Seit Anfang 2020 hat sich das Verständnis von Security in der IT maßgeblich verändert. Home-Office, stärkere Vernetzung mit Lieferanten, Partnern und Kunden sowie die Verlagerung vieler Anwendungen in die Cloud hebeln traditionelle Security-Konzepte aus.
Das haben die meisten Unternehmen auch verstanden: Laut einer Studie von Bitkom Research und KPMG sind die wichtigsten Kriterien bei der Auswahl von Cloud-Diensten einerseits die Leistungsfähigkeit und Stabilität der Systeme (89 Prozent). Ebenso wichtig sind den Unternehmen Sicherheit und Compliance des Cloud-Providers (86 Prozent).
Vertrauen wird zur unternehmerischen Grundlage
Den hohen Stellenwert von Sicherheit bestätigt auch die IDC-Studie "Cybersecurity in Deutschland 2021" von Oktober 2021. Befragt wurden Security-Verantwortliche aus 200 Unternehmen mit mehr als 100 Mitarbeitern. Dabei offenbart die Studie einen weiteren wichtigen Punkt: Für 75 Prozent der Unternehmen ist IT-Security bereits heute ein wichtiger Wettbewerbsvorteil, der die eigene Marke schützt, indem sie Vertrauen aufbaut. Dieses Konzept wird als "Trust" bezeichnet und ist aus Sicht von IDC eine entscheidende Ressource, "denn Vertrauen ist nicht nur Basis für Geschäfte, wenn es von Kunden entgegengebracht wird, sondern auch für Business-Ökosysteme und Innovationen mit Partnern."
Diese Entwicklung zeigt sich immer deutlicher, so IDC: Mit zunehmender Reife digitaler Geschäftsmodelle in sämtlichen Wirtschaftssektoren – vor allem über die IT-Branche hinaus – "wird Trust zu einem immer wichtigeren Business Asset, dessen Schutz extrem hohe Priorität besitzt und dessen Verlust kritisch für Unternehmen sein kann."
Allerdings haben die Unternehmen die wahre Bedeutung von Trust noch nicht verinnerlicht. Sie operieren eher pragmatisch und punktuell, sie reagieren etwa in Bezug auf Datenschutz (25 Prozent) oder den Schutz vertraulicher Daten (22 Prozent). Den strategischen Aspekt von "Trust" für Umsatz und Kundentreue sehen dagegen laut IDC erst 9 Prozent.
Trust beginnt mit Zero Trust
Doch wo und wie beginnen Unternehmen damit, "Trust" aufzubauen"? Ironischerweise damit, indem sie niemandem trauen und eine Zero-Trust-Infrastruktur aufbauen. Denn Unternehmen können sich nicht darauf verlassen, dass tatsächlich derjenige auf ein Nutzerkonto zugreift, dem das Konto zugeordnet ist: Vielleicht hat er seine Zugangsdaten bei einem Phishing-Angriff preisgegeben, vielleicht hat er sie anderswo benutzt, wo Unbefugte darauf Zugriff hatten, oder er hat sie auf einem fremden Gerät gespeichert, dass er vorübergehend genutzt hat.
Für solche Szenarien wurde das Zero-Trust-Modell entwickelt. Es rückt die Identitäten und Rollen der Nutzer in den Mittelpunkt und überwacht konsequent deren Zugriffsrechte.
Um Nutzer zu authentifizieren, setzen viele Unternehmen schon seit Jahren Active Directory ein. Die Erfahrungen damit und die Investitionen darin lassen sich mit Single-Sign-On (SSO) beim Azure Active Directory (Azure AD) weiter nutzen. Authentifizierte können ortsunabhängig und rollenbasiert auf Anwendungen zugreifen.
Best Practices für Zero Trust
Ein Zero-Trust-Modell ermöglicht sicheres hybrides Arbeiten. Wie die Einführung gelingt, zeigen Erfahrungen von 1.200 Entscheidungsträgern.
Empfehlenswert ist dabei eine zweistufige Authentifizierung oder die kennwortlose Multi-Factor Authentication (MFA). Das senkt das Risiko unbefugter Zugriffe noch einmal deutlich.
