In einer zunehmend komplexen Welt wird es für Unternehmen immer schwieriger, mögliche Risiken abzuschätzen. Genau diese Risiken müssen aber in Schach gehalten werden. Daher fragen sich immer mehr mittelständische Unternehmen, wie sie ein effektives Risikomanagement umsetzen können.
Die Antwort könnte in einem Bereich zu finden sein, der selbst ein essenzieller Bestandteil dieses Risikomanagements ist: in der IT-Sicherheit. Denn das Thema „Sicherheit in der IT“ wandelt sich gerade massiv und wird inzwischen ganzheitlich gedacht. Man liest fast täglich von Cyber-Angriffen auf Unternehmen, Ransomware-Attacken oder schwerwiegenden Sicherheitslücken. Um solche Angriffe abzuwehren oder zu verhindern, reichen ein Virusscanner auf jedem Endgerät und eine Firewall um das interne Netzwerk herum bei weitem nicht mehr aus.
In dieser Lage hat das Konzept „Zero Trust“ in den vergangenen Jahren eine steile Karriere hingelegt. Es trägt seinen Ansatz schon im Namen: Vertraue nichts und niemandem. Was erst einmal einfach klingt, erfordert in vielerlei Hinsicht eine Abkehr von bisherigen Konzepten – und kann gerade deswegen über die IT-Sicherheit hinaus ein Ansatzpunkt für ein effektives Risikomanagement sein.
Die sechs Säulen eines Zero-Trust-Konzepts
In ihren Anfängen war die IT-Sicherheit vergleichbar mit einer Ritterburg. War die Zugbrücke einmal heruntergelassen, hatte man innerhalb der Burg freies Geleit.
Bei Zero Trust wird nun darauf geachtet, dass jeder innerhalb der Burgmauern nur und ausschließlich seiner zugewiesenen Aufgabe nachgehen kann. Der Bäcker kommt zwar über die Zugbrücke, wird aber auf seinem Weg in die Küche nicht aus den Augen gelassen und darf auch dort nur seine Brote abliefern.
Übertragen auf die IT-Sicherheit setzt Zero Trust dabei auf sechs Säulen auf:
Identität
Endgeräte
Anwendungen
Infrastruktur
Netzwerk
Daten
Wie Sie diese Säulen Schritt für Schritt sichern, erfahren Sie in diesem Strategiehandbuch, Tipps für die Umsetzung erhalten Sie in diesem Leitfaden. Um die Brücke zu einem effektiven Risikomanagement zu schlagen, lohnt es sich, die rein technische Ebene der Infrastruktur und Netzwerke auszublenden und die folgenden vier Säulen genauer zu betrachten.
Identität & Endgeräte
Die Identität bezieht sich auf die Nutzerinnen und Nutzer im weitesten Sinne und umfasst drei Themen: Einmal die Authentifizierung, also kann der Nutzer bestätigen, dass er der ist, der er vorgibt zu sein. Zweitens gehört die Zugriffsverwaltung zum Thema Identität, also auf welche Bereiche kann ein Nutzer zugreifen und vor allem wie lange. Drittens stellt sich die Frage, was dem Nutzer in seinen Bereichen erlaubt ist, sprich: Welche Berechtigungen hat er. Und wie lässt sich standardisiert und automatisiert sicherstellen, dass die Nutzer zu jedem Augenblick genau die richtigen Berechtigungen erhalten.
Da es heutzutage gängig ist, mit mehreren Endgeräten zu hantieren, gelten diese Prinzipien dort genauso. Endgeräte müssen also dahingehend gesichert sein, dass sich eine Identität auf und mit diesen Endgeräten sicherstellen lässt.
Anwendungen & Daten
Anwendungen wiederum definieren die Unternehmensbereiche, die betroffen sind: Ein Nutzer eines CRM-Systems hat andere Anforderungen – und Berechtigungen – als jemand in der Finanzbuchhaltung.
Dazu gehören auch Klassifizierung und Zugriff auf die jeweiligen Daten. Um im Beispiel zu bleiben: Die Daten der Finanzbuchhaltung sind sensible Daten des Unternehmens, während die Daten des CRM-Systems sensible Kundendaten darstellen. Geschützt werden müssen beide, aber die Art des Schutzes wird durch unterschiedliche Anforderungen definiert. Die Multi-Faktor-Authentifizierung (MFA) und das Single Sign-On (SSO) in Kombination mit Zero Trust erleichtern damit für die berechtigten Nutzer den Zugriff auf jede Applikation und machen ihn zugleich sicherer.
