Traue niemandem

Die Statistiken zu den Cyberattacken sprechen eine deutliche Sprache. Die Tendenz zeigt klar nach oben. Daneben kommen Datenklaus die betroffenen Firmen immer teurer zu stehen. Nach aktuellen weltweiten Zahlen von IBM Security verursachte ein Datenverlust 2020 im Durchschnitt 4,24 Millionen Dollar. Das sind gemäss IBM 10 Prozent mehr als noch im Vorjahr.

Hinzu kommt, dass die Angreifer nicht nur von extern die Organisationen und Unternehmen angreifen, etwa mit Ransomware. In vielen Fällen stammen die Angreifer auch von innerhalb. Sogenannte Insider-Attacken lagen gemäss dem X-Force Threat Intelligence Index 2021 von IBM bei 16 Prozent. «Gerade in Europa und auch in der Schweiz ist die Insider-Herausforderung deutlich höher als in anderen Regionen der Welt», berichtet Raphael Mettan, der bei IBM Schweiz die Security-Geschäftseinheit leitet, während eines Medienanlasses in Zürich.

Daneben hat sich auch die IT-Landschaft stark verändert, von sehr zentralisierten zu quasi grenzenlosen Umgebungen. Dies hat auch Folgen für die IT-Security, die traditionell darauf bedacht ist, den Perimeter, also die Grenze zwischen öffentlichem Netz und interner IT abzusichern. «In heutigen Umgebungen ist die Situation dagegen so, dass sich kaum noch Perimeter definieren lassen», meint Mettan. Es seien daher neue Modelle und Ansätze nötig, um die Daten absichern zu können. «Einer dieser Ansätze ist der Zero-Trust-Ansatz», fügt er an. Dabei handelt es sich laut IBM um ein Rahmenwerk von Security-Prinzipien, das ständig weiterentwickelt wird. «Neu gehen wir davon aus, dass wir keiner Verbindung, keinem Gerät und keinem User per se einfach vertrauen können», umreisst Mettan denn auch die Grundidee von Zero Trust.

Um den Zero-Trust-Ansatz umsetzen zu können, müssen gemäss IBM drei Grundprinzipien beachtet werden. Das erste lautet «Nie vertrauen, immer überprüfen» («Never Trust, Always Verify»). Dabei wird grundsätzlich keiner Person vertraut, auch dann nicht, wenn diese Mitarbeitende des Unternehmens ist. Dasselbe Misstrauen sollte gemäss Raphael Mettan auch bezüglich Geräten oder Applikationen gelten, die Teil des Firmennetzwerkes sind. Gleichzeitig findet eine rigorose Überprüfung der Zugriffe auf die Firmendaten statt.

Das zweite Prinzip lautet «Nur die geringsten Privilegien einrichten» («Implement Least Privileges»). Dabei soll Personen, Geräten und Applikationen nur ein Minimum an Zugang gewährleistet werden, und zwar nur so viel, wie sie unbedingt für die Erledigung ihres Jobs benötigen. In einer Zero-Trust-Welt sind somit die Zeiten, da beispielsweise ein Administrator jeder Zeit uneingeschränkt Zugriff auf alle Daten und Systeme besass, vorbei. «Selbst ein Administrator muss die Rechte anfordern, um zu einem bestimmten Zeitpunkt eine eng definierte Tätigkeit ausführen zu können», erläutert Mettan und betont, dass er die Privilegien nach getaner Arbeit auch wieder verliert.

Das dritte Prinzip schlägt Organisationen vor, «Datenlecks anzunehmen» («Assume Breach»), also vom Worst-Case-Szenario auszugehen. Hier sollten IT-Security-Teams von Unternehmen Notfallpläne, wie sie auf Angriffe reagieren, einerseits erarbeiten und andererseits immer wieder trainieren und verbessern.