Zero Trust: Verhinderung von Angriffen auf Software-Lieferkette

Laut Gartner wird bis 2025 fast die Hälfte aller Unternehmen weltweit von Angriffen auf ihre Software-Lieferkette betroffen sein. Das wäre eine Verdreifachung im Vergleich zum Jahr 2021 und ist ein besorgniserregender Trend, da solche Angriffe erhebliche Schäden verursachen können. In jeder Branche verlassen sich Unternehmen auf Software-Drittanbieter, die direkt auf ihre Systeme zuzugreifen. Ob es darum geht, CRM, Just-in-Time-Inventarsysteme, Webentwicklungsplattformen oder etwas dazwischen zu verwalten, immer häufiger stellen externe Anbieter eine Verbindung zum Netzwerk her – oft über privilegierte Konten.

So haben sich für Cyberkriminelle lukrative Möglichkeiten eröffnet, SaaS-Anbieter ins Visier zu nehmen, um auf die Netzwerke ihrer Kunden zuzugreifen. Unternehmen sollten ihre Sicherheitsmaßnahmen dringend verstärken, um sich vor solchen Angriffen zu schützen. Ein erfolgreicher Angriff auf einen Anbieter kann einen „Generalschlüssel“ für Tausende von Endbenutzern und Systemen liefern, wie es beim berüchtigten SolarWinds-Angriff im Jahr 2021 der Fall war.

Weitere bekannte Angriffe auf Lieferketten waren der Ransomware-Angriff im Februar 2022, der sich zuerst gegen den Kunststoffteilelieferanten Kojima Industries richtete und über sein „Just-in-To“-Produktionssteuerungssystem drohte, sich auf Toyota auszubreiten, was zu einem unternehmensweiten Stillstand führte, sowie der Massenhack von MOVEit im Jahr 2023.

Das alles zeigt: Unternehmen sollten dringend Maßnahmen ergreifen, um ihr Risiko zu verringern, Opfer eines Angriffs zu werden. Der beste Weg dazu ist die Implementierung einer Zero-Trust-Architektur.

Zero Trust statt Perimetersicherheit

Die moderne IT-Sicherheitsinfrastruktur ist in Anbetracht des Wachstums der Remote-Arbeit sowie der Verbreitung von Cloud- und IoT-Technologien äußerst komplex und fragmentiert. In dieser Umgebung ist die herkömmliche Perimetersicherheit, die früher als Standard galt, nicht mehr angemessen.

Stattdessen sollten sich Unternehmen auf Identitätssicherheit konzentrieren. Das bedeutet, dass sich Nutzer immer wieder erneut authentifizieren müssen, wenn sie ein Netzwerk durchqueren – und nicht nur bei der ersten Anmeldung. Mit dem Zero-Trust-Prinzip werden Zugriffe kontinuierlich überprüft, sodass der Schaden selbst im Falle einer erfolgreichen Erst-Infiltrierung gering gehalten werden kann.

Prinzip der minimalen Rechtevergabe

Basierend auf dem Grundsatz „Niemals vertrauen, immer überprüfen“ betrachtet Zero Trust Vertrauen als Schwachstelle, wenn es um IT-Sicherheit geht. Der Fokus liegt auf einer strengen und kontinuierlichen Überprüfung der Identität durch eine starke Authentifizierung und Autorisierung für jeden Benutzer, jedes Gerät, jede Anwendung und jede Transaktion.

Ein wichtiger Bestandteil von Zero Trust ist dabei das Prinzip des „Least Privilege“. Die Befolgung dieses Prinzips hilft Unternehmen, Risiken zu minimieren, indem sie sowohl internen als auch externen Benutzern nur die Zugriffsebene gewähren, die sie zum Ausführen einer Aufgabe benötigen – und nicht mehr. Least Privilege zeichnet sich auch durch einen Just-in-Time-Ansatz aus, bei dem Benutzern lange genug Zugriff gewährt wird, um eine Aufgabe abzuschließen. Anschließend werden die Zugriffsrechte wieder entzogen.

Schlüsselrolle von PAM und VPAM

Bei der Implementierung von Zero-Trust kommt es auf Privileged Access Management (PAM) und Vendor Privileged Management (VPAM) als grundlegende Bausteine an.

Beides bietet einen mehrstufigen Ansatz zur Absicherung von privilegierten Konten und ermöglichen gleichzeitig nahtlosen Zugang für autorisierte Benutzer. Der Unterschied: PAM verwaltet den internen Benutzerzugriff, während VPAM den Zugang von Drittanbietern sichert.

Viele PAM-Tools überwachen auch die Nutzeraktivitäten und zeichnen diese auf. Dank dieser Funktionen können IT-Teams eine gründliche Untersuchung durchführen, wenn etwas schiefgeht, und proaktiv die Einhaltung detaillierter Prüfpfade nachweisen.

Das Verwalten, Überwachen und Sichern von digitalen Identitäten von Drittanbietern ist der beste Weg, um zu verhindern, dass Nutzer mehr Zugriff erhalten, als sie benötigen. PAM und VPAM bilden das Zentrum von Zero Trust. Von einem ganzheitlichen Standpunkt aus betrachtet, sind sie jedoch nur eine Säule innerhalb einer digitalen Identitätsstrategie. Um sicherzustellen, dass alle digitalen Identitäten sicher sind, sollten Unternehmen neben PAM und VPAM weitere Lösungen implementieren, um Zero Trust zu erreichen:

Identitätsmanagement
Die manuelle Verwaltung des Benutzerlebenszyklus ist für IT-Personal oft umständlich und fehleranfällig. Wenn sie nicht ordnungsgemäß durchgeführt wird, kann dies Mitarbeitern Zugriff auf die sensibelsten Systeme ermöglichen, selbst nachdem sie die Organisation verlassen haben – was erhebliche Sicherheitslücken schafft. Um dies zu verhindern, sollten Unternehmen ein automatisiertes rollenbasiertes Identitätsmanagement einführen. Dies legt von Anfang an Berechtigungen fest und ermöglicht kontinuierliche Anpassungen, wenn sich ein Benutzer in seiner Rolle weiterentwickelt.

Single Sign-On (SSO)
Benutzeranmeldungen sollten effizient und sicher sein, da die meisten Benutzer täglich mehrere komplexe Passwörter eingeben. Eine Single Sign-On-Lösung mit benutzerfreundlicher Anmeldung oder biometrischer Authentifizierung kann die Notwendigkeit von Passwörtern reduzieren, ohne die Produktivität oder Sicherheit zu beeinträchtigen.

Multifaktor-Authentifizierung
MFA wird bereits von vielen Organisationen genutzt – mit gutem Grund. MFA bietet eine zusätzliche Sicherheitsebene, indem Benutzer aufgefordert werden, ihre Identität zu verifizieren, während sie das Netzwerk nutzen. Es gewährleistet sicheren Remote-Zugriff und bietet eine nachvollziehbare Vertrauenskette – unerlässlich in der heutigen hybriden Arbeitsumgebung.

Diese Lösungen bilden zusammen mit PAM und VPAM eine Suite aus vier Kernlösungen, die für die Etablierung einer Zero-Trust-Haltung von grundlegender Bedeutung sind und die Grundlage für Wachstum und Flexibilität in der modernen digitalen Arbeitswelt bilden.

Ingo Buck

ist Geschäftsführer von Imprivata OGiTiX.