Daten schützen, rechtliche Anforderungen erfüllen
Ausgehend von diesen Säulen lassen sich wiederum drei Ebenen definieren. Als Erstes ist die Information Protection zu nennen, der Schutz der Daten. Um diesen Schutz für alle Daten festlegen zu können, müssen diese einerseits bekannt, andererseits nach Sensibilität klassifiziert sein. Der Schutz der Daten an sich ist dann die Domäne der IT-Sicherheit, die sich mit einem Tool wie Microsoft Information Protection umsetzen lässt und die genannten Klassifizierungs- und Schutzdienste wie zum Beipsiel die Data Leakage Protection vereinheitlicht.
Prävention als Aufgabe moderner Compliance
Um neue Risiken richtig einzuschätzen, müssen Compliance-Verantwortliche zum Beispiel zwischen Insider und Outsider Risk unterscheiden können.
Auf der zweiten Ebene rücken rechtliche Aspekte und Anforderungen im Zusammenhang mit dem Handling von Daten in den Fokus. Wann dürfen oder müssen Informationen gelöscht werden, für welche Zwecke dürfen bestimmte Daten verwendet werden, wer darf darauf zugreifen und wer darf über Zugriffe entscheiden? Im Falle eines Falles muss ach nachgewiesen werden, wer Zugriff darauf hatte. Hier kommt beispielsweise Microsoft Information Governance zum Einsatz.
Die dritte Ebene schließlich bringt Information Protection und Information Governance zusammen und hilft entsprechende Regularien und Gesetze beim Umgang mit Unternehmensdaten und persönlichen Daten einzuhalten. Hier spielen Definition und Ausgestaltung von Prozessen eine zentrale Rolle. Es geht beispielsweise um die Erfassung von Datenschutzrisiken und die Implementierung entsprechender Kontrollen.
Wie Zero Trust zum Risikomanagement führt
Noch greifbarer wird der Zusammenhang zwischen den Säulen des Zero-Trust-Konzeptes und den genannten Ebenen, wenn das Thema Insider Risiko betrachtet wird. Hier geht es um schützenswertes internes Wissen und Ressourcen. Bei unbeabsichtigt geteiltem Insiderwissen geht es oftmals darum, dass Mitarbeitende sich der Wichtigkeit und Bedeutung dieser Informationen – und eines Interesses Dritter – nicht bewusst sind. Bei vorsätzlichem Missbrauch von Insiderwissen werden solche Informationen zum persönlichen Vorteil genutzt – Stichwort “Datenklau".
Experten bewerten das Insider-Risiko teilweise höher als das Risiko eines erfolgreichen Angriffs von außen. Genau hier hilft es auf die Grundlagen des Zero-Trust-Konzepts zurückgreifen zu können: Stellen die Systeme ungewöhnliches und gefährliches Verhalten in Apps bzw. bei der Verwendung von schützenswerten Daten fest, dann können rechtzeitig definierte Gegenmaßnahmen ergriffen werden, noch bevor das Kind in den Brunnen gefallen und die Daten zu ungewünschten Personen oder Organisationen gelangt sind. Dies erleichtert zudem rechtliche Vorgaben, beispielsweise beim Datenschutz, zu befolgen.
Der große Vorteil von Zero Trust ist die einfache, schrittweise Umsetzung. Da es sich um ein allgemeines Konzept handelt, ist eine gute Vorbereitung und Ausarbeitung eines maßgeschneiderten Konzepts die größte Hürde. Dabei sollten auch Insider-Risiken mit betrachtet werden, damit sich diese nahtlos in die Gesamtstrategie integrieren können. Weitere neue Ansätze für IT-Sicherheit und Compliance lernen Sie in diesem Whitepaper “Blaupausen für den Datenschutz” kennen.
Die Werkzeuge und Lösungen, um ein solches Konzept in die Tat umzusetzen, sind oft schon in der IT im Einsatz. Microsoft bietet dazu die oben genannten Komponenten Information Protection, Data Lifecycle Management sowie das Compliance Management.
Mit der Lösung Microsoft Purview Insider Risk Management können Unternehmen zudem interne Risiken minimieren. Sie erkennt böswillige, aber auch unbeabsichtigte Aktivitäten, untersucht sie, bringt sie durch Policies und Alerting zur Wahrnehmung und hilft so, rasch darauf reagieren zu können. Einen sehr guten Einstieg in die Lösung vermittelt dieser 14-menütige Podcast mit dem Leiter des Teams für Insider-Risiko-Lösungen bei Microsoft. Wie Purview genau aufgebaut ist und wie Sie damit ein Insider-Risikomanagement grundlegend planen, erfahren Sie hier:
Alle Artikel aus Sicherheit
Neue Risiken erfordern neue Antworten. Diese Technologien und Konzepte bringen Sie auf den neuesten Stand.