Die Sicherung aller Zugänge – eine indiskutable Pflicht jedes Unternehmen
November 2022
In einem Kontext, in dem sich die digitale Nutzung deutlich verändert und Cyberkriminalität heute als drittgrößte Wirtschaftsmacht der Welt gilt, ist die Notwendigkeit, den Zugang zu den Infrastrukturen von Organisationen zu sichern, noch nie so groß wie heute. Die Sicherung des Zugangs ermöglicht es den Unternehmen, die Kontinuität ihres Geschäftsbetriebs zu gewährleisten, die gesetzlichen Vorschriften einzuhalten und vor allem die Daten für alle zugänglich zu machen, um Innovationen zu ermöglichen und so ihre wirtschaftliche Wettbewerbsfähigkeit zu sichern.
Der Bedarf an sicherem Zugang zu den Daten von Unternehmen war noch nie so groß wie heute. Mit der Pandemie erlebt die Welt eine Beschleunigung des digitalen Wandels. Man denke nur an die Standardisierung der Telearbeit, die massive Zunahme der Cloud-Dienste, das starke Wachstum der Zahl der mobilen Geräte und an vieles mehr. Diese Anwendungen, die es vielen Organisationen ermöglicht haben, während der langen Monate der Abriegelung weiterzuarbeiten, erhöhen die Anzahl der Zugangspunkte zu ihrer IT-Infrastruktur erheblich. Die Zugangspunkte sind für Hacker potenzielle Eingangstüren, deren Sicherung dringend umzusetzen ist, um die dahinter verbogenen Daten und Anwendungen zu schützen. Die Bilanz für 2021 ist eindeutig: 40 Milliarden personenbezogene Daten wurden gehackt, das sind rund 10 persönliche Daten pro Person weltweit, was einem Anstieg von 78 % gegenüber 2020 entspricht.
Dieser Rekord wird wohl noch vielmals gebrochen werden, denn die Cyberkriminalität erfährt aktuell eine Art Industrialisierung, wodurch das Cyberrisiko, das auf der Wirtschaft vieler Länder lastet, stark zunehmen wird. Hacker-Organisationen operieren inzwischen sehr nah an den Unternehmen. Die Cyberkriminalität gilt als drittgrößter Wirtschaftszweig der Welt. Im Jahr 2021 werden die weltweiten Kosten auf 6 Billionen Dollar geschätzt, und bis 2025 werden sie auf 10,5 Billionen Dollar ansteigen, gegenüber 3 Billionen Dollar im Jahr 2015. Diese Kosten umfassen die Beschädigung und Zerstörung persönlicher und/oder finanzieller Daten, den Diebstahl von Geld, den Verlust von Produktivität, die Veruntreuung von Geldern, Betrug, aber auch den Diebstahl von geistigem Eigentum und die Rufschädigung. Zu berücksichtigen sind auch die Kosten, die durch die Unterbrechung der Organisationstätigkeit verursacht werden und dies manchmal über einen langen Zeitraum nach dem Angriff, und schließlich die Investitionen, die zur Wiederherstellung der gehackten Daten und Systeme erforderlich sind.
Es gibt keine Sicherheit mehr – sondern nur den richtigen Schutz
Wir leben heute in einer Zeit des Paradigmenwechsels, in der es keine Sicherheit an den Grenzen mehr gibt, in der die Benutzer – Menschen oder Maschinen – immer mobiler werden und jederzeit und überall auf die Daten von Organisationen zugreifen müssen. Die Daten selbst werden flüchtig (Cloud-Speicher, SaaS-Lösungen, Automatisierung usw.), um Kosten zu kontrollieren und Flexibilität zu gewinnen. Dies gilt für alle Sektoren, auch für die kritischsten wie beispielsweise das Gesundheitswesen, die Industrie, die Behörden, die dringend alle diese Zugriffe sichern müssen, um die Geschäftskontinuität und die Einhaltung gesetzlicher Vorschriften zu gewährleisten und vor allem die Daten so zugänglich zu machen, dass Innovationen möglich werden und die wirtschaftliche Wettbewerbsfähigkeit stärken.
Für die Sicherung der Zugänge sollten Unternehmen die folgenden Maßnahmen anstreben:
- Eine Multi-Faktor-Authentifizierung (MFA) zur Neutralisierung der mit kompromittierten Identifikatoren verbundenen Risiken.
- Die Verwaltung des Fernzugriffs auf Grundlage der neuesten Sicherheitstechnologien, denn dadurch wird der Fernzugriff für Lieferanten, Mitarbeiter oder Drittverwalter aufrechterhalten.
- Eine Sitzungsverwaltung: Zur Überwachung, Verfolgung und Prüfung von Sitzungen.
- Die Passwort-Verwaltung: Zur Sicherung und Rotation von Passwörtern und Schlüsseln sowie zum Entfernen von harten Passwörtern.
- Und schließlich die Verwaltung der geringsten Privilegien: Vergabe der richtigen Privilegien an den richtigen Benutzer zur richtigen Zeit und Unterbindung der Ausbreitung von Malware durch Blockieren von lateralen und vertikalen Bewegungen.
Integrierte Lösungen für den bestmöglichen Schutz
WALLIX hat alles das in einer Lösung namens PAM4ALL vereint. Sie hilft Unternehmen, damit sie schnell eine Zero-Trust-Architektur implementieren können – mit einer starken Authentifizierung und einer Zugriffskontrolle, die an den Benutzer, Mensch oder Maschine, und an die Aufgabe, die er zu einem bestimmten Zeitpunkt ausführen muss, angepasst ist (Just-in-Time). Wichtig ist es auch, dass die Security-Verantwortlichen einen ständigen Überblick über die Aktivitäten in Firmennetzwerk haben und frühzeitig Maßnahmen gegen fortgeschrittene Bedrohungen bis hin zu Malware einleiten. Eine starke Authentifizierung ist zu implementieren, Privilegienerhöhungen zu kontrollieren, seitliche Bewegungen zu blockieren, lokale Administratorrechte zu entfernen. Konten, Schlüssel und Zertifikate müssen gesichert werden, die für die Automatisierung und DevOps-Praktiken erforderlich sind. Diese DevOps-Umgebungen sollten so abgesichert werden, unabhängig von der Art der verwendeten Automatisierungsplattform, ohne dass die Identifikatoren offengelegt werden (ohne Hard Coding). Zugriffskontrollrichtlinien stellen sicher, dass die richtigen Ebenen der erforderlichen Privilegien vergeben werden. Und auf der Grundlage von Best Practices für die Rotation von Passwörtern werden Vorgehensweisen definiert, ohne die internen Arbeitsprozesse zu stören oder zu unterbrechen.
Es ist also absolut notwendig, den gesamten Zugang zu sichern und nicht nur den von privilegierten Konten. Nach dem Prinzip der geringsten Privilegien werden alle gefährdeten Benutzer und Arbeitsstationen der Organisation absichert. Jeder hat in der täglichen Arbeit irgendwann einmal das Privileg, auf bestimmte Ressourcen innerhalb der Organisation zuzugreifen. Die Herausforderung besteht darin, zum richtigen Zeitpunkt und mit der richtigen Berechtigungsstufe Zugang zu gewähren, um die erwartete Aufgabe zu erfüllen, unabhängig davon, wo man sich befindet, ob innerhalb oder außerhalb des Unternehmens – und zwar
- für alle Benutzer: Mitarbeiter, Lieferanten, Partner, Menschen oder Maschinen etc.,
- für alle Sitzungen,
- auf alle strategischen Assets des Unternehmens und
- auf allen Endgeräten des Unternehmens.