ZTNA wird unverzichtbar

Während freiwillige Richtlinien und relevante Sicherheitsstandards entwickelt werden und Gesetze Unternehmen zur Verantwortung ziehen, gibt es einen essenziellen Faktor, der eine zentrale Rolle in jeder Sicherheitsstrategie spielt: Zero Trust Network Access (ZTNA).

Gesetze zum Datenschutz und zur Informationssicherheit zielen darauf ab, einen zuverlässigen Schutz von Unternehmensinformationen in Bezug auf Integrität, Authentizität, Verfügbarkeit und Vertraulichkeit zu gewährleisten. Die Einhaltung dieser Vorgaben ist zwingend erforderlich, um regelkonform zu bleiben.

Einige Branchen erweitern die gesetzlichen Vorschriften durch eigene Regelwerke, welche die Anforderungen in dieser Branche spezifisch adressieren sollen. Ein herausragendes Beispiel dafür ist der Verband der Automobilindustrie (VDA), der mit TISAX einen speziell auf die Anforderungen der Automobilbranche zugeschnittenen Standard für Informations- und Cybersicherheit geschaffen hat. Akteure und Komponenten in der Automobilbranche werden derzeit besonders intensiv vernetzt – zusammen mit der Kritikalität eines Autos wichtiger Treiber für höchste Sicherheitsstandards. Insbesondere im Bereich der Fahrerassistenz- (ADAS) und automatisierten Fahrfunktionen (AD) hängen Gesundheit und Leben der Fahrzeuginsassen von der korrekten Funktion aller Systeme ab.

Die Anforderungen an die Informationssicherheit in der Automobilbranche ziehen sich durch die gesamte, sehr komplexe Wertschöpfungskette. Hier spielen standardisierte Prozesse, automatisierte Workflows und revisionssichere Berichte eine entscheidende Rolle, für deren Sicherung eine besonders effektive Zugangskontrolle – etwa in Form einschlägiger Network-Access-Control-(NAC)-Lösungen – erforderlich ist.

Wie Europa auf die gestiegene Bedrohungslage reagiert

Mit zunehmender Cyberkriminalität werden auch in Europa verstärkt Sicherheitsmaßnahmen ergriffen. Die NIS-Richtlinie (Network and Information Security) wurde 2016 von der Europäischen Union verabschiedet. Sie enthält Mindestanforderungen im Bereich Netzwerk- und Informationssicherheit für Unternehmen und Institutionen der kritischen Infrastruktur (KRITIS) in den Mitgliedstaaten. Neben der öffentlichen Verwaltung wurden im Rahmen der EU-NIS-Richtlinie folgende Sektoren als KRITIS-Unternehmen
definiert:

• Gesundheit,
• Energie- und Wasserversorgung,
• Transport und Verkehr,
• Finanzwesen und Versicherungen,
• Ernährung sowie
• Informationstechnik und Telekommunikation.

NIS-2 ist eine überarbeitete Version dieser Richtlinie, die im Januar 2023 beschlossen wurde. Ziel ist es, das Sicherheitsniveau in Europa zu vereinheitlichen und zu modernisieren. Eine bedeutende Veränderung durch NIS-2 besteht darin, dass eine breitere Palette von Unternehmen die EU-Richtlinie einhalten muss. Dazu gehören große Unternehmen sowie mittelständische Unternehmen bestimmter Sektoren, die gesellschaftskritische Aufgaben erfüllen. Der Schwellenwert liegt bei mindestens 50 Mitarbeitenden und einem Jahresumsatz von 10 Millionen Euro. Zu den neu definierten KRITIS-Bereichen gehören unter anderem das Bankwesen und Finanzen sowie das Gesundheitswesen.

Die konkreten Maßnahmen zum Risikomanagement wurden bisher noch nicht klar definiert, aber bestimmte Bereiche wurden festgelegt, wie beispielsweise

• Risikoanalyse,
• Management von Sicherheitsvorfällen,
• Aufrechterhaltung des Betriebs,
• Sicherheit der Lieferkette,
• Bewertung der Effektivität des Risikomanagements

und

• Multi-Faktor-Authentifizierung.

Wie Netzwerksicherheit die Umsetzung von Sicherheitsanforderungen unterstützt

Um die Sicherheit in modernen Netzwerken trotz einer massiven Bedrohungslage zu gewährleisten, sind Maßnahmen und Funktionen für Netzwerksicherheit und Zugangskontrolle von entscheidender Bedeutung. Sie unterstützen nicht zuletzt die Umsetzung der mit den Risiken wachsenden Anforderungen an das Risikomanagement.

