Learnings aus der COVID-19-Krise: IT-Security muss neu gedacht werden

von Katja Schmalen

Die Wucht des durch das Coronavirus ausgelösten Wandels und die daraus resultierende Bewegung von Arbeitnehmern, Studenten und anderen Menschen in ihre häusliche Umgebung ist beispiellos. Die COVID-19-Pandemie hat Unternehmen mehr oder weniger dazu gezwungen, ihre Mitarbeitenden ins Home Office zu schicken, um die Ausbreitung des Virus zu verlangsamen, das Wohlbefinden der Mitarbeiter zu gewährleisten und die Geschäftskontinuität sicherzustellen. Das hat wenig überraschend zu einer erheblichen Überforderung bei den IT-Sicherheitsmaßnahmen geführt:

  • Kontrolle: Da Unternehmen keine physische Kontrolle über ihre gemanagten und nicht nicht-gemanagten Geräte und Zugangsnetzwerke (z.B. das Wi-Fi zu Hause) haben, ist es in vielen Fällen nicht möglich, die vom Unternehmen definierten Sicherheitsrichtlinien an den genannten Kontrollpunkten per Fernzugriff durchzusetzen.
  • Konsistenz: Vor der WFH (Work from Home)-Mobilisierung wurden Endgeräte und Netzwerkkomponenten auf der Grundlage von IT-definierten Spezifikationen standardisiert. Durch die Arbeit im Home Office vervielfachen sich die Ausnahmen und damit auch die Herausforderungen bei der Aufrechterhaltung eines konsistenten Regelwerks von Geräte-, Identitäts-, Daten- und Infrastruktur-Richtlinien für einen sicheren Betrieb.
  • Sichtbarkeit: In Ermangelung einer virtuellen Präsenz auf den Geräten der Endanwender und ihren Zugangsnetzwerken sind die Security Analysten sensorisch benachteiligt. Sicherheitsteams stehen möglicherweise vor der Herausforderung, Schatten-IT und anomale Aktivitäten von Anwendern und Angreifern zu identifizieren, da die zur Erstellung von Szenarien von mehrstufigen Angriffen und kompromittierten Systemen verwendete Telemetrie möglicherweise nicht in ausreichender Form vorhanden ist. Infolgedessen verlängern sich die Erkennungs- und Reaktionszeiten –  die systemweite Entfernung von stiller Malware und Backdoors des Angreifers wird löchrig und wird damit zum Risiko.
  • Support: Auch die IT-Teams werden aus ihren traditionellen Arbeitsumgebungen und Routinen gerissen, was ihre Möglichkeiten zur Unterstützung der Anwender einschränkt. Da die IT-Abteilung häufig praktische Aufgaben im Bereich der Endpunktsicherheit wahrnimmt (z. B. die Pflege des Gerätebestands, die Bereitstellung von Sicherheitsagenten, das Patchen von Systemen, das Scannen nach Softwareschwachstellen und die Konfiguration von Geräte-, DNS-, Proxy- und Host-Sicherheitseinstellungen), kann die systematische Umsetzung dieser Aufgaben in einem plötzlich diversen und dezentralen IT-Umfeld beeinträchtigt werden.

Es wird eine Zeit nach der COVID-19 Pandemie geben. Unsere Geschäftsleitung, Fachkollegen und Mitarbeiter werden vielleicht ins Büro zurückkehren. Vielleicht aber auch nicht. Sicher allerdings ist, dass sich die Art und Weise, wie wir arbeiten, für immer verändern wird.

Was passiert mit der IT-Sicherheit nach COVID-19?

Die Sicherheitsteams haben auf die Pandemie mit „Break Glass“-Ansätzen reagiert, um ihre Mitarbeiter schnell wieder handlungsfähig zu machen. Der Faktor Zeit spielte den Unternehmen dabei nicht unbedingt in die Hände, das Gebot der Stunde lautete “funktional” und nicht “optional“. Jetzt allerdings ist es an der Zeit, dass wir unseren Ansatz in Bezug auf Mitarbeiter, Authentifizierung und Remote-Zugriff überdenken. Die neue „Work from Home“- Situation hat uns sehr deutlich gemacht, dass unsere Ansätze und Strategien für den Remote-Zugriff vor dem Hintergrund einer ganz anderen Realität entstanden sind.

Vor drei Jahren haben wir uns für einen neuen Ansatz zur Benutzerauthentifizierung ausgesprochen. Unser Argument war, dass sich die Technologie geändert hat, die Konnektivität verbessert hat und Mobilität und Cloud den Bedarf an Authentifizierung dramatisch erhöht haben; daher mussten sich auch unsere Definition von und unsere Erwartungen an die Authentifizierung ändern. IDC definierte und befürwortete daher einen neuen Ansatz für die Authentifizierung. Die „Moderne Authentifizierung“ hat die folgenden primären Eigenschaften:

  • Moderne User Experience
  • Authentifizierung entsprechend des geminderten Risikos
  • Lösungszentrischer Ansatz
  • Unsichtbare Authentifizierung, wann immer möglich
  • Passwortloses Login

Wenn Unternehmen auf moderne Authentifizierung umstellen wollen, verzichten sie häufig auf die Multifaktor-Authentifizierung (MFA) und gehen direkt zur passwortlosen Authentifizierung über.  Seien wir ehrlich, die Passwortkomponente von MFA bringt keinen Mehrwert. Warum haben Sie sie also? Vielleicht ist es an der Zeit, die Art und Weise, wie wir unseren Mitarbeitern den Zugang ermöglichen, völlig neu zu überdenken – ein besonders aktuelles Thema im Hinblick auf eine Realität nach COVID-19. Schauen wir uns doch mal Microsoft als Beispiel an.

