ESETs Idee von Zero Trust „reloaded“

Nächste PM
Ildiko Bruhns, Michael Klatte

Die Bedrohung durch Cyberkriminelle ist in Deutschland nach Einschätzung des Bundeskriminalamts (BKA) weiter angestiegen. Im kürzlich vorgelegten „Lagebild Cybercrime 2021“ zeichnen die Experten ein düsteres Bild. So steigt nicht nur die Anzahl der Angriffe, sondern ebenso die Qualität in gefährlichem Maße permanent an. Und dass Ransomware die aktuell größte Gefahr darstellt, überrascht niemanden mehr wirklich.

Die Lehre aus den vielen Vorfällen der letzten Monate ist bitter, aber durchaus hilfreich. Wer Software und Anwendungen mit all ihren nützlichen Funktionen für sein Unternehmen nutzen will, kann die Augen nicht vor den immer größer werdenden Gefahren verschließen, sondern muss umdenken.

▶         Es reicht nicht mehr aus, dass Administratoren möglichst schnell auf neue Bedrohungen reagieren. Wenn sie eingreifen, ist es vielleicht schon zu spät.

▶         Es reicht nicht mehr aus, mit Antivirensoftware, Spam- und Phishingfilter und Firewall die Angriffe abwehren zu wollen. Dafür sind diese zu raffiniert und vehement.

▶         Es reicht nicht mehr aus, das eigene Netzwerk im Bürogebäude als „sicher und ungefährlich“ anzusehen und nur alles Externe als Bedrohung aufzufassen.

Die Frage ist heutzutage nicht mehr, ob es zu einem Angriff kommt, sondern wann. Geschehen wird er in jedem Fall. Diese Einsicht ist wesentlich für einen Paradigmenwechsel in Organisationen. Diese benötigen fachkundige Exchange-Administratoren, Security-Lösungen, ein internes Sicherheitsteam oder einen externen Managed Service Provider nicht als Selbstzweck, um ein gutes Gewissen zu haben. Man muss sich ernsthaft und proaktiv auf Cyberattacken vorbereiten. Und sich fragen, welche Schwachstellen im eigenen Unternehmen existieren und abgesichert werden müssen.

NEUER DENKANSATZ: ESET ZERO TRUST SECURITY

Heute greifen immer mehr Angestellte, externe Dienstleister sowie Geschäftspartner von verschiedenen Orten auf Daten und Dienste zu. Immer mehr Anwendungen werden im SaaS-Modell (Software-as-a-Service) bereitgestellt. Mitarbeiter greifen direkt auf sie zu, ohne einen VPN-Tunnel zum Unternehmen aufzubauen. Was ein Perimeter in modernen Organisationen ist, lässt sich oft nicht einmal definieren. Kurzum: Es ist nicht einfach, die Sicherheit in einer modernen, komplexen Umgebung zu gewährleisten. Es gibt keine „vertrauenswürdigen Zonen“ mehr, die es zu sichern gilt. Vielmehr muss die Sicherheit für jede einzelne Entität, die mit Unternehmensressourcen in Kontakt steht, gelten und permanent überprüft werden. Sie dürfen nur für eine begrenzte Zeit und auf diejenigen Ressourcen gewährt werden, die für die Durchführung der erwarteten Aktion erforderlich sind.

Mit der Verlagerung von Infrastrukturen und Diensten in die Cloud ändert sich nicht nur die Angriffsfläche, sondern sie vergrößert sich auch. Denn nur die wenigsten Unternehmen arbeiten rein Cloud-basiert: Viele betreiben auch in Zukunft einen Mix aus Kerngeschäft in den eignen Räumlichkeiten, Cloud-Diensten, externen Arbeitsplätzen und Dienstleistern.

Zero Trust kann zu einer erhöhten Sicherheit von Organisationen führen. Wie lässt sich nun in der Praxis „proaktiv“ agieren und Sicherheit neu denken? Vom Prinzip her stellt sich nur eine Frage: Wie kommen Cyberkriminelle überhaupt ins eigene Netzwerk? Die Antwort darauf ist schon die Lösung. Wenn man das Patch Management für Betriebssysteme und Software als „Muss“ ausklammert, bleiben eigentlich nur noch vier Bereiche für Angreifer übrig: unsichere Datenverbindungen, keine eindeutige Überprüfung der Identitäten von Mitarbeitern, Malware und der Risikofaktor Mensch (speziell Phishing und Social Engineering).

Diese wunden Punkte haben Administratoren eigentlich im Blick, allerdings ist deren Denkgerüst dahinter vielfach ein nicht mehr zeitgemäßes - und lautet ungefähr so: Alles, was sich im eigenen Netzwerk (und auch im selben Bürogebäude) befindet, kann man als eher sicher und gefahrenfrei einschätzen. Alles, was von außen hereinkommt, sollte einer gründlichen Überprüfung unterzogen werden. Das war bis vor kurzem absolut richtig und ausreichend. In Zeiten von Corona, Home-Office und starker Digitalisierung passt die Methodik nicht mehr so gut. Denn immer mehr Mitarbeiter, die vor kurzem noch „innen“ waren, sind plötzlich extern im Home-Office. Trotzdem werden sie nicht ausreichend als potenziell gefährlich eingeschätzt. Wer sich zum Beispiel über eine RDP-Verbindung am Firmenserver einwählt und die richtige Kombination aus Benutzername und Passwort kennt, der muss ja freundlich sein.

