Passwörter helfen nicht! Zero-Trust-Authentifizierung schon

Systeme und Portale, in denen sich Kunden nur mit Nutzername und Passwort oder PIN anmelden, stellen für Kriminelle nur eine geringe Hürde dar. Deshalb brauchen Finanzdienstleister einen neuen Ansatz, um sie zu authentifizieren. Die Lösung: Zero Trust.

von Saša Petrovic, Digital Strategy Director, Citrix

Zwar arbeiten Banken, Versicherer und andere Finanzdienstleister schon seit Jahrzehnten mit digitalen Lösungen, aber beispielweise das Arbeiten im Home Office war dennoch lange Zeit eher die Ausnahme denn die Regel. Das hat sich infolge der COVID-19-Pandemie vielerorts mittlerweile geändert und Mitarbeiter greifen heute auch von zuhause aus auf Unternehmensdaten zu, einschließlich Finanztransaktionen, Risikomanagement und Compliance-Informationen wie private Kunden- und Zahlungsdaten. Dabei sind ihre Geräte allerdings direkt mit dem Internet verbunden und der Traffic wird durch Netzwerkgeräte geleitet, die nicht länger unter der Kontrolle ihres Arbeitgebers stehen.

Entsprechend müssen Unternehmen Wege finden, wie sie ihre Anwendungen und Daten auch beim Zugriff aus der Ferne schützen können. Denn: Organisationen aus dem Finanzsektor sind besonders gefährdet, Opfer von Cyberangriffen zu werden. Laut dem Allianz Global Corporate & Speciality Report sind sie das größte Risiko für Finanzdienstleister, noch vor den Auswirkungen der COVID-19-Pandemie.”

Zumal die Anzahl der Angriffe in den letzten Jahren kontinuierlich zunimmt. Schon in ruhigen Zeiten sind Banken attraktive Ziele für Cyberkriminelle. Und in instabilen Zeiten wie den heutigen ist die Versuchung noch wesentlich größer. Unternehmen, die sich nicht ausreichend schützen, gefährden ihre Kunden, Mitarbeiter und sich selbst gleichermaßen. Und gerade in finanziellen Angelegenheiten kann der Schaden für die Beteiligten groß ausfallen.

Deshalb setzt sich der Zero-Trust-Ansatz immer stärker in der Unternehmenswelt und speziell im Finanzsektor durch.

Das zugrundeliegende Prinzip – „Never trust, always verify“ – geht dabei weit über das binäre Blockieren oder Erlauben des Zugriffs hinaus. Stattdessen wird der Nutzerzugriff abhängig vom Kontext gewährt, eingeschränkt oder blockiert.”

Kontextabhängiger Zugriff minimiert Risiken

In der Vergangenheit wurden Mitarbeiter von Unternehmen in der Regel als „sicher“ eingestuft und erhielten oft uneingeschränkten Zugriff auf Daten im internen Netzwerk. Währenddessen galten externe Akteure wie Kunden als „unsicher“ und mussten erst nachweisen, etwa durch die Verbindung aus Nutzername oder E-Mail-Adresse und Passwort/PIN, dass sie Zugriff auf das Kundenportal erhalten dürfen. Zero Trust verzichtet auf diese Unterscheidung, hier gilt zunächst jeder Nutzer, ob intern oder extern, als unsicher, bis er das Gegenteil bewiesen hat. Schließlich gelingt es Kriminellen, sei es durch Password Spraying oder den Diebstahl von Geräten oder Anmeldedaten, immer wieder, sich in Unternehmensnetzwerke einzuloggen. Entsprechend ist die Authentifizierung die erste Schnittstelle für die Umsetzung des Zero-Trust-Ansatzes.

Grundsätzlich sollten Unternehmen aber bei der Kundenauthentifizierung zunächst die Mindestanforderungen erfüllen, nämlich die Zwei-Faktor-Authentifizierung.”

