davon überzeugen, sie ihnen „freiwillig“ auszuhändigen, oder sie versuchen das Netzwerk via Schadcode zu kapern.

Für ersteres hat die Pandemie den Cyber-Kriminellen in die Karten gespielt: Im Rahmen von Phishing-Kampagnen nutzten sie die Situation gezielt aus und lockten verunsicherte oder neugierige Menschen zum Beispiel mittels E-Mails mit klarem COVID-19-Bezug auf gefälschte Webseiten. Da Menschen in dieser Krisensituation auf dem neuesten Stand bezüglich Maskenangebote, Infektionszahlen, Test- und Impf-Informationen zu bleiben versuchten, hatten Cyber-Kriminelle leichtes Spiel. Infolgedessen nahm die Anzahl derartiger Angriffe um 605 Prozent zu.

Ein weiterer Risikofaktor ergibt sich durch die privaten Geräte von Mitarbeitern bzw. Arbeitsgeräte, die zu privaten Zwecken – wie persönliche E-Mails oder der Besuch von Webseiten – verwendet werden. Diese Geräte werden in der Regel nicht von der IT-Abteilung erfasst und fliegen somit unter dem Radar der IT-Sicherheit. Sobald Cyber-Kriminelle ein Schlupfloch in ein solches Gerät gefunden haben, ist es für sie ein leichtes Spiel, sich in das Unternehmensnetzwerk einzuschleusen, Daten abzugreifen und anderweitige Schäden anzurichten.

Bedrohungen im Innern des Netzwerks abwehren

Diese Szenarien haben eines gemeinsam: Sobald Cyberkriminelle den Zugang zum Netzwerk über Schwachstellen erhalten, wie den Mitarbeiter-Laptop oder seine Login-Daten, findet der Angriff innerhalb dieses Netzes statt. Bislang verließen sich Unternehmen vornehmlich auf das Netzwerkperimeter, das als Schutzwall fungierte, bestehend aus Firewalls, VPNs, Security Information and Event Management (SIEM) sowie anderen Access-Control-Lösungen. Diese Maßnahme schützt das Netzwerk jedoch lediglich vor externen Angriffen und vernachlässigt dadurch Bedrohungen, die im Innern des Netzwerks entstehen.

Die effektive Absicherung wird nicht nur durch das Bedrohungspotenzial an verschiedenen Fronten erschwert, sondern auch durch die steigende Komplexität der gesamten IT-Landschaft, die durch Cloud-Services und -Anwendungen entsteht. Es verwundert daher nicht, dass den IT-Mitarbeitern neben ihrer alltäglichen Arbeit der Überblick über sämtliche Zugänge und die Vertrauenswürdigkeit von Nutzern und Geräten abhandenkommt. Um dies auszugleichen, setzen sie mehrere Sicherheits-Tools von unterschiedlichen Herstellern ein. Laut der IDC Studie zur Cyber Security in Deutschland 2020+ nutzen 41 Prozent der befragten Unternehmen Security-Anwendungen von vier bis neun Anbietern. Eine solche Vorgehensweise kann unter Umständen wertvolle Zeit kosten, sollte es zu einem sicherheitsrelevanten Vorfall kommen.

Aus diesem Grund brauchen Unternehmen einen ganzheitlichen Ansatz: Bei „Zero Trust“ handelt es sich um ein Modell, dass vom grundsätzlichen Misstrauen gegenüber Usern, Anwendungen und Geräten sowie dem Bestätigen von Identitäten lebt. IT-Teams behalten auf diesem Weg die Kontrolle über sämtliche, sich im Netzwerk befindliche Instanzen sowie über alle Zugänge zum Netzwerk selbst.

Implementierung eines Zero-Trust-Modells

Laut der IDG-Studie konnten zum Zeitpunkt der Umfrage bereits 38 Prozent der Unternehmen ein Zero-Trust-Modell etablieren. Doch welchen Mehrwert bringt Zero Trust konkret für die Cloud und wie lässt sich das Konzept umsetzen?

Kurz gesagt: Die allgemeine Bedrohungslage in der Cloud lässt sich reduzieren, während die Compliance steigt. Ungeachtet der zugrundeliegenden Infrastruktur können sich IT-Teams damit nicht nur Einblicke in das Verhalten der Nutzer und die jeweilige Gerätenutzung verschaffen, sondern ebenso in den Datenfluss sowie in Unternehmensprozesse. Dadurch lassen sich Bedrohungen schneller identifizieren und Angriffe verhindern.

Für die Umsetzung von Zero Trust ist es wichtig noch vor der Implementierung herauszuarbeiten, wer aktuell auf welche Daten bzw. Services zugreifen kann und wer künftig auf diese Daten bzw. Services zugreifen darf. Daraufhin vergeben IT-Teams Zugangsprivilegien: Kritische Inhalte sollten nur für jene Mitarbeiter durch Identitätsbestätigung zugänglich gemacht werden, die diese für ihre Arbeit brauchen. Um Anomalien schnell zu erkennen, muss das Monitoring von Transfer und Nutzerverhalten kontinuierlich stattfinden. Da Nutzer und Geräte grundsätzlich als nicht vertrauenswürdig eingestuft werden, müssen Mitarbeiter ihre Identität bzw. ihr Gerät beispielsweise via Multi-Faktor-Authentifizierung bestätigen – und das nicht nur, um Zugang zum Netzwerk zu erhalten, sondern auch, wenn sie sich bereits im Netzwerk aufhalten. Erst mit erfolgreicher Verifizierung können Mitarbeiter auf Inhalte zugreifen.

Gesundes Misstrauen schützt

Rolf Haas, McAfee Germany GmbH.
Rolf Haas, McAfee Germany GmbH.
(Bild: McAfee)

Indem IT-Teams allen misstrauen, die sich mit dem Unternehmensnetzwerk verbinden wollen, schaffen sie die perfekte Grundlage für ganzheitliche Sicherheit. Da Cyber-Kriminelle kompromittierte Accounts und Geräte nicht verifizieren können, bleibt ihnen so der Zugang zu sensiblen Daten in der Cloud verwehrt.

* Der Autor Rolf Haas ist Senior Enterprise Technology Specialist bei dem Cyber-Sicherheitsunternehmen McAfee.

(ID:47384454)