Dr. Nils Kaufmann erklärt in seinem Gastartikel das IT-Sicherheitskonzept Zero Trust. Dessen konsequente Umsetzung könnte Krankenhäuser davor bewahren, immer häufiger Opfer von Ransomware-Angriffen zu werden.
Gastbeitrag von Dr. Nils Kaufmann (Ogitix Software AG)
Cyberattacken stellen nach wie vor eine große Bedrohung für Unternehmen dar – zu diesem Schluss kommt eine Bitkom-Studie. 84 Prozent der repräsentativ befragten Unternehmen waren in letzter Zeit von Cyberattacken betroffen – zuletzt immer häufiger von Akteuren aus Russland oder China.
Das ist besorgniserregend: Einer internationalen IBM-Studie zufolge kostete eine Datenpanne ein Unternehmen im Jahr 2022 durchschnittlich 4,35 Millionen US-Dollar – ein Zuwachs von rund drei Prozent gegenüber 2021. Gerade für Krankenhäuser kommen zu den finanziellen Folgen aber auch existentielle hinzu: Ransomware-Angriffe können den Klinikbetrieb lahmlegen und dadurch das Leben von Patienten gefährden.
Das Thema Cybersecurity ist also aktueller denn je – und gerade Zero -Trust wird oft erwähnt, wenn es um mehr Sicherheit geht. Doch worum handelt es sich dabei eigentlich und was müssen Entscheidungsträger wissen?
Absolut niemandem vertrauen
Zero Trust ist ein IT-Sicherheitskonzept, das auf einer perimeterlosen Sicherheitsarchitektur beruht. Der klassische Perimeter basierte Sicherheitsansatz stellt lediglich den Schutz der Grenzen eines Netzwerks sicher. Das Problem dabei: Hacker greifen oft nicht dort an, wo sie eigentlich zuschlagen wollen. Stattdessen suchen sie sich das schwächste Glied in einem Netzwerk als Einstiegspunkt und bewegen sich dann „seitlich“ bis zum eigentlichen Ziel. Hier kommt Zero Trust ins Spiel: Wie der Name vermuten lässt, wird absolut niemandem vertraut. Dadurch, dass Nutzer aller Art sich immer wieder an unterschiedlichen Stellen im Netzwerk identifizieren müssen, bevor sie Zugriff auf Systeme und Daten erhalten, wird ein potentieller Schaden deutlich eingegrenzt.
Dezentralisierte Umgebungen als Herausforderung
Zero Trust ist sicherlich kein neues Konzept, wurde es doch schon 2009 von John Kindervag vorgestellt. Entscheidend sind aber die Entwicklungen der letzten beiden Jahre: Immer mehr Mitarbeiter greifen heute remote auf Ressourcen zu. Darüber hinaus liegen Anwendungen nicht mehr zwangsläufig im eigenen Rechenzentrum, sondern immer häufiger in Multiple-Cloud-Umgebungen. All dem trägt Zero Trust Rechnung. Denn das Konzept wurde entwickelt, um Cyberbedrohungen in dezentralisierten Umgebungen zu begegnen.
Wie lässt sich Zero Trust in der Praxis umsetzen?
Jedes Unternehmen und jedes Krankenhaus sind unterschiedlich – es gibt daher kein Patentrezept. Diese Grundprinzipien und -komponenten bieten jedoch eine erste Orientierung:
● Privilegiertes Zugriffsmanagement (PAM): Konten mit privilegierten Rechten wie Administratorkonten stellen ein besonders hohes Sicherheitsrisiko dar. PAM beruht auf dem Prinzip, möglichst wenig Rechte zu vergeben. Administratoren und Drittparteien werden feingranular nur diejenigen Rechte vergeben, die für die Erfüllung bestimmter Aufgaben notwendig sind.
● Identitätsmanagement: Alle Benutzeridentitäten müssen zentral durch robuste Richtlinien und Benutzerrollen verwaltet und gesichert werden. Rollenbasierte Zugriffskontrollen unterstützen dabei die Durchsetzung von Richtlinien. Es gilt, sinnvolle Rollen zu entwickeln, die Benutzern ihre Arbeit ermöglichen, ohne ihnen gleichzeitig unnötige Befugnisse einzuräumen.
● Single-Sign-On (SSO): Ein nicht unerheblicher Teil von Nutzern notiert Passwörter auf Notizzetteln oder teilt Zugänge mit Kollegen. SSO ermöglicht es Unternehmen, dem entgegenzuwirken, da Nutzer sich nur noch ein Passwort merken müssen und unnötige Passwortabfragen entfallen.
● Multifaktor-Authentifizierung (MFA): Häufig sind kompromittierte Benutzeraccounts ein Einfallstor für Hacker. MFA schiebt dem einen Riegel vor, indem eine zusätzliche Sicherheitsebene eingeführt wird. Diese zweite Ebene kann auf Wissen (z. B. ein PIN), Hardware (z. B. ein Token) oder Biometrie beruhen.
● Zero Trust Policy Engine – das Herzstück von Zero Trust. Die Richtlinien können hier an die Unternehmensbedürfnisse angepasst werden. Jedes Mal, wenn eine digitale Identität, sei es eine Person oder eine Anwendung, auf eine Ressource zuzugreifen möchte, entscheidet die Zero Trust Policy-Engine. Es gilt: Je engmaschiger das Identitätsmanagement ist, desto weniger streng können die Anforderungen an MFA und Kennwörter ausfallen. So steigt die Sicherheit bei gleichzeitig einfachem Zugang.
Aufräumen lohnt sich
Die effektive Verwaltung und Sicherung digitaler Identitäten ist am entscheidendsten für eine gelungene Zero-Trust-Architektur. Anders ausgedrückt: Ohne eine Strategie für das Identitäts- und Zugriffsmanagement (IAM) lohnt sich Zero Trust nicht, da keine Vorteile entstehen.
Es gibt eine Vielzahl von Tools, die Krankenhäuser bei der Implementierung ihrer IAM-Strategie einsetzen können – ohne dass in vielen Fällen die Grundprobleme verschwinden. In den meisten Organisationen ist es üblich, verschiedene Altsysteme parallel zu verwenden. So existiert beispielsweise ein Tool für PAM, ein anderes für MFA, ein drittes für SSO usw. Mit diesem fragmentierten Ansatz nehmen Organisationen ungewollt Risiken in Kauf.
Stattdessen sollten sie vorausschauend versuchen, ihre Tools mit einer einheitlichen Strategie zu konsolidieren, Sicherheitslücken zu beseitigen und letztlich auf einen singulären Kontrollpunkt hinzuwirken.
Effektives Identitäts- und Zugriffsmanagement
Als Fazit lässt sich feststellen, dass Unternehmen und auch Krankenhäuser die Herausforderungen im Zusammenhang mit Cybersecurity kaum überschätzen können. Für viele gilt es in erster Linie, herauszufinden, wie sie ihre Systeme, Daten und Nutzer schützen können. Aber sobald sie mit Akut-Maßnahmen fertig sind, kommen sie an der Implementierung von Zero Trust auf der Grundlage von effektivem Identitäts- und Zugriffsmanagement nicht vorbei. Nur so lässt sich Cybersecurity bei steigenden Angriffszahlen und zunehmend fragmentiert werdenden Netzwerken langfristig gewährleisten.
Auch interessant: