Kontextsensitive Security

Zero Trust Access - weitergedacht

Cyberkriminelle greifen Unternehmen bevorzugt zu sensiblen Zeitpunkten an – zum Beispiel während einer Fusion oder zur Veröffentlichung von Geschäftszahlen. Zero-Trust-Richtlinien anzupassen, hilft das Risiko zu mindern.
Von 
CSO | 14. Juni 2022 06:04 Uhr
Unternehmen und Regierungsinstitutionen können mit einer kontextsensitiven Security ihre Schutzmaßnahmen automatisiert an bestimmte Situationen anpassen.
Unternehmen und Regierungsinstitutionen können mit einer kontextsensitiven Security ihre Schutzmaßnahmen automatisiert an bestimmte Situationen anpassen.
Foto: Uwe Aranas - shutterstock.com

Wie die Welle von Ransomware-Angriffen der letzten Monate zeigt, agieren organisierte Cyberkriminelle zunehmend raffinierter und hinterhältiger. Kürzlich hat das Federal Bureau of Investigation (FBI) aufgedeckt (PDF), dass einige kriminelle Hacker gezielt Unternehmen ins Visier nehmen, die vor zeitkritischen, finanziellen Ereignissen stehen, um den Druck auf ihre Opfer zu erhöhen. Zu solchen finanziellen Ereignissen zählen beispielsweise die Veröffentlichung von Geschäftszahlen oder Fusionen beziehunsgweise Übernahmen.

Da Ransomware-Banden zunehmend wie Unternehmen auftreten und handeln, ist es verständlich, dass sie ihre Verhandlungsposition verbessern wollen. Das versuchen sie, indem sie Druck auf ihre Opfer ausüben - vorzugsweise zu den unpassendsten Zeitpunkten. Aufgrund der enormen Summen, die hierbei potenziell erpresst werden können, wird sich diese Bedrohung weiter ausbreiten. Es gibt aber auch einen Silberstreif am Horizont, denn die Methoden der Cyberkriminellen und mögliche Zeitfenster für ihre Angriffe werden immer vorhersehbarer und damit - in gewisser Hinsicht - auch leichter abzuwehren.

Die Rolle von Zero-Trust und seinen Policy Engines

Zero-Trust-Access-Modelle (ZTA) werden zunehmend als Schutz vor einer breiten Palette von Bedrohungen eingesetzt, einschließlich Ransomware. Auch wenn die gängigen Zero-Trust-Prinzipien auf breiter Ebene einsetzbar sind, sollten Unternehmen den Policy Engines als Herzstück von ZTA-Systemen besondere Aufmerksamkeit schenken - vor allem angesichts neuer, finanziell motivierter Bedrohungen durch Cybererpresser.

Eine Policy Engine ist das "Gehirn" einer ZTA-basierten Architektur. Sie bestimmt darüber, wie granular menschliche und maschinelle Netzwerkagenten überprüft werden, wenn sie versuchen sich zu authentifizieren und Zugriff auf Ressourcen zu erhalten. Die Policy Engines entscheiden darüber, ob der Zugriff gewährt oder verweigert wird - oder ob zusätzliche Authentifizierungsfaktoren dazu erforderlich sind. Dabei werden verschiedene Faktoren einbezogen, darunter der geografische Standort, die Tageszeit, aktuelle Bedrohungsindikatoren und der Sensibilitätsgrad der Daten, auf die zugegriffen werden soll.

Zero Trust Access erleichtert es nicht nur, verdächtige Akteure verstärkt zu zu überprüfen. Es ermöglicht auch einen vereinheitlichten Zugang für vertrauenswürdige Benutzer, um die Produktivität zu steigern oder Security-bedingte Geschäftsunterbrechungen zu verhindern. Richtig implementierte Zero-Trust-Systeme bieten somit das Beste aus beiden Welten: Sie verbessern die Cybersicherheit und generieren schnell Geschäftswert.

Zero-Trust-Anpassungen für kontextsensitive Security

Um dieses Modell angesichts der sich weiterentwickelnden Ransomware-Bedrohung noch leistungsfähiger zu machen, sollten Zero-Trust-Access-Systeme zusätzliche Faktoren - im Zusammenspiel mit den oben genannten - einbeziehen. Das erlaubt Unternehmen, eine kontextsensitive Haltung in Sachen Sicherheit einzunehmen. In der Praxis ließe sich das Security-Grundniveau dann für den Zeitraum bestimmter Ereignisse anheben, beispielsweise in Form eines verstärkten Monitorings von Netzwerkagenten.

