Interview Rohrer Jakober

Zero Trust dank modernem Authorization Management

Das heisseste Schlagwort in der Cyber Security ist zurzeit Zero Trust. Aber es ist viel mehr als ein Schlagwort. Es ist das moderne Sicherheitsmodell für alle Unternehmen, die den Schutz für Benutzerkonten, Geräte, Anwendungen und vor allem für Daten von jedem Ort gewährleisten möchten. In unserer digitalen und mobilen "work-from-anywhere"-Realität gewinnt dies immer mehr an Bedeutung.

Klassische Berechtigungslösungen basieren in der Regel auf einem Katalog von vordefinierten Gruppen und Rollen. Sie berechtigen die Benutzer, also die Mitarbeitenden, auf die Unternehmensressourcen zuzugreifen. Die Rollen lassen sich oft mit Regeln automatisiert zuweisen. Die Rolleninhalte, also die Berechtigungsbündel, sind aber statisch, was die gesamte Berechtigungsvergabe eher statisch gestaltet.

Sobald aber verschiedene Faktoren zu berücksichtigen sind, kommen die klassischen RBAC-Modelle an ihre Grenzen. Hier setzen Lösungen wie die von PlainID an. PlainID macht die Autorisierung intelligenter und sicherer. Die Zugriffsentscheidung wird dynamisch festgelegt. Um die tatsächlichen Geschäftsanforderungen zu erfüllen, werden in Echtzeit auf der Grundlage von Zeit, Ort, Gerät, SOC-Warnungen und anderen Umgebungsmerkmalen und -ereignissen die nötigen Berechtigungen vorgeschlagen resp. bereitgestellt. Hat nun das klassische Identity und Access Management ausgedient? Das auf keinen Fall. Aber Lösungen wie jene von PlainID schärfen sinnvollerweise die Vergabe der Berechtigungen.

Pascal_Jacober_und_Marco_Rohrer_im_Interview_sitzend

Sobald aber verschiedene Faktoren zu berücksichtigen sind, kommen die klassischen RBAC-Modelle an ihre Grenzen. Hier setzen Lösungen wie die von PlainID an. PlainID macht die Autorisierung intelligenter und sicherer. Die Zugriffsentscheidung wird dynamisch festgelegt. Um die tatsächlichen Geschäftsanforderungen zu erfüllen, werden in Echtzeit auf der Grundlage von Zeit, Ort, Gerät, SOC-Warnungen und anderen Umgebungsmerkmalen und -ereignissen die nötigen Berechtigungen vorgeschlagen resp. bereitgestellt. Hat nun das klassische Identity und Access Management ausgedient? Das auf keinen Fall. Aber Lösungen wie jene von PlainID schärfen sinnvollerweise die Vergabe der Berechtigungen.

Wie können Unternehmen eine Zero Trust Policy implementieren? Und was muss dabei berücksichtigt werden?

Diesen Fragen stellten sich Pascal Jacober, Sales Director Europe bei PlainID, und Marco Rohrer, Chairman & Co-Founder der IPG Gruppe, in einem Interview. 

  1. Warum gewinnt Ihrer Meinung nach Zero Trust immer mehr an Bedeutung?

    PJA: Besonders in Zeiten des remoten Arbeitens, des „überall auf der Welt arbeitens“, sei es im Homeoffice, am Flughafen oder auch im Restaurant, wird die digitale Sicherheit eines Unternehmens, der Schutz von Daten und Anwendungen immer wichtiger. Denn die Grenzen haben sich sehr stark verschoben. Damit war die Angriffsfläche noch nie so gross wie heute. Es kann also nicht mehr vertraut werden, egal ob man sich innerhalb oder ausserhalb der Sicherheitsgrenzen des Unternehmens befindet, dass man sich in einer sicheren digitalen Umgebung bewegt. Oder ob sich auf der anderen Seite tatsächlich die Person befindet, für die sie sich ausgibt.
     
