Die IT-Administratoren in den Betrieben sind zu einem Spagat gezwungen: Einerseits müssen sie die Systeme verlässlich schützen. Andererseits sollen sie auch auf Benutzerfreundlichkeit achten. Denn wenn die Hürden für die Anwender zu hoch sind, werden die Sicherheitselemente nicht akzeptiert. Wie man dieses Dilemma löst, zeigte die IHK Nürnberg für Mittelfranken mit dem Webinar „Mobiles Arbeiten und Zero Trust – Spagat zwischen Sicherheit und Benutzerfreundlichkeit“.

Die Anforderungen an die betriebliche IT steigen stetig, weil sich die Bedrohungslage ständig verschärft und die Hacker-Angriffe immer professioneller und gefährlicher werden. Auch im Gefolge der Kriege in der Ukraine oder im Nahen Osten nehmen Cyber-Angriffe auf Unternehmen und Behörden zu. Als Herausforderung kommt das vermehrte Arbeiten im Homeoffice hinzu: Denn dadurch gibt es bei mehr Personen Angriffspunkte, da diese sich nicht mehr in einem geschützten Netzwerkbereich befinden. „Jedes Unternehmen wird täglich mit mehreren Angriffsversuchen bombardiert“, sagte Referent Bernd Nüßlein, der als Vice President Sales & Marketing beim Nürnberger IT-Sicherheitsspezialisten NCP engineering GmbH tätig ist. „Aber wer gut aufgestellt ist, kann die meisten Angriffe abwehren.“

„Zero Trust“-Konzept

Früher sei es Standard gewesen, eine Firewall, Virenscanner, VPN und Passwörter zu verwenden. „Das genügt heute nicht mehr“, sagte der IT-Experte. Die Anforderungen an die IT-Sicherheit hätten sich vor allem durch das Homeoffice und das mobile Arbeiten grundsätzlich verändert. Ein zentraler Begriff dabei ist „Zero Trust“ – ein Konzept, nach dem die IT-Infrastruktur aufgestellt wird. Das Grundprinzip lautet: Vertraue niemanden. Nüßlein fasst diesen Ansatz so zusammen: „Sicherer ist es, wenn ich jedem erst einmal

nichts erlaube und dann nach und nach die Rechte vergebe. So ist bei einem erfolgreichen Angriff nicht gleich das gesamte Netzwerk betroffen.“ Nicht jeder darf sich also im Netzwerk überall hinbewegen und es wird immer wieder geprüft, ob der Nutzer auch wirklich dauerhaft in einen bestimmten Bereich darf.

Deshalb wird Zero Trust als Strategie künftig eine wichtige Rolle spielen. Viele Unternehmen setzen sie bereits um oder planen, sie einzuführen. Bei der Umsetzung spielen verschiedene Faktoren eine Rolle – beispielsweise ob das Unternehmen mehrere Standorte hat, ob es Endkunde oder Dienstleister ist, welche Applikationen verwendet werden, wo die Daten gehostet werden oder welche Sicherheitsstandards von den Kunden verlangt werden. So hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine neue Verschlusssachen-Anweisung (VSA) erlassen, die für immer mehr Unternehmen von Bedeutung ist. „Da muss dann auch mobiles Arbeiten nach den Richtlinien des BSI stattfinden“, sagt Nüßlein.

Dennoch ist der IT-Experte der Meinung, dass damit der Remote Access – also der Fernzugriff – nicht tot ist. Viele Unternehmen verlagern nicht alles in der Cloud, lassen nicht all ihre Daten bei externen Rechenzentren hosten oder beziehen nicht alles als „Software as Service“. Sie hosten sensible Daten lieber auf dem eigenen Server oder im eigenen Rechenzentrum. „Denn das sind die Kronjuwelen, die ich nicht hergeben möchte, die ich nicht einem Anbieter aus Amerika, dem Nahen Osten oder von sonst irgendwo zur Verfügung stellen möchte“, erläuterte Nüßlein. Bei einer umfassenden Lösung seien sowohl Cloud-Lösungen als auch transparenter Netzzugriff möglich – beide Welten müssten berücksichtigt werden.

