Der Abschied von Burg und Schloss hin zu Zero Trust

Ende März, als bereits viele Mitarbeiter und Mitarbeiterinnen in der Schweiz ins Homeoffice geschickt wurden, warnte das Nationale Zentrum für Cybersicherheit (NCSC) davor, dass Cyberkriminelle sich diese Situation zunutze machen würden. Daten aus verschiedenen Berichten lassen darauf schliessen, dass besonders der Zugriff auf Daten und Anwendungen gefährdet ist. Denn bereits vor der Covid-19-Pandemie wurden laut dem "Thales Data Threat Report 2020" mehr als 50 Prozent der Unternehmensdaten ausserhalb des Unternehmensumfelds in mehreren Cloud-Umgebungen gespeichert. Das Problem dabei ist, dass sich Cyberkriminelle mit gestohlenen oder kompromittierten Zugangsdaten in Unternehmensnetzwerke einschleichen und sich unentdeckt darin bewegen, um sensible Unternehmensdaten herauszufiltern. Einfallstor ist zumeist Phishing (25 Prozent), wie nicht zuletzt der aktuelle "Verizon Data Breach Investigations Report" aufzeigt.

Die alten "Castle & Moat"-(Burg-und-Wasser­graben-)Modelle funktionieren in einer digitalisierten Welt mit erhöhtem Homeoffice-Zugriff nicht mehr. Unternehmen müssen stattdessen neue Sicherheitskonzepte etablieren. Ein viel diskutiertes Konzept aus der Netzwerktechnik ist Zero Trust, das nun für die IT-Sicherheit neu erdacht und umgesetzt wird.

Was versteht Thales unter Zero Trust?

Peter Wilbrink: Der Begriff Zero Trust wird momentan sehr häufig benutzt, ist aber durchaus auch missverständlich. Eigentlich wurde er von Analysten der Marktforschungsfirma Forrester 2010 für die Netzwerksicherheit verwendet. Nun erlebt er eine Art Renaissance und jeder Hersteller interpretiert ihn auf seine Weise. Der Begriff als solcher ist in der Schweiz daher etabliert, aber nicht überall wird das Konzept auch umgesetzt, hier besteht durchaus Aufklärungs- und Nachholbedarf. Wir bei Thales ­sehen das Konzept aus der Sicht der Identität. Mitarbeiterinnen und Mitarbeiter brauchen von überall aus einen abgesicherten Zugriff, egal ob unterwegs oder vom Home­office aus. Früher lagen die Daten zentral auf einem Server in einer Zone, nun werden sie über verschiedene Zonen hinweg verarbeitet und abgelegt. Die Folge ist, dass es keine Kontrolle des Zugriffs aufgrund der geänderten Rahmenbedingungen mehr gibt, weil sie ausserhalb der Eingriffsmöglichkeiten der Sicherheitsverantwortlichen liegt. Deshalb wird es für Unternehmen immer schwieriger, die Frage zu beantworten, wo sich die Kronjuwelen befinden und wie sich der Zugriff begrenzen und kontrollieren lässt. Für die IT-Sicherheit ist es zentral, zu wissen, wer Zugriff auf was hat und ob dieser Zugriff vor Dritten auch wirklich geschützt ist. Die Antwort darauf kann nur die Verschlüsselung der Daten in Verbindung mit Access-Management sein. Hier kommt das Zero-Trust-Konzept ins Spiel.

Welche Rolle spielt Zero Trust in der Schweiz?

Wilbrink: Zero Trust hat sich als Begriff unter den neuen Rahmenbedingungen schnell etabliert. Das Konzept schafft Aufmerksamkeit, weil die Einhaltung von Regeln eine wichtige Rolle für Schweizer Unternehmen spielt. Sie setzen selbst massiv auf Datenschutz und Datensicherheit, und das funktioniert in Multi-Cloud-Umgebungen eben nur mit solchen modernen Ansätzen für die IT-Sicherheit. Schweizer Unternehmen setzen vor allem auf lokale Rechenzentren, doch nicht immer ist dies möglich und sinnvoll. Mit Zero Trust wird es möglich, ähnliche Sicherheitskontrollen auch in der Cloud durchzuführen.

Wie wird Zero Trust von Thales umgesetzt?