  2. Wie unterscheidet sich nun aber Zero Trust vom klassischen IAM? Hat dieses damit ausgedient?

    MRO: Nein, denn Zero Trust setzt woanders an. Zero Trust ist ein Sicherheitskonzept und Identity & Access Governance bilden ein Bestandteil davon. Klassische IAG-Themen sind betroffen und müssen überdacht werden. Beispielsweise rollenbasierte Autorisierungsansätze: Sie können die Herausforderungen an die neuen Gegebenheiten nicht ausreichend bewältigen, da sie die Zugriffskontrollen und Berechtigungen statisch dem Benutzer zuweisen. Aber eigentlich ist auch das „alter Wein“. Schon vor Jahren haben wir im Bankenumfeld die Herausforderung gehabt, dass eine Rolle eben unterschiedlich ausgeprägt sein kann, dass es verschiedene Scopes gibt, Datenrestriktionen etc. Dies führt im herkömmlichen RBAC Modell zu einer Explosion der Geschäftsrollen. RBAC Modelle „ignorieren“ den Nutzungskontext und können auf sich ändernde Variablen bei der Vergabe von Zugriffsberechtigungen nicht reagieren. Zero Trust konzentriert sich auf den Schutz von Daten und Dienste durch eine dynamische Bewertung von Zugriffen und Aktivitäten.
     
  3. Übersetzt man Zero Trust wortwörtlich, so bedeutet es Null-Vertrauen. Daher haben viele Mitarbeitende die Befürchtung, durch Zero Trust komplett überwacht zu werden. Wie kann man dem entgegensteuern?

    PJA: Genau das Gegenteil ist der Fall. Zero Trust dient dem Schutz der Mitarbeitenden. Denn wir können nicht mehr davon ausgehen, dass die Identität eines Benutzers tatsächlich jene ist, für die er sich ausgibt. In der heutigen Zeit werden allzu oft Identitäten von Angreifern kompromittiert. Weiters agieren nicht alle Benutzer, sobald sie im öffentlichen Netz sind, verantwortungsbewusst bzw. sind sie sich der Gefahren nicht bewusst. Hier greift Zero Trust und schützt somit den Mitarbeitenden vor schwerwiegenden Konsequenzen.
     
  4. Wie können die 7 Grundsätze des Zero Trust, die das US-amerikanische National Institute of Standards and Technology (NIST) in seinem Bericht über die Zero Trust-Architektur (NIST Special Publication 800-207) vorgestellt hat, in Unternehmen umgesetzt werden?

    PJA: Die 7 Grundsätze besagen, dass Zero Trust z. B. ALLE Datenquellen und Rechendienste als Ressourcen betrachten. Dabei wird die gesamte Kommunikation, unabhängig vom Standort des Netzwerks, gesichert und Zugriff auf einzelne Unternehmensressourcen werden pro Sitzung gewährt. Dabei ist der Zugriff auf Ressourcen von dynamischen Richtlinien bestimmt. Diese umfassen den beobachtbaren Zustand der Client-Identität, der Anwendung /des Dienstes sowie der anfragenden Ressource und schliessen weitere Verhaltens- und Umgebungsattribute mit ein. Dabei überwacht und misst das Unternehmen die Integrität und die Sicherheitslage aller eigenen und zugehörigen Ressourcen. Alle Ressourcenauthentifizierungen und -autorisierungen sind dynamisch und werden strikt durchgesetzt, bevor der Zugriff erlaubt wird. So sammelt das Unternehmen so viele Informationen wie möglich über den aktuellen Zustand der Anlagen, der Netzinfrastruktur und der Kommunikation. Das wird schlussendlich zur Verbesserung der Sicherheitslage herangezogen.

    MRO: Dies basiert auf einer sogenannten Zero Trust Architektur. Die wichtigste Aufgabe dieser Architektur ist es, die Entscheidung zu treffen, ob der Zugriff auf eine Ressource gewährt, verweigert oder entzogen werden soll. Und zwar nicht im Sinne eines Polizisten, sondern eines Schiedsrichters, der den regelkonformen Ablauf sicherstellt, aber nicht ins Geschehen eingreifen soll. Sprich für den Mitarbeitenden sind alle Mechanismen möglichst nicht spürbar.
     