Jedoch haben viele Organisationen diese Möglichkeit noch immer nicht implementiert, bei der die Identifikation über eine weitere Komponente erfolgt, beispielsweise die Überprüfung biometrischer Merkmale oder die Generierung einer TAN etwa per App.

Zudem müssen sie den Netzwerkzugang optimieren, um die Sicherheit im Backend zu erhöhen. So ist ein Nachteil vieler VPN-Lösungen, dass sie lediglich eine sichere Netzwerkverbindung zwischen zwei Punkten herstellen. Der Nutzer hat infolge allerdings uneingeschränkten Zugriff auf die Unternehmensressourcen, ob er diese für seine Arbeit tatsächlich benötigt oder nicht. Geraten seine Geräte oder Zugangsdaten in die falschen Hände, ist der Schaden umso größer.

Wird der Zugriff dagegen in einem anwendungsorientierten Ansatz eingeschränkt, sodass Nutzer nur noch auf die Ressourcen zugreifen können, mit denen sie ihre Arbeit erledigen können, wird das Risiko minimiert.”

Erst wenn das Unternehmen diese grundlegende Sicherheitsfunktion abbilden kann, sollte es darüber nachdenken, welche zusätzlichen Mechanismen es implementieren möchte.

Dazu kann der Einsatz von Künstlicher Intelligenz und Machine Learning zählen, um Muster im Verhalten der Kunden und entsprechend Anomalien frühzeitig zu erkennen. Dadurch lassen sich zwar Sicherheitsvorfälle nicht verhindern, aber zeitnah stoppen. Greift ein Kunde zum Beispiel immer von einer bestimmten Stadt aus auf sein Online-Banking-Account zu, mutmaßlich seinem Wohnort, dann stellen die Systeme aber plötzlich fest, dass das Konto aus einem anderen Land aufgerufen wurde, lösen sie eine Warnung aus. Dann erhält der Kontobesitzer womöglich eine automatisierte Nachricht oder einen Anruf seines Beraters.

Zu den berücksichtigen Faktoren gehören neben dem geografischen Standort auch die IP-Adresse, der Gerätestatus, der Zustand des Betriebssystems (jailbroken/rooted oder sicher), der Patch-Status und digitale Zertifikate für das Identitäts- und Zugangsmanagement. Diese werden kontinuierlich analysiert, ausgewertet und mit vom Unternehmen definierten Richtlinien abgeglichen.

Bei diesen Richtlinien müssen Unternehmen entscheiden, wie granular sie sein sollen.

Denn Zero Trust verfolgt zudem die Idee des „Just in time, just enough access“: Es geht darum, die Angriffsmöglichkeiten im internen Netzwerk für Kriminelle zu verringern, nicht nur hinsichtlich der Fläche, sondern auch der Dauer.”

Gleichzeitig müssen Organisationen es schaffen, eine Balance zwischen ihren Sicherheitsanforderungen und der User Experience zu halten. Schranken, an denen sie immer wieder ihre Identität authentifizieren müssen, oder Zugänge zu benötigten Daten oder Anwendungen, die gesperrt sind, verhindern eine gute Nutzererfahrung. Aber auch an dieser Stelle können KI und ML zum Einsatz kommen, um das Risiko des Nutzers zu bewerten und zu entscheiden, ob der Zugriff sofort ermöglicht wird oder weitere Authentifizierungsschritte notwendig sind. Dadurch minimieren sich letztere für die meisten Nutzer.

Unternehmen und Kunden profitieren

Der größte Vorteil, der Zero Trust Unternehmen wie Finanzdienstleistern bietet, ist das hohe Maß an Flexibilität. Konnten sie früher nur starre Regeln durchsetzen, die keine Unterscheidung zwischen den Kunden machen und alle gleichbehandeln, können sie nun den Kontext jedes Nutzers beim Zugriff auf Kundenportale, Anwendungen und Daten berücksichtigen. Dadurch können sie gleichzeitig die Sicherheit erhöhen und – wenn Zero Trust durch KI und ML ergänzt wird – die User Experience verbessern.Saša Petrovic, Citrix