Eine zentrale Funktion ist etwa die Festlegung von Zugriffsrechten für Personal und Geräte. Nur authentifizierte Geräte werden im Netzwerk zugelassen, was eine sichere Kommunikation ermöglicht. IT-Administratoren erhalten mithilfe einer Netzwerkübersicht einen schnellen Überblick über alle Geräte im Netzwerk, was für die Risikoanalyse von großer Bedeutung ist.

Die Durchsetzung von Sicherheitsrichtlinien erfolgt mithilfe von Compliance-Funktionalitäten. Clients und Netzwerkgeräte erhalten nur Berechtigungen für die notwendigen Netzwerkbereiche. Eine Segmentierung des Unternehmensnetzwerks mit einem VLAN-Manager sorgt für eine Kontroller der Kommunikation zwischen den Segmenten. Bei Bedarf – also zum Beispiel während eines Angriffs – kann die Kommunikation vollständig unterbunden werden. So können nicht betroffene Segmente den laufenden Betrieb auch während einer Attacke aufrechterhalten.

Die Bedeutung des Schutzes kritischer Infrastrukturen nimmt zu. Jüngste Vorfälle, bei denen offizielle Internetseiten von Behörden und Ministerien gehackt wurden, verdeutlichen die Dringlichkeit dieses Themas. Die Anzahl der gemeldeten Sicherheitsvorfälle von KRITIS-Betreibern ist ebenfalls alarmierend: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) meldete im Jahr 2022 (Juni 2021 bis Mai 2022) rund 452 Vorfälle bei KRITIS-Betreibern. Es besteht die Gefahr, dass subversive Akteure mit politischer Motivation die kritischen Infrastrukturen ins Visier nehmen.

Die Komplexität administrativer Prozesse erschwert die Sicherheitsbewältigung zusätzlich. Die zunehmende Remote-Arbeit und die Digitalisierung von Geschäftsprozessen haben die Angriffsfläche erweitert. Traditionelle Netzwerksicherheitslösungen sind zwar hilfreich, reichen aber allein nicht mehr aus, um robuste und sichere Netzwerke zu gewährleisten. Cyberkriminelle nutzen diese Veränderungen geschickt aus.

Eine weitere Herausforderung stellen neue Technologien wie künstliche Intelligenz (KI) dar. KI-gestützte Programme können komplexe Texte in Sekundenschnelle generieren, die kaum von menschlichen Verfassern zu unterscheiden sind. Phishingattacken werden dadurch raffinierter und schwerer zu erkennen. Experten erwarten einen Anstieg hochentwickelter Malware und Phishing-E-Mails.

Zero Trust Network Access – ein umfassender Sicherheitsansatz

Angesichts dieser Herausforderungen ist Zero Trust Network Access (ZTNA) ein umfassender Sicherheitsansatz für Unternehmen. ZTNA basiert auf dem Prinzip, dass weder Geräten noch Benutzern blind vertraut wird, ohne eine sichere Authentifizierung durchgeführt zu haben.

Im Gegensatz zu herkömmlichen Virtual Private Networks (VPNs) werden keine Tunnel zwischen dem Client-Netzwerk und dem zentralen Unternehmensnetzwerk erstellt. Stattdessen werden dedizierte Applikationsverbindungen hergestellt. Ein zentrales Element von ZTNA ist der Software-Defined Perimeter (SDP), der die Zugriffsberechtigungen von der Netzwerkebene entkoppelt. Vor dem Zugriff müssen alle Dienste und Clientanwendungen überprüft und authentifiziert werden.

ZTNA ermöglicht eine Mikrosegmentierung auf Anwendungsebene und behandelt jede Applikationsverbindung wie eine separate Umgebung. Die Authentifizierung kann gerätebasiert oder identitätsabhängig erfolgen. ZTNA eignet sich besonders gut für cloudbasierte und hybride Umgebungen. Zero Trust gewährleistet die IT-Sicherheit auch zukünftig, unabhängig davon, von welchem Gerät oder welchem Ort aus auf Unternehmensdaten und -anwendungen zugegriffen wird.

Fazit

ZTNA muss in Zukunft ein wichtiger Bestandteil ganzheitlicher IT-Sicherheitslösungen sein, um die Sicherheit von Netzwerken mit ihren zentralen Unternehmensdaten zu gewährleisten. Dies gilt insbesondere für KRITIS-Unternehmen.

Network-Access-Control-(NAC)-Lösungen spielen dabei eine zentrale Rolle und sollten herstellerunabhängig, einfach zu implementieren und zu administrieren sein. Eine Integration mit anderen Sicherheitsbausteinen wie Endpoint-Security-Lösungen, Notfallmanagement und Firewall/IPS über Schnittstellen sollte möglich sein, um komplexe Anforderungen optimal zu erfüllen und Mehrwert zu generieren.