  5. Was müssen Unternehmen dabei genau berücksichtigen?

    MRO: Wie schon erwähnt ist das Risiko dynamisch und damit erfordert es eine dynamische Sicherheitskontrolle. Damit das Zero Trust-Rahmenwerk vollständig ist, benötigt es einige wichtige Kriterien. Dazu müssen dynamische Entscheidungsfindungen und Autorisierungen ermöglicht werden. Die Zugriffe werden nur auf Basis der einzelnen Sitzungen gewährt. Dabei bedarf es einer strengen Durchsetzung dieser Entscheidungen, bevor der Zugriff ermöglicht wird.
    Dies ist jedoch ein schwer zu erreichendes Ziel. Denn digitale Unternehmen von heute verfügen über komplexe, hochgradig verteilte Umgebungen mit Hunderten von Anwendungen, vielen Systemen, hybriden legacy- und cloudifizierten, microservices-gesteuerten Infrastrukturen sowie Hunderten, manchmal sogar Tausenden von Rollen. Und jede Änderung erfordert die Erstellung eines neuen Zugriffszenarios.

    PJA: Zero Trust trifft Zugriffsentscheidungen mit dynamischer Autorisierung. Nur so kann sichergestellt werden, dass autorisierte Benutzer durch fein abgestufte Kontrollen zum richtigen Zeitpunkt den richtigen Zugriff auf ihre wichtigen Anwendungen und die darin enthaltenen Dienste erhalten. Wenn nun also ein Benutzer versucht, auf ein Netzwerk, eine Anwendung oder Assets innerhalb einer Anwendung zuzugreifen, wird der Bewertungs- und Genehmigungsprozess eingeleitet.

    Sobald eine dynamische Autorisierung implementiert ist, können Berechtigungen mit einer noch nie dagewesenen Granularität ausgeführt werden, was Zero Trust erheblich stärkt und das Risiko reduziert.
     
  6. Welche Möglichkeiten gibt es, um Zero Trust rasch und effizient in einem Unternehmen umsetzen zu können?

    PJA: Zero Trust wird auf alle Ressourcen eines Unternehmens angewendet. Dies schliesst Anwendungen und deren Vermögenswerte mit ein. Nur dadurch kann ein echter Zero Trust-Schutz ermöglicht werden. Ein vollständiges und robustes Zero Trust-Rahmenwerk ruht auf der Sicherstellung, dass die drei Ebenen der Autorisierung und Durchsetzung angesprochen werden. Es müssen der Zugriff auf das Netzwerk, auf die Anwendung und innerhalb der Anwendung sichergestellt werden.

    MRO: Zero Trust ist somit keine eigene Software, sondern viel mehr das gelungene Zusammenspiel dynamischer Prozesse. Aber keine Angst, es wird jetzt nicht kompliziert. Denn die gute Nachricht ist, dass es heute ausgereifte Technologien auf dem Markt gibt, die einige der grundlegenden Prinzipien von Zero Trust erfüllen, insbesondere im Bereich der Netzwerkzugangskontrolle und der erweiterten Authentifizierung.

Die 7 Grundsätze von Zero Trust

"Die Mehrheit der Unternehmen hat eine Zero Trust-Sicherheitsarchitektur eingeführt oder plant die Einführung einer solchen." (Das Ponemon Institute)

Es gibt mehrere Ansätze zur Beschreibung der Zero Trust-Prinzipien. Aber die meisten wenden sich den sieben Grundsätzen zu, die das US-amerikanische National Institute of Standards and Technology (NIST) in seinem Bericht über die Zero-Trust-Architektur (NIST Special Publication 800-207) vorgestellt hat:

  • Alle Datenquellen und Rechendienste werden als Ressourcen betrachtet.

  • Die gesamte Kommunikation ist unabhängig vom Standort des Netzwerks gesichert. 

  • Der Zugriff auf einzelne Unternehmensressourcen wird pro Sitzung gewährt.

  • Der Zugriff auf Ressourcen wird durch dynamische Richtlinien bestimmt, die den beobachtbaren Zustand der Client-Identität, der Anwendung/des Dienstes und der anfragenden Ressource umfassen und weitere Verhaltens- und Umgebung Attribute einschließen können.

  • Das Unternehmen überwacht und misst die Integrität und die Sicherheitslage aller eigenen und zugehörigen Ressourcen. 