Umsetzen lässt sich eine MFA etwa mit dem Microsoft Authenticator. Dieser ermöglicht Push-Benachrichtigungen, Einmal-Passcodes oder eine biometrische Anmeldung bei allen Anwendungen, die mit Azure AD verbunden sind – nicht nur bei denen in der Cloud, sondern auch lokal.
Weiter erhöhen lässt sich die Sicherheit durch den bedingten Zugriff mit Azure AD. Der "Conditional Access" ergänzt die Bemühungen, die auf den Schutz der Nutzeridentität ausgerichtet sind, indem es wertvolle Firmenressourcen mittels Zugriffsrichtlinien besonders schützt. Im Zusammenspiel mit der Geräteverwaltung Microsoft Intune sorgt Azure AD dafür, dass nur verwaltete und richtlinienkonforme Geräte Zugriff auf Microsoft-365-Dienste und lokale Anwendungen erhalten.
Gebot der Stunde: Komplexität in der IT-Sicherheit reduzieren
Die genannte IDC-Studie "Cybersecurity in Deutschland 2021" zeigt auch, wo den Security-Verantwortlichen der Schuh am meisten drückt: Ihre größte Sorge sei die Komplexität von IT-Sicherheit. Diese sei vor allem zurückzuführen auf die große Anzahl der Anbieter in den Security-Landschaften. Rund 49 Prozent der von IDC Befragten setzen zwischen elf und 35 verschiedene Security-Anbieter ein.
Ursache dafür ist der schnelle Wandel in der IT: Kamen neue Möglichkeiten der Bekämpfung auf den Markt, wurden einfach neue Tools angeschafft. Angetrieben wurde diese Entwicklung durch die Cloud-Nutzung, die rasant zunimmt.
Durch die Vielzahl der eingesetzten Tools werden Funktionen oft mehrfach abgedeckt. Das verursacht unnötige Kosten und bremst möglicherweise die Systeme. Außerdem können sich überschneidende Security-Lösungen gegenseitig behindern.
Alle Teile des Sicherheits-Puzzles aus einer Hand
Das Gebot der Stunde lautet also, Komplexität zu reduzieren, die eingesetzten Tools zu konsolidieren und dennoch gleichzeitig die Sicherheit zu erhöhen. Das gelingt, wenn man neue Tools nicht mehr ad-hoc nutzt, sondern auf strategische Security-Konzepte entwickelt.
So etwas fällt mit einem Plattform-Ansatz leichter, der viele Aspekte der Endgerätesicherheit sowie der Sicherheit von Nutzerkonten und nutzernaher Applikationen abdeckt – denn das sind die größten Einfallstore für Angreifer und Malware.
Noch einen Schritt weiter geht Azure Sentinel. Diese Cloud-native SIEM-Lösung (Security Information und Event Management) nutzt künstliche Intelligenz und basiert auf der jahrelangen Erfahrung von Microsoft im Umgang mit Angriffen. Azure Sentinel erkennt etwa ungewöhnliches Verhalten bei Nutzerkonten – oft ein sicherer Hinweis darauf, dass diese kompromittiert wurden.
Sentinel sammelt auch Cloud-übergreifend die erforderlichen Daten von Anwendungen, Servern und Geräten, um einen stets aktuellen Überblick über die Sicherheitslage zu geben und um im Ernstfall schnell und angemessen reagieren zu können.
Die Daten können auch Microsoft von 365 Defender stammen. Trotz der Namensgleichheit mit dem "Windows Defender", an den sich viele wahrscheinlich noch als Antivirus-Lösung erinnern, geht Microsoft 365 Defender weit über dessen Fähigkeiten hinaus und kann etwa Bedrohungsdaten automatisch domainübergreifend analysieren. Der hohe Automatisierungsgrad erlaubt es Sicherheitsexperten, Angriffe in allen Phasen zu erkennen, auf sie zu reagieren und die IT-Sicherheit des Unternehmens aufrecht zu erhalten.
Auf diese Weise sorgen besonders Sicherheits-Tools aus der Cloud dafür, dass Trust zur unternehmerischen Grundlage werden kann. Erfahren Sie mehr über Trust, Zero Trust und IT-Sicherheit für die Cloud in dem E-Book "Modernisierung und Digitalisierung mit Microsoft Azure".
Alle Artikel aus Sicherheit
Neue Risiken erfordern neue Antworten. Diese Technologien und Konzepte bringen Sie auf den neuesten Stand.
