Cybersecurity - Politik - Wirtschaft

Cybersicherheit wird zunehmend zur politischen Chefsache

, München, Beyond Identity | Autor: Patrick McBride

Cybersicherheit wird zunehmend zur politischen Chefsache

Von Patrick McBride, Chief Marketing Officer bei Beyond Identity

Von Patrick McBride, Chief Marketing Officer bei Beyond Identity

Cybersicherheit geht uns alle an, denn das Bedrohungsszenario richtet sich gegen die gesamte Gesellschaft. Sowohl der Staat als auch die Wirtschaft und Zivilgesellschaft sowie die Wissenschaft werden von Cyber-Kriminellen angegriffen. Immer aggressivere Attacken richten weltweit große Schäden an. Konsequentes Handeln ist gefragt. Die Politik hat das erkannt und auf höchster Ebene Initiativen angestoßen. Cybersicherheit ist zur politischen Chefsache geworden.

Hackerangriffe auf die Rechner von Regierungen und Parlamente, Datenklau in Wirtschaftsbetrieben oder die Manipulation von Versorgungseinrichtungen wie Wasserwerke oder Stromversorger sind inzwischen fast an der Tagesordnung. Politiker in aller Welt sind alarmiert und handeln. Mit ihrem dem Koalitionsvertrag 2017 hat beispielsweise die deutsche Bundesregierung den „Nationalen Pakt Cybersicherheit “ ins Leben gerufen. Ziel ist es, alle gesellschaftlich relevanten Gruppen, Hersteller, Anbieter und Anwender sowie die öffentliche Verwaltung in gemeinsamer Verantwortung für digitale Sicherheit in einem Nationalen Pakt einzubinden. Er fügt sich in bestehende internationale Initiativen ein und ist der deutsche Beitrag zum „Paris Call for Trust & Security in Cyberspace “ des französischen Präsidenten Emmanuel Macron. Der Paris Call wird von der Bundesregierung, den meisten EU-Mitgliedsstaaten sowie zahlreichen weiteren Staaten wie Großbritannien, Australien und Japan unterstützt. Auch verschiedenste Unternehmen, Verbände und Nichtregierungsorganisationen gehören zu den Unterzeichnern des Paris Call. In den USA ist Präsident Biden in puncto Cybersicherheit aktiv geworden. Am 12. Mai 2021 unterzeichnete er eine sogenannte Executive Order zur Verbesserung der Cyber Security. Damit will seine Regierung der wachsenden Bedrohung der USA durch das Internet begegnen.

Infrastrukturen und Lieferketten im Visier

Ransomware-Angriffe beherrschen immer wieder die Nachrichten. Das zeigt, wie anfällig Infrastrukturen und Lieferketten sein können. Finanziell motivierte Hacker und nationalstaatliche Angreifer werden auch in Zukunft nicht die Hände in den Schoß legen. Deshalb zielen Initiativen wie die Executive Order des US-Präsidenten darauf ab, sicherzustellen, dass die „Prävention, Erkennung, Bewertung und Behebung von Cybervorfällen höchste Priorität hat und für die nationale und wirtschaftliche Sicherheit unerlässlich ist“. Der für die USA verbindliche Erlass enthält Leitlinien, die es der US-Regierung ermöglichen, „mutige Veränderungen und bedeutende Investitionen“ in ihre Sicherheitsinfrastruktur vorzunehmen und gleichzeitig mit dem Privatsektor zusammenzuarbeiten, um dieses Ziel zu erreichen. Dies bedeutet, dass Anbieter von SaaS, Infrastruktur-PaaS und IaaS, die mit der Regierung zusammenarbeiten, davon betroffen sein werden. Ähnliche Ansätze verfolgt auch der Paris Call.

Passwort? Nein, danke!