  • Alle Ressourcen Authentifizierungen und -autorisierungen sind dynamisch und werden strikt durchgesetzt, bevor der Zugriff erlaubt wird. 

  • Das Unternehmen sammelt so viele Informationen wie möglich über den aktuellen Zustand der Anlagen, der Netzinfrastruktur und der Kommunikation und nutzt sie, um die Sicherheitslage zu verbessern.

Foto von Edith Stingl - IPG - Experts in IAM
Edith Stingl
Marketing Manager DACH IPG Information Process Group Austria GmbH
Bild von Marco Rohrer zu Interview über IAMcloud
Blog 28.01.21

Interview mit IPG Group CEO Marco Rohrer

CEO Marco Rohrer im Interview über die Bedürfnissse des Marktes und warum gerade jetzt die Zeit für ein IDaaS mit den Vorteilen einer On-Prem Lösung reif ist.

Blogbeitrag, was bedeutet Zero Trust bedeutet
Blog 30.09.20

Zero Trust – oder lassen Sie jeden rein?

Was bedeutet Zero Trust? Wie funktioniert es und welchen Nutzen hat es? Diese und weitere Fragen beantworten wir in unserem Blogbeitrag!

Foto von Claudio Fuchs - IPG - Experts in IAM
News 10.01.22

IPG geht mit neuer Geschäftsleitung ins neue Jahr

Das Jahr 2022 beginnt bei IPG mit zahlreichen Neuerungen. Nach über 20 Jahren operativer Tätigkeit übernimmt der bisherige CEO und Co-Founder der IPG Group, Marco Rohrer, ab diesem Jahr das Präsidium im Verwaltungsrat der IPG Gruppe. Der bisherige Managing Director Alps, Claudio Fuchs wird neuer CEO. Durch diese Rochade ergibt sich auch für die weitere Organisation neue Strukturen.

Blog 11.07.24

Mit modernen Order-Management-Systemen zu zufriedenen Kunden

In dieser Folge von insights! hatte ich das Vergnügen, Linda Kuhr, die Gründerin und Geschäftsführerin von Fulfillmenttools, zu Gast zu haben. Sie teilt ihre Erfahrungen und Einblicke in die Welt des modernen Order Managements und die Herausforderungen, die dabei gemeistert werden müssen.

Cloud - SOA = Zero oder IT-Business Alignment
Wissen

Cloud - SOA = Zero oder IT-Business Alignment

Vor Jahren war SOA das aktuelle Buzzword, und zur Zeit ist Cloud Computing Hype. Hat SOA der Cloud den Weg geebnet? Wie ist deren Zusammenhang? Was bringt es?

Presse 25.10.20

Tourenoptimierung dank X-INTEGRATE

X-INTEGRATE hat die Anforderungen an eine Software für automatische Tourenplanung evaluiert und die Zeitschrift “Logistik für Unternehmen” in ihrer Ausgabe 10/2020 hat ausführlich darüber berichtet.

Teaser Bild NOEL IAM Referenz
Referenz 20.02.23

Wie aus einem Oldtimer ein moderner Sportwagen wird

Die Geschichte einer Verjüngungskur für eine in die Jahre gekommene Zugriffs- und Berechtigungsverwaltung. ✅ Lesen Sie den ganzen Beitrag in unserem Blog.

Blog 24.10.22

Moderne Organisationsstrukturen im Onlinehandel

Im vorherigen insights!-Podcast gewährte uns der Handelsexperte Dr. Kai Hudetz einen Blick in die Zukunft des Einzel- und Onlinehandels. Nun steht er uns vor dem Mikrofon ein zweites Mal Rede und Antwort. In diesem Gespräch dreht sich alles um die Frage, wie der Onlinehandel strukturell organisiert werden kann, um den Anforderungen eines sich rasend schnell verändernden Marktes gerecht zu werden.

Event Archive 17.04.23

Schaffung einer modernen Datenplattform

Wie sieht ein konstruktiver Weg aus, um die wachsenden Anforderungen an Verfügbarkeit, Agilität und Qualität Ihrer Daten effektiv und wirtschaftlich zu bedienen? Erfahren Sie dies und mehr bei der Veranstaltung von TIMETOACT und Talend.