Technische Anforderungen

Die Anforderungen dafür sind unter anderem eine universelle Schnittstelle (REST-API) und Endpoint Security – also technische und organisatorische Maßnahmen, die die unterschiedlichen Endgeräte eines Netzwerks vor unbefugtem Zugriff oder vor der Ausführung schädlicher Software schützen. „Dabei muss bei jedem Zugriff die Berechtigung geprüft werden“, mahnt Nüßlein. Hilfreich sei auch „Windows Pre-Logon“: Das ist eine Sicherheitsfunktion, mit der die Hardware daraufhin überprüft wird, ob sie Bestandteil des Netzwerks ist. Dies geschieht, wenn das Gerät eingeschaltet wird und noch bevor sich der Nutzer anmeldet.

Eine weitere Möglichkeit ist Single Sign-on (SSO), das die Benutzerfreundlichkeit verbessert, indem es die Anmeldeparameter automatisiert an zusätzliche Applikationen weitergibt. Die sogenannte Security Assertion Markup Language (SAML) übernimmt dieses SSO auch für die Cloud: Das bedeutet, man kann sich – ähnlich wie mit einem Google- oder Facebook-Konto – auch bei anderen Diensten anmelden. SAML ermöglicht damit den sicheren Zugriff auf mehrere Webanwendungen mit einem einzigen Satz von Anmeldeinformationen.

Unabdingbar sind laut Nüßlein universelle VPN-Clients: Sie ermöglichen einen direkten Zugriff vom Rechner ins Internet und gleichzeitig einen transparenten Netzzugriff. „Damit können Sie beide Welten abdecken und bieten klar definierte Firewall-Regeln für das Internet.“ Moderne Lösungen für den Fernzugriff bei Cloud-Konzepten nutzen „Application Based Tunneling“ oder „VPN-Bypass“. Sie ermöglichen den direkten Zugriff auf das Internet oder auf Cloud-Lösungen und bieten dabei gleichermaßen maximale Sicherheit und Benutzerfreundlichkeit: „Dabei macht die Maschine alles automatisch. Sie ist so konfiguriert, dass die Parameter automatisch übergeben werden. Der Benutzer muss sich nicht darum kümmern“, erklärte Nüßlein. Und das sei das A und O, denn der Mensch sei immer noch das schwächste Glied bei der IT-Sicherheit. Denn wenn er viel klicken und viel eingeben muss, kann er viele Fehler machen. Je weniger der Benutzer tun muss, desto weniger Fehler macht er und umso sicherer ist das System. Und durch mehr Benutzerfreundlichkeit genießt das System auch mehr Akzeptanz bei den Mitarbeitern.

Multi-Faktor-Authentisierung

Ein wichtiger Punkt bei Zero Trust ist die Multi-Faktor-Authentisierung (MFA), bei der laut Umfragen noch am meisten Nachholbedarf bestehe. „Viele nutzen immer noch einfach einen Benutzernamen und ein Passwort, das nie abläuft“, weiß Nüßlein aus seiner Beratungspraxis. Nur wenige Anwender haben mittlerweile einen zweiten Faktor, ähnlich wie beim Online-Banking, wo inzwischen zusätzlich eine TAN eingegeben werden muss, man einen Code per SMS bekommt oder die Freigabe über eine App bestätigen muss. „Das haben noch nicht einmal 50 Prozent der deutschen Unternehmen“, sagt der IT-Experte. Noch eine Stufe höher ist die MFA, wenn sich der Rechner zunächst über ein Zertifikat authentifiziert und der Benutzer sich dann noch über eine Zwei-Faktor-Authentifizierung anmelden muss. „Das ist das A und O. Und Zero Trust ohne MFA ist kein Zero Trust“, erklärte Nüßlein.

Die IT-Security muss immer so eng gestrickt sein, wie der Administrator es vorgibt. Auf der anderen Seite muss eine angemessene Benutzerfreundlichkeit gegeben sein. Denn wenn es beim Nutzer und auch beim Administrator keine Akzeptanz gibt, werde es irgendwann ein Sicherheitsleck geben. Der Mensch versucht dann, das Problem zu umgehen und sich eine Brücke zu bauen. IT-Experte Bernd Nüßlein fasst die richtige Balance folgendermaßen zusammen: ‚„Nur wenn der Administrator von der Lösung überzeugt ist und der Nutzer sagt, damit kann ich gut arbeiten, dann ist das Security-Level richtig.“

Kontakt bei der IHK Nürnberg für Mittelfranken

Tel. 0911 1335-1320

E-Mail: richard.duerr@nuernberg.ihk.de

Quelle/ Autor: Klaus Leonhard