Als Anbieter eines passwortlosen Authentifizierungsverfahrens unterstützt Beyond Identity die internationalen Initiativen und legt als Beispiel seine Sicht auf die Executive Order von Präsident Biden dar. Das gilt besonders für die Zero-Trust-Authentifizierung. Das Unternehmen sieht darin wichtige Punkte, bei deren Umsetzung es auf breiter Front behilflich sein kann. Das gilt auch für die Orientierungspunkte, die andere internationale Cybersecurity-Initiativen auflegen.

Insgesamt definiert die Verordnung die Cybersicherheitspolitik der USA in verschiedenen Abschnitten. Außerdem wird gefordert, dass das National Institute of Standards and Technology (NIST), welches dem Wirtschaftsministerium untersteht, neue Standards definiert, um bei Behörden und Cloud-Service-Anbieter die Einhaltung von Vorschriften zu gewährleisten. Unser gemeinsames Ziel ist es, Unternehmen dabei zu unterstützen zukunftssicher zu werden, indem sie die Vorgaben der Executive Order rund um die sichere Authentifizierung, die Ransomware-Prävention und die Zero-Trust-Architekturen umsetzen.

Misstrauen als Schutzmaßnahme

Zero-Trust ist ein wichtiger Punkt bei den Modernisierungsmaßnahmen rund um die Cybersicherheit von Behörden und Regierungsstellen. Weder der physische Standort noch das Netzwerk oder Internet sind Garant für ein sicheres Benutzerkonto. Auch der Inhaber eines Kontos, sei es eine Privatperson oder ein Unternehmen, sagen nichts über dessen Sicherheitsstandard aus. Beyond Identity unterstützt die Zero-Trust-Initiative und setzt für die Authentifizierung keine Passwörter ein. Schließlich ermöglicht ein Passwort die Anmeldung von jedem Gerät aus, wodurch Manipulationen jederzeit möglich sind. Eine starke Authentifizierung beinhaltet aber auch die Überprüfung des Geräts, das für den Zugriff auf eine bestimmte Ressource verwendet wird. Eine herkömmlichen Multi-Faktor-Authentifizierung (MFA) reicht in den meisten Fällen nicht aus, weil zwei grundlegende Probleme bestehen bleiben:

  1. Herkömmliche MFA beruht auf Passwörtern und anderen, teils schwachen Faktoren. Sie können leicht umgangen werden.
  2. MFA erlaubt es nicht, die Zugangsoptionen eines Geräts auf bestimmte Ressourcen einzuschränken. Es besteht auch keine Möglichkeit, die Sicherheitsstufe eines Geräts zu überprüfen, bevor der Zugriff gewährt wird.

Beyond Identity macht Passwörter überflüssig und bindet die Identität des Nutzers an das Gerät. Auf diese Weise wird sichergestellt, dass beide bei jeder Anmeldetransaktion kryptografisch validiert werden. So können Benutzer und Gerät eindeutig identifiziert und zugeordnet werden. Wird die Risikotoleranz überschritten, ist kein Zugriff auf Anwendungen möglich. Nicht autorisierte Benutzer und unsichere Geräte können nicht auf kritische Ressourcen zugreifen. Die auf Risiko- und Compliance-Richtlinien basierende Zugriffskontrolle ermöglicht die kontinuierliche Durchsetzung starker Authentifizierung und vertrauensvoller Geräte.

Sicherheit der Software-Lieferkette optimieren

Grundsätzlich gilt: Jedes Unternehmen, das Softwareanwendungen und Computerinfrastrukturen für Regierungen, Behörden oder andere sicherheitsrelevante Organisation herstellt, ist ein möglicher Angriffsvektor für Angreifer. Das hat beispielsweise der SolarWinds-Hack sehr deutlich vor Augen geführt. Beyond Identity kann jede Software, die entwickelt und an das Code-Repository übermittelt wird, auf kryptografische Weise mit einer Identität verknüpfen. Das ermöglicht eine vollständige Aufzeichnung über die Herkunft des Quellcodes.