Technologie Übersicht 21.01.22

Moderne Datensicherung mit Veeam

Veeam bietet eine umfassende Backup- und Datenmanagement-Plattform für cloudbasierte, virtuelle und physische Daten.

Anonyme Referenz
Referenz 12.11.24

Effizientes Flottenmanagement dank skalierbarer Plattform

X-INTEGRATE ermöglicht innovative Geschäftsmodelle im Flottengeschäft durch den Aufbau einer transaktionssicheren und skalierbaren Technologieplattform. Lesen Sie mehr.

Blog 25.10.23

Die Innovationskraft hinter modernem E-Commerce

In dieser "Insights"-Folge spreche ich mit André Menegazzi von commercetools über die bedeutenden Merkmale von commercetools. Er hebt die Notwendigkeit von Flexibilität und einen innovativen Ansatz bei bestimmten Use Cases hervor, der es Kunden ermöglicht, zukunftssichere und maßgeschneiderte E-Commerce-Lösungen zu entwickeln.

Titelbild zum Expertenbericht IAM im Spital - Gesundheitswesen
Blog 15.02.21

IAM und moderne Apps im Spital

Mithilfe eines IAMs in Kombination mit einer KIS App werden Behandlungsprozesse verbessert, der Zugriff auf Patientendaten erfolgt schnell und sicher.

Referenz 24.02.22

Modernes und benutzerfreundliches Service Portal

TIMETOACT implementiert für FitX mit Jira Service Management ein neues Service Portal und löst damit das ehemalige System in kurzer Zeit ab. Mit dem modernen und benutzerfreundlichen Atlassian-Tool können künftig in allen 95 Fitnessstudios Probleme, Störungen und Schäden einfach gemeldet und gezielt bearbeitet werden.

Referenz 28.05.24

Mit IBM FileNet zum modernen Dokumentenarchiv

Ein kompetenter Kundensupport ist einer der wichtigsten KPIs für Mobilanbieter. In dieser schnelllebigen Branche ist es eine Herausforderung, alle für einen Bestandsvertrag relevanten Dokumente schnell am Schirm zu haben, von AGBs über Zahlungsinformationen zu Vertragsanpassungen. TIMETOACT unterstützt einen frührenden Telekommunikationsanbieter bei der Archivmigration und Anbindung von modernen Applikationen an IBM FileNet P8 für das Handling von Millionen von Dokumenten.

News 08.06.22

Schnellere App-Entwicklung dank Mendix-Partnerschaft

Die TIMETOACT GROUP baut ihre Kompetenz rund um Low-Code durch eine Partnerschaft mit den Experten von Mendix weiter aus.

Leere Kiste mit Bierflaschen
Referenz 01.02.24

Trinks – Stabilisierung des ERP-Systems dank eXplain

Erfahren Sie, wie Trinks ihre kritische Systemumgebung auf der IBM i (AS400) mithilfe von eXplain stabilisiert und zu einer verwaltbaren Lösung geführt hat.

Teaserbild nDSG CH
Blog 11.05.23

Neues Datenschutzgesetz – Schutz vor Sanktionen dank IAM

Ab September 2023 gilt in der Schweiz das totalrevidierte Datenschutzgesetz (nDSG). Was bedeutet es für Unternehmen und wie kann ein effektives IAM Unternehmen unterstützen, das neue Gesetz einzuhalten? Mit diesem Expertenbericht erhalten Sie einen detaillierten Überblick.

Referenz

VYSYO – Zeit- & Kostenersparnisse dank neuester Technologien

Einsatz neuester Technologien verhilft dem Unternehmen VYSYO, Ressourcen effizient einzusetzen und die Qualität datengetriebener Arbeit zu erhöhen.

Teaser Referenz IAM Silhouette
Referenz 21.04.23

Cyber-Sicherheit dank Multi-Faktor-Authentifizierung

Angriffe auf die IT-Infrastruktur sind für Unternehmen eine ernsthafte Bedrohung. Die Silhouette Group wollte sich besser gegen Cyberangriffe schützen. ✅ Lesen Sie mehr dazu.

Bleiben Sie mit dem TIMETOACT GROUP Newsletter auf dem Laufenden!