An diesem Punkt kommen Hacker ins Spiel: Genau das wissen die Täter und attackieren äußerst zielgerichtet. So ist es kein Wunder, dass sich die Angriffe auf das Remote Desktop Protocol (RDP) konzentrieren. Mit Erfolg: ESET identifizierte zwischen 2020/2021 71 Milliarden Angriffsversuche auf die RDP-Verbindungen, welche die Mitarbeiter im Home-Office mit ihren Unternehmensnetzwerken verknüpft. Im Erfolgsfall stehen nur noch Benutzername/Passwort als Hürde im Weg. Das Knacken dieser Kombination per Brute Force, durch im Darknet illegal erworbener Zugangsinformationen oder Datenbankangriffe gehören zur Basisausstattung moderner eCrime-Banden. Auch Phishing- und Malware-Attacken verzeichnen ähnlich hohe Zahlen, denn das Home-Office ist in vielen Fällen nicht so abgesichert, wie es hätte sein sollen.

Vorausschauendes Denken bedeutet in diesem Punkt für jede Organisation, es „Eindringlingen“ so schwer wie möglich machen. Daher sollten sie ein Virtual Private Network (VPN) anstelle einer RDP-Verbindung und eine Multi-Faktor-Authentifizierung implementieren, um Internetzugriffe auf Server besser abzusichern. Oder anders gesagt: Wer von extern in das Netzwerk eintreten möchte, muss nachweisen, dass er dies über den richtigen, abgesicherten Weg vornimmt und gleichzeitig die Person ist, die er vorgibt zu sein. Hinzu kommt noch eine weitere zu berücksichtigende und bislang oft vernachlässigte Tatsache: Im eigenen Netzwerk laufen zu wenige Kontrollen, ob sich nicht doch etwas oder jemand eingeschlichen hat, der das System gefährden könnte.

DAS ESET REIFEGRADMODELL

Nimmt man den letzten Punkt hinzu, gelangt man zum Denkansatz von „Zero Trust Security“. Diese konzeptionelle Basis hat ESET aufgegriffen, weiterentwickelt und auf die Bedürfnisse unterschiedlicher Organisationsgrößen zugeschnitten. In Zeiten von New Work und Home-Office hat sich das als zwingend erforderlich erwiesen. Der Zero Trust Security-Ansatz von ESET besteht aus einem dreistufigen, aufeinander aufbauenden Reifegradmodell. Je höher die Stufe ist, desto sicherer ist die Schutzwirkung – also „reifer“. Das Modell startet mit der Basisstufe „Grundschutz Plus“, die dem Prinzip des „Multi Secured Endpoint“ folgt. Diese eignet sich unabhängig vom individuellen Schutzbedarf für jede Organisation und sollte die Mindestanforderung jeder IT-Abteilung abbilden. Daran schließen sich zwei Zero Trust-Stufen mit weiter steigenden Security-Maßnahmen und -Diensten an. 

Eine der großen Herausforderungen stellen Insellösungen dar, die nicht verzahnt ineinandergreifen. ESET hat dies frühzeitig erkannt und bietet mit seinem „Multi Secured Endpoint“-Ansatz ein am Markt einmaliges Lösungsportfolio an, das technologisch ausgereift ist und umfassend das nötige Schutzniveau gewährleistet. Der europäische Hersteller setzt dabei konsequent auf eigene Technologien – und das über alle gängigen Betriebssysteme hinweg, cloudbasiert oder on-premises. Von der Endpoint Protection über die Multi-Faktor-Authentifizierung bis hin zur Verschlüsselung können Kunden auf ESET vertrauen. Das sogenannte „Single Vendor Prinzip“ vereinfacht es den Administratoren und reduziert zugleich den Kostenaufwand. Nahezu alle ESET Lösungen lassen sich über die Management-Konsole ESET PROTECT komplett administrieren.  

Die Sicherheit aus einem Guss basiert auf dem Bekenntnis zu Zero Trust Security, also dem vollumfänglichen Schutz aller Geräte, sowohl intern als auch extern. Damit geht ESET sogar einen Schritt weiter, als es das Bundesamt für Sicherheit in der Informationstechnik (BSI) fordert. Dies ist insbesondere für alle Organisationen und Unternehmen wichtig, die als Kritische Infrastrukturen (KRITIS) eingestuft sind.

Wenn Sie mehr zu Zero Trust im Allgemeinen erfahren möchten und wie das ESET Reifegradmodell in die Praxis umgesetzt wird, dann empfehlen wir Ihnen unser kostenloses ePaper „Zero Trust verstehen, Security stärken“. Dieses finden Sie auf unserem Security-Blog „Digital Security Guide“ unter https://digitalsecurityguide.eset.com/de/zero-trust.