Zero Trust & IAM

In einer Welt, in der Cyberangriffe immer komplexer werden und traditionelle Sicherheitsansätze an ihre Grenzen stossen, gewinnen Zero Trust (ZT) und Identity and Access Management (IAM) zunehmend an Bedeutung. Dieser Blog Artikel beleuchtet die Grundlagen dieser Konzepte und zeigt auf, wieso digitale Identitäten die Grundbausteine von Zero Trust sind – insbesondere in Hinblick auf moderne IT-Architekturen und die Verwendung von SaaS Anwendungen, die eine zentrale IT Sicherheit und ein durchdachtes Zugriffsmanagement erfordern.

Was ist Zero Trust?

Zero Trust wird oft als Buzzword von vielen Produktherstellern in der Cybersecurity-Branche verwendet und um den Begriff herrscht viel Verwirrung. Doch Zero Trust ist viel mehr als nur ein Buzzword - dahinter steckt ein IT-Security Konzept, welches in der heutigen IT-Landschaft absolut Sinn macht und eine solide Zero Trust Strategie vorgibt.

Mein Kollege Florian Steck hat in seinem Blog-Artikel Zero Trust & SASE - auf der Suche nach dem heiligen Gral bereits versucht für Entwirrung zu sorgen und ich versuche es in diesem Artikel aus einem anderem Blickwinkel.

Zero Trust beschreibt ein aus dem “Assume Breach”-Ansatz entwickeltes Cybersecurity-Modell und stellt eine der Best Practices für moderne IT Sicherheitskonzepte dar.

Beim “Assume Breach”-Ansatz geht man davon aus, dass ein Angriff auf ein System bzw. eine Organisation unvermeidlich ist oder bereits stattgefunden hat. Ziel ist es, die Auswirkungen eines solchen Angriffes zu minimieren, anstatt davon auszugehen, dass ein System vollständig sicher ist.

Zero Trust erweitert diesen Ansatz und basiert im Kern auf dem Prinzip der minimalen Rechte (“Least Privileges”) aller Entitäten (Identitäten, Geräte, Systeme, …) in der Gesamtinfrastruktur eines Unternehmens. Was bedeutet das? Einfach gesagt wird beim Zero Trust Modell davon ausgegangen, dass kein Benutzer, kein Gerät, keine Applikation, kein Service oder kein Netzwerk von Natur aus vertrauenswürdig ist - weder innerhalb noch ausserhalb des Unternehmensnetzwerks.

Im Zentrum dieses Konzeptes steht der Grundsatz “Never trust, always verify” - also niemals blind vertrauen, sondern stets jede Zugriffsanfrage überprüfen. Dieses strikte Zugriffsmanagement und die Kontrolle jeder Anfrage helfen dabei, die Gefahr durch typische Cybersecurity Angriffe wie Social Engineering, Insider Threats, Credential-basierte Angriffe oder ähnliche Methoden zu verringern.

Warum brauchen wir Zero Trust?

Die IT-Landschaft hat sich in den letzten Jahren stark verändert. Die Verlagerung von Unternehmensressourcen in die Cloud, hybride Arbeitsmodelle sowie das Konzept „Bring Your Own Device“ (BYOD) haben klassische Sicherheitsansätze überholt. Viele Mitarbeitende in der Belegschaft nutzen heute verschiedenste Geräte oder Apps, um auf Daten und Anwendungen zuzugreifen.

Wer kennt es nicht, von unterwegs noch kurz seine E-Mails mit dem privaten Smartphone zu checken oder vom gemütlichen Café aus über das öffentliche WLAN eine SaaS Anwendung wie M365 aufzurufen, um die nächste Online-Präsentation vorzubereiten. Diese Veränderungen bringen viele Vorteile mit sich, erhöhen aber auch das Risiko von Angriffen und machen ein Umdenken in der Sicherheitsstrategie nötig.

Die Sicherheit der klassischen Ansätze basiert auf der Konzipierung unterschiedlich vertrauenswürdigen Netzwerkzonen und sind mit dem Prinzip “Defense in Depth” vergleichbar. Als Analogie kann man sich dafür die Zonierung, wie sie früher beim Bau und der Absicherung einer Burgfestung vorgenommen wurde, vorstellen. Dabei werden mehrschichtige Sicherheitskomponenten, wie beispielsweise ein Burggraben und eine hohe Burgmauer, implementiert und durch die Regulierung von Zugangspunkten, wie einer Zugbrücke, den ungewollten Zugang zum “Innern” erschwert.