Die Tage vor der Veröffentlichung von Quartalsergebnissen, einer wichtigen Aktionärsabstimmung oder einer wichtigen Auftragsvergabe sind ebenfalls Zeiträume mit erhöhtem Risiko. Auch hierfür könnten Unternehmen ihre Policy Engines so kalibrieren, dass sie "misstrauischer" agieren und strengere Genehmigungsanforderungen ansetzen. Selbiges gilt natürlich auch für andere Zeiträume, die sicher mit einem erhöhten Risikopotenzial einhergehen: Übernahmegesprächen mit potenziellen Käufern oder nachdem eine wichtige Führungskraft im Bereich Cybersicherheit ihre Absicht bekundet hat, das Unternehmen verlassen zu wollen.

Umgekehrt würden die Mitarbeiter in risikoärmeren Zeiten weniger "Widerstand" beim Zugriff auf Ressourcen erfahren. Das senkt die Frustration der Mitarbeiter über sicherheitsrelevante Kontrollen und verringert die Wahrscheinlichkeit, dass sie versuchen, diese Maßnahmen zu umgehen. Die Umsetzung eines solchen Modells erfordert allerdings erhebliche Investitionen. Ein Schlüssel zur Aufrechterhaltung einer kontinuierlich angepassten, kontextsensitiven Sicherheitshaltung ist Automatisierung, die sich auf die Integration der Policy Engine mit den Systemen in Personalwesen, Finanzberichterstattung, Vertragsmanagement und ähnlichen stützen würde. Darüber hinaus ist die Entwicklung und Abstimmung der Algorithmen, die die Entscheidungsfindung der Policy Engine steuern, zeit- und kostenintensiv.

Unternehmen, die solche kontextgesteuerten Richtlinien implementieren, sollten darauf achten, dass sie sich nicht durch die Erweiterung oder Lockerung von Sicherheitsmaßnahmen selbst ein Bein stellen. Wenn autorisierte Benutzer beispielsweise eine Erhöhung der Sicherheitsmaßnahmen zu einem unerwarteten Zeitpunkt (z. B. nicht vor einer geplanten Gewinnbekanntgabe) feststellen, könnten sie auf den Gedanken kommen, dass etwas im Gange ist, von dem sie nichts wissen sollen, wie eine bevorstehende Fusion. Darüber hinaus könnten auch geduldige Cyberkriminelle in der Lage sein, schwankende Sicherheitsanforderungen zu erkennen und so besonders kritische Zeitphasen seines Ziels zu bestimmen.

Nichtsdestotrotz kann ein gut durchdachtes und gut umgesetztes, kontextbezogenes Sicherheitskonzept die Wahrscheinlichkeit, dass ein Unternehmen zum ungünstigsten Zeitpunkt von einem verheerenden Cyberangriff betroffen ist, reduzieren. Darüber hinaus schafft es zusätzlichen Mehrwert, indem unnötig restriktive Sicherheitsmaßnahmen in risikoarmen Zeiträumen reduziert.

Kontextuelle Security auch im Public Sector

Kontextgesteuerte Sicherheitsrichtlinien könnten auch außerhalb des privaten Sektors, in Regierungsinstitutionen oder regierungsnahen Behörden zum Einsatz kommen. Die Sicherheitsrichtlinien von Bundes-, Landes- und Kommunalbehörden könnten im Vorfeld von Großereignissen wie Wahlen strenger angelegt werden, um Cyberkriminelle abzuwehren. Zusätzlich zu anderen Sicherheitsmaßnahmen könnten politische Akteuere ihre Netzwerke im Vorfeld von Wahlkämpfen automatisiert härten, um Doxxing oder Spionage zu verhindern.

Trotz genannter Nachteile gibt es zahlreiche potenzielle Anwendungsfälle für eine kontextsensitive Sicherheitsstrategie. Angesichts des unglaublichen Schadens, der von Cyberkriminellen und ihren Netzwerken angerichtet wird, sind neue Konzepte und Lösungen dringend erforderlich. Ein kontextbezogenes Sicherheitskonzept, das es Unternehmen ermöglicht, ihre Cybersecurity-Maßnahmen auf der Grundlage einer Vielzahl von Faktoren anzupassen, ist eine solche Lösung. (jm/fm)

Walter Haydock ist Produktmanager mit Erfahrung in den Bereichen Software-Supply-Chain-, Cloud- und Internet-of-Things (IoT)-Sicherheit sowie Datenzugriffssteuerung und Einhaltung gesetzlicher Vorschriften.