Auf der Microsoft Ignite 2019 präsentierte Microsoft die Initiative für passwortlosen Zugang für seine eigenen Mitarbeiter. Wenn man bedenkt, dass das Unternehmen mehr als 200.000 Mitarbeitende hat und weit von einer homogenen Client OS-Umgebung entfernt ist – Microsoft unterstützt alles von Windows über MacOS bis hin zu Linux-Derivaten -, ist die Case Study beispielhaft für eine der anspruchsvollsten IT-Umgebungen in Unternehmen. Wussten Sie eigentlich, dass Microsoft der fünftgrößte “Mac-Shop” weltweit ist?

Die passwortlose Lösung ermöglicht einen Zero-Trust-Push. Der Ansatz ist simpel: starke Identität + Gerätezustand + am wenigsten privilegierter Zugriff (mit Telemetrie verifiziert). Der Ansatz besteht aus sechs Komponenten:

  • Identitäten: Verifizieren und sichern Sie jede Identität mit starker Authentifizierung in Ihrer digitalen Umgebung.
  • Geräte: Verschaffen Sie sich einen Überblick über die Geräte, die auf das Netzwerk zugreifen. Stellen Sie die Konformität und den Sicherheitsstatus fest, bevor Sie den Zugriff gewähren.
  • Anwendungen: Decken Sie Schatten-IT auf, stellen Sie die entsprechenden In-App- -Berechtigungen sicher, grenzen Sie den Zugriff auf der Grundlage von Echtzeitanalysen ein, und überwachen und steuern Sie Nutzeraktionen.
  • Daten: Wechseln Sie von der perimeterbasierten Datensicherung zur datengesteuerten Sicherung.
  • Infrastruktur: Verwenden Sie Telemetrie, um Angriffe und Anomalien zu erkennen, risikoreiches Verhalten automatisch zu blockieren und zu kennzeichnen und die Prinzipien des geringst möglichen Zugriffs anzuwenden.
  • Netzwerk: Stellen Sie sicher, dass Geräten und Benutzern nicht vertraut wird, nur weil sie sich in einem internen Netzwerk befinden. Verschlüsseln Sie die gesamte interne Kommunikation, beschränken Sie den Zugriff nach Richtlinien und setzen Sie Mikrosegmentierung und Echtzeit-Bedrohungserkennung ein.

Zugegeben, die Idee, Daten und Anwendungen aus dem Unternehmensnetzwerk zu entfernen (es sei denn, sie sind unternehmenskritisch) und das Internet im Wesentlichen zur Kernnetzwerkverbindung des Einzelnen zu machen, ist sicher ungewöhnlich; dennoch ist sie inzwischen Realität. Der Zugang zum Unternehmensnetzwerk ist ein Merkmal einer LAN-zentrierten Vergangenheit, was die Zugangskontrollen mit den niedrigen Privilegien noch komplexer macht.

Fit für die Zeit nach COVID-19 mit moderner passwortfreier Authentifizierung

Obwohl das wahrscheinlich nicht der einzige Grund war, ging die Anzahl der Helpdesk-Tickets deutlich nach unten. Das Zurücksetzen von Passwörtern ist die Nummer 1 bei den Helpdesk-Anfragen mit insgesamt etwa 28.000 Tickets pro Jahr, gefolgt von VPN-Problemen, die zu weiteren 13.000 jährlichen Anfragen führen. Diese beiden Probleme entfallen mit Microsofts Passwort/Zero Trust zukünftig.

Für den Einstieg in eine passwortlose Zukunft empfiehlt Microsoft folgendes:

  • Erfassen Sie telemetrische Daten und bewerten Sie die Risiken – und setzen Sie dann Ziele
  • Machen Sie sich mit Modern Identity und MFA vertraut
  • Konzentrieren Sie sich bei der Durchsetzung der Zugangskontrolle auf die am häufigsten verwendeten Anwendungen, um eine maximale Abdeckung zu gewährleisten
  • Beginnen Sie mit einfachen Richtlinien zur Sicherstellung des Gerätezustands, wie z. B. Gerätesperre oder Passwortkomplexität
  • Legen Sie Ihre Netzwerkverbindungsstrategie fest

Microsoft ist sicher nicht das einzige und auch nicht das erste Unternehmen, das den Mitarbeiterzugang neu denkt. Schon 2011 begann BeyondCorp als eine interne Google-Initiative, die es jedem Mitarbeiter ermöglichen sollte, von nicht vertrauenswürdigen Netzwerken aus ohne die Verwendung eines VPN zu arbeiten. Google war damit bestens auf einen “Work at Home Exodus” vorbereitet.

Angesichts des zunehmenden Bewusstseins ist es jetzt an der Zeit, die Art und Weise, wie wir den Nutzerzugang ermöglichen und sichern, gründlich zu überdenken. Fakt ist: Proaktive Unternehmen wie Microsoft und Google profitieren bereits jetzt davon.

 

Die Ausrottung der Brieftaube war bedauerlich; die Ausrottung des Passworts hingegen ist allerdings längst überfällig. Passwortlose Authentifizierung ist eine moderne Form der Authentifizierung in einer modernen Welt. Jede andere Schlussfolgerung wäre illusorisch.

 

Das könnte Sie auch interessieren