Wilbrink: Wir haben Zero Trust als Dreieck umgesetzt. Dabei geht es um die Identifizierung der Geräte, der Identitäten (Mitarbeiter, Maschinen) und die Daten, auf die über die Geräte von den Mitarbeitern und Maschinen zugegriffen wird. Dieses Dreieck wird durch unsere drei Produkte CipherTrust, Luna und SafeNet Trusted Access (STA) dargestellt. Die Zugriffkontrolle erfolgt mit STA, einer intuitiven, vereinfachten Verwaltung von Cloud- und Webzugriffen mit Single Sign-on und szenariobasierten Zugriffsrichtlinien. Unternehmen, die die Bereitstellung von Cloud- und Web-Anwendungen unternehmensweit skalieren möchten, scheitern oft am Aufbau ­einer effizienten Verwaltung von Online-Identitäten und Zugriffssicherheit mit gleichzeitiger Erhaltung der Benutzerfreundlichkeit und Einhaltung regulatorischer Vorschriften. STA optimiert die Identitätsverwaltung in der Cloud, eliminiert lästige, unsichere Passwörter für IT und Benutzer, bietet eine zentrale Oberfläche mit einem Überblick der Zugriffsereignisse über sämtliche Anwendungen hinweg und sorgt dafür, dass der richtige Benutzer sicheren Zugriff auf die richtige Anwendung hat. Die Prüfung der Identitäten wird immer wichtiger. Schweizer Unternehmen gehen vermehrt in die Cloud und setzen dabei gerne auf eine Multi-Vendor-Strategie. Cloud-Anbieter setzen ihrerseits auf Performance und Usability, aber nicht unbedingt auf Security. Unsere Kernkompetenz ist Security, wir bieten Integrationen mit allen wichtigen Cloud-Anbietern und können so die Lücken schliessen. Wir schützen schon seit Jahren Identitäten und haben dadurch ­einen bedeutenden Wissensvorsprung. Letztlich geht es beim Schutz von Identitäten in der Schweiz oft um Public-Key-Infrastruktur-Anwendungen (PKI). Viele Firmen haben bereits PKI-Konzepte, allerdings für ihre stationäre IT. Die Frage ist nun, wie bringe ich meine PKI in die Cloud? Thales hilft hier mit Expertise und Projekterfahrung. PKI lässt sich in STA benutzen, um auf Cloud-Applikationen zuzugreifen. Hierbei unterstützt das Produkt IDPrime Virtual, das die Entwicklung von der Smartcard zur Cloud-Smartcard aufzeigt. Die Lösung bietet PKI-Authentifizierung, E-Mail- und Datenverschlüsselung und digitale Signatur mit einer virtuellen Smartcard an. Sie ermöglicht Beschäftigten den Zugriff auf eine softwarebasierte PKI-Identität innerhalb einer virtuellen Desktop-Infrastruktur. Damit können Mitarbeiterinnen und Mitarbeiter auf alle Anwendungen zugreifen, für die eine PKI-basierte Authentifizierung erforderlich ist, und PKI-basierte Operationen auf jedem Gerät durchführen, ohne dass eine physische Smartcard oder ein USB-Token erforderlich ist.

Wer hilft bei der Einleitung eines Projekts zum Thema? Und wie?

Michael Lüthold: Wir als Infinigate binden die Partner bereits frühzeitig ein. Gerade bei der aktuellen Anfrage nach schnellen und sicheren Homeoffice-Lösungen begleiten wir unsere Partner sehr intensiv bei der Anbahnung und Umsetzung von Projekten. Ein wichtiger Treiber ist der Zugriff auf Cloud-Applikationen jetzt vom Homeoffice aus. Unsere Partner erhalten von uns Vertriebs-, Marketing- und technische Unterstützung.

Mit welcher Projektunterstützung können Partner bei der Umsetzung rechnen?

Lüthold: Die Infinigate zeichnet sich unter anderem durch langjährige und enge Beziehungen zu unseren Resellern aus. Im Projektgeschäft können sich unsere Partner und Hersteller auf unsere sachkundige Einschätzung und Evaluierung von Möglichkeiten und Herausforderungen verlassen. Darüber hinaus profitieren sie von unserem tiefen Prozess- und Lösungs-Know-how. Unsere starke Infini­gate Sales Crew ermöglicht zudem schnelle Reaktionszeiten und fachkundige Beratungen. Mit den Demo-Versionen runden wir das Angebot ab.