Der Schutz kritischer Infrastrukturen, Anwendungen und Daten sollte zwei wichtige Aufgaben erfüllen: Zum einen sollte der Zugriff auf den für Infrastrukturen erforderlichen Schlüssel kryptografisch an eine validierte Identität gebunden werden. Zum anderen sollte auch der kryptografischen Schlüssel, der für die Signatur von Quellcodes verwendet wird, einer bestimmten Benutzeridentität zugeordnet werden. Das stellt sicher, dass transparent wird, wer den Code in das Repository einstellt. Die Lösung von Beyoned Identity kann das Einstellen eines Codes davon abhängig machen, ob er mit einer bekannten und genehmigten Unternehmensidentität verbunden ist. Auch wird gewährleistet, dass Entwickler Codes nur von Geräten einreichen, die dazu berechtigt sind. Das jeweilige Gerät muss zum Zeitpunkt der Authentifizierung den vorgegebenen Risikorichtlinien entsprechen. Das verhindert das Einschleusen von Malware z. B. von einem Heimcomputer.

Regelwerk für Reaktionen

Die Executive Order zur Bekämpfung der Cyberkriminalität sieht auch eine Standardisierung des Maßnahmen-Katalogs vor, der in solchen Fällen greift. Er enthält die Aktionen, die auf Cyber-Vorfälle zu erfolgen haben und mit denen Cybersicherheits-Schwachstellen identifiziert und beseitigt werden können. Als Handlungsvorlage hat das NIST einige grundlegenden Funktionen festgeschrieben, die Beyond Identity mit seinem Portfolio umsetzt:

  • Identifizieren: Geräte werden von Beyond Identity kryptografisch mit Benutzeridentitäten verknüpft, so dass Unternehmen eindeutig identifizieren können, wer Zugriff auf Cloud-Ressourcen hat und welches Gerät er/sie verwendet.
  • Schützen: Die Erstellung präziser Risikorichtlinien gewährleistet, dass sich nur geschützte Geräte bei Ressourcen und Anwendungen authentifizieren können. Beyond Identity stellt sicher, dass nicht nur der identifizierte Nutzer zum Empfang von Informationen berechtigt ist, sondern dass er dies auch auf dem verwendeten Gerät empfangen darf. So können Unternehmen ihre Sicherheits- und Compliance-Richtlinien anpassen, um die Risikotoleranz in jeder Situation zu erfüllen.
  • Erkennen: Unbefugte und inkompatible Zugriffsanfragen sowie die Kompromittierung von Geräten werden automatisch erkannt. Bei jeder Authentifizierungsanfrage werden Dutzende von Attributen zum Benutzerverhalten und zur Sicherheitslage des Geräts bewertet. Setzen Nutzer bereits Systeme für die Endgerätesicherheit ein, werden deren Attribute ebenfalls in den Entscheidungsprozess für eine Authentifizierung mit einbezogen.
  • Reagieren: Beyond Identity stellt eine unveränderliche Aufzeichnung jeder Anmeldetransaktion bereit. Sie ist mit der Identität eines Nutzers verknüpft und enthält alle Richtlinien und Aktivitäten. Damit können Regierungen, Behörden, Unternehmen oder andere Organisationen jederzeit lückenlos nachweisen, dass alle Vorschriften eingehalten wurden.

Die Bekämpfung der Cyberkriminalität stellt Unternehmen und Regierungsorganisationen vor enorme Herausforderungen. Eine Zero-Trust-Strategie in Verbindung mit einem passwortlosen Authentifizierungsverfahrens sind wichtige Schritte, um der wachsenden Flut an Cyberangriffen Herr zu werden. Es ist höchste Zeit, dass die Staaten gemeinsam mit der Wirtschaft und den auf Cybersicherheit spezialisierten Unternehmen dieses gesellschaftliche Problem gemeinsam angehen.