Diese traditionellen Perimeter-Sicherheitsmodelle mit einer klaren Trennung zwischen interner und externer IT-Infrastruktur sind jedoch angesichts der steigenden Komplexität dezentralisierter Anwendungslandschaften und ortsunabhängigen Arbeitens nicht mehr ausreichend. Stattdessen erfordert die moderne IT-Architektur eine kontinuierliche Überprüfung jedes Zugriffs – unabhängig davon, ob er intern oder extern erfolgt. Und genau da setzt Zero Trust an - denn die wichtigsten drei Aspekte und Best Practices sind:

1. Authentifizierung und Autorisierung jedes Zugriffs auf jegliche Ressource

2. Einhaltung des Least Privilege Prinzips für alle Entitäten

3. Protokollierung, Monitoring und Analyse sämtlicher Aktivitäten und das sofortige Ergreifen von Massnahmen bei Bedarf

Was ist Identity & Access Management?

Identity and Access Management ist ein Framework aus Technologien und Prozessen zur Verwaltung von digitalen Identitäten und dem Zugriff auf IT-Ressourcen. Es bildet die Grundlage für sicheres Zugriffsmanagement und eine effiziente Verwaltung aller Identitäten. Die Kernfunktionen eines IAM-Systems umfassen:

• Identitätsmanagement und -provisionierung: Erstellung und Verwaltung digitaler Identitäten

• Authentifizierung: Sicherstellung der Identität eines Benutzers durch Passwörter, biometrische Daten oder Multi-Faktor-Authentifizierung (MFA)

• Autorisierung: Definition von Zugriffsrechten basierend auf Rollen oder anderen Kriterien

• Auditierung: Protokollierung und Überprüfung von Zugriffen zur Einhaltung von Compliance-Vorgaben

Heutige moderne IAM-Systeme, wie z.B. die von unserem Partner Widas ID GmbH entwickelte cidaas Identity Plattform, bieten darüber hinaus viele weitere Funktionen, welche nicht nur die Benutzerfreundlichkeit verbessern, sondern auch Zero Trust Prinzipien unterstützen. So können beispielsweise Mitarbeitende, Kunden und andere Personen effizient zentral verwaltet, Benutzerverhalten analysiert und Methoden wie Smart MFA eingesetzt werden.

Wieso bildet die digitale Identität den Grundbaustein von Zero Trust?

Zero Trust baut auf IAM und damit auf digitalen Identitäten (Benutzer oder Geräte) auf: Da in einem Zero Trust Sicherheitskonzept das Netzwerk als Kriterium für die Zugriffskontrolle in den Hintergrund rückt, stehen insbesondere der Benutzer sowie das zugreifende Gerät im Fokus. Damit wird die digitale Identität zum Grundbaustein einer durchdachten Zero Trust Strategie.

Kurz gesagt: Ohne eine starke Identitäts- und Zugriffsverwaltung ist Zero Trust nicht umsetzbar!

Gleichzeitig erweitern Zero Trust Prinzipien den Schutz eines IAM-Systems durch zusätzliche Sicherheitskonzepte wie beispielsweise kontinuierliche Überwachung, Smart MFA (Einforderung eines weiteren Faktor bei Vertrauensverlust) oder zentral verwaltete Identitäten.

Beispiele für Funktionen, welche diese Sicherheitskonzepte in einem Produkt verbinden, werden von cidaas aufgezeigt:

• cidaas Identity Plattform: Alle Benutzer (Mitarbeitende, Partner, Kunden, etc.) zentral verwalten

• cidaas Fraud Detection System (FDS): verwendet verhaltensbasierte Cluster-Analysen, um verdächtige Aktivitäten zu erkennen

• cidaas Smart MFA: ermöglicht eine benutzerfreundliche Authentifizierung ohne Kompromisse bei der Sicherheit

Fazit

Zero Trust und IAM sind unverzichtbare Elemente moderner IT-Sicherheitsstrategien. Während IAM die Grundlage für die Verwaltung digitaler Identitäten und deren Zugriffsrechte bildet, erweitert Zero Trust diesen Ansatz durch ein umfassendes Sicherheitsmodell, das auf dem Prinzip “Never trust, always verify“ beruht.

Die Kombination beider Ansätze bietet Unternehmen einen robusten Schutz vor den wachsenden Bedrohungen der digitalen Welt – sei es in modernen hybriden Arbeitsumgebungen mit verteilten Apps und diversen Geräten oder in traditionellen On-Premise Umgebungen.

Eine klare Zero Trust Strategie sowie konsequente Massnahmen im Identity and Access Management sind der Weg zu mehr Sicherheit und tragen dazu bei, dass Unternehmensressourcen effektiv geschützt werden.