Zero Trust wird von den meisten Cybersicherheitsexperten als das Nonplusultra der Daten- und Systemsicherheit gepriesen. Die Strategie soll verhindern, dass Cyberkriminelle in Systeme eindringen und im schlimmsten Fall Daten stehlen können. Hinter dem Sicherheitskonzept steht die einfache Aussage: „Traue niemandem innerhalb oder ausserhalb deines Unternehmensnetzwerks.“ Angreifer, die sich bereits im Netzwerk befinden, wie zum Beispiel eine Malware-Schläferzelle oder ein Angreifer, der das Unternehmen ausspioniert, sollen ausgeschlossen werden. So wird jeder einzelne Datenzugriff geprüft und autorisiert. Für den Benutzer ist dies jedoch oft eine Sicherheitsmassnahme zu viel, da er sich im Prinzip bei jeder Anmeldung oder jedem Zugriff auf eine Anwendung erneut authentifizieren muss. Das Konzept Zero Friction verspricht eine reibungslose Nutzererfahrung. Dies steht aber oft im Widerspruch zu Zero Trust. Warum man sich aber nicht zwischen Sicherheit und Benutzerfreundlichkeit entscheiden muss und warum Zero Friction die Zukunft von Zero Trust ist, lesen Sie hier.
Zero Trust: Definition und Massnahmen
Das Zero-Trust-Modell basiert auf der Annahme, dass in einem Unternehmensnetzwerk niemandem vertraut werden kann – weder einem Benutzer noch einem Gerät oder einer Anwendung. Jeder interne oder externe Zugriff, zum Beispiel auf Daten, wird daher immer geprüft und autorisiert, da sich Schadsoftware oder Hacker bereits im System befinden können. Sicherheitsexperten empfehlen verschiedene Komponenten und Vorgehensweisen, um Daten zu schützen.
So sollten Unternehmen genau definieren, welche ihrer Daten, Anwendungen und Ressourcen für den täglichen Betrieb am wichtigsten sind und wer wie darauf zugreift. Sind die Daten und ihre Wege kategorisiert, ist es ratsam, sicherzustellen, wo sich diese Daten befinden. So kann auch nach einem Angriff festgestellt werden, ob ein Hacker nur die Daten für das Mittagsmenü in der Kantine oder doch personenbezogene und damit sensible Daten gestohlen hat. So können auch Schwachstellen in der IT-Sicherheitsarchitektur aufgedeckt werden.
In diesem Zuge wird auch ein Regelwerk definiert, unter welchen Bedingungen ein Datenaustausch stattfinden darf. Nämlich erst dann, wenn sich die Entität erfolgreich authentifiziert hat, zum Beispiel durch eine mehrstufige Authentifizierung, und damit berechtigt ist, auf bestimmte Daten oder Anwendungen zuzugreifen.
Dies sind nur einige Massnahmen einer Zero-Trust-Strategie, die Unternehmen einhalten sollten, um ihre Daten und Anwendungen zu schützen.
Zero Friction – die Benutzererfahrung steht im Vordergrund
Zero Friction beschreibt ein Konzept, das in erster Linie darauf abzielt, jedem Nutzer eine reibungslose Nutzererfahrung zu gewährleisten. Reibungspunkte innerhalb der Customer Journey, zum Beispiel beim Einloggen in ein System, sollen minimiert oder eliminiert werden.
Dies beginnt bereits bei den Benutzeroberflächen, mit denen ein Nutzer in Berührung kommt. Diese sollten intuitiv gestaltet sein, damit sich der Kunde schnell zurechtfindet. Weiterhin sind schnelle Ladezeiten einer Webseite, automatisierte Prozesse wie vorausgefüllte Formulare oder eine nahtlose Integration von Diensten und Anwendungen zu nennen.
Aber auch die Registrierung spielt eine wichtige Rolle. Diese sollte möglichst einfach sein und beispielsweise durch eine Single-Sign-On-Lösung (SSO) unterstützt werden, damit sich ein Nutzer nicht bei jeder Anwendung neu anmelden muss.
Zero Trust und Zero Friction – dieselbe Seite einer Medaille
Zero-Friction-Authentifizierungsmethoden können Unternehmen dabei helfen, den Zugriff auf sensible Daten zu sichern, ohne die Benutzererfahrung zu beeinträchtigen. So kann eine Multi-Faktor-Authentifizierung (MFA) implementiert werden, die sich dadurch auszeichnet, dass mehrere Authentifizierungsfaktoren abgefragt werden, um die Identität eines Benutzers zu überprüfen. Dadurch wird eine sehr hohe Sicherheit gewährleistet. Die Möglichkeit der biometrischen Authentifizierung kann hier hilfreich sein, um den Anmeldeprozess zu vereinfachen. Mittels Fingerabdruck, Gesichtserkennung oder Iris-Scan wird der Benutzer authentifiziert. So müssen sie sich keine langen und komplexen Passwörter merken, die in der Regel als unsicher gelten, und können sich ohne Passwort einloggen.
Eine weitere Methode, die dem Benutzer das Leben erleichtert, ist die kontinuierliche Authentifizierung. Sie sorgt dafür, dass sich der Benutzer während einer Sitzung nicht ständig neu anmelden muss. Das System überprüft kontinuierlich die Identität des Nutzers anhand von Standortinformationen, der Geräte-IP und Verhaltensmustern. Bei signifikanten Abweichungen kann er dann aufgefordert werden, sich erneut zu authentifizieren.
Mit den genannten Authentifizierungsmethoden werden die Schutzmassnahmen so umgesetzt, dass sie für den Nutzer transparent und einfach zu handhaben sind.
Hand in Hand: Datensicherheit und eine reibungslose Nutzererfahrung
Ein Unternehmen, das seinen Kunden ein reibungsloses Kundenerlebnis bieten will, sollte dies nicht auf Kosten der Sicherheit tun. Dennoch gilt: Werden zu viele und nicht selten unnötige Sicherheitsmassnahmen implementiert, sind die Kunden überfordert und verärgert, was zu Verlusten für die Unternehmen führen kann. Beides sollte immer in einem ausgewogenen Verhältnis stehen. Nur so können neben einem positiven Kundenerlebnis auch höchste Sicherheitsstandards gewährleistet werden.
Mehr Sicherheit und Komfort, weniger Kosten – mit Single Sign-on und Social Login
Machen wir uns nichts vor. Nutzen wir unterschiedliche Passwörter für alle unsere Online-Dienste? Oder sind wir uns bewusst, dass die Verwendung derselben Passwörter für verschiedene Dienste – oder die Irreführung durch Social-Engineering-Angriffe – zu einem Schneeballeffekt führen können?
Ein Hacker könnte beispielsweise versuchen, mit einer Passwortliste, die aus einem anderen Betrugsfall stammt, auf eines Ihrer Online-Konten zuzugreifen. Nehmen wir an, sein Angriff ist erfolgreich – wenn Sie nun dasselbe Kennwort für mehrere Dienste verwendet haben, könnte der Hacker mit den gestohlenen Credentials auch auf andere Konten zugreifen. Ist dies realistisch? Leider ja.
Eine Möglichkeit, dieses Sicherheitsrisiko deutlich zu verringern, ist Single Sign-on, kurz SSO. Mit SSO können Unternehmen ihren Kunden und Mitarbeitern den Zugriff auf Online-Anwendungen und Websites erheblich erleichtern. Aber nicht nur die Nutzer profitieren von Single Sign-on, sondern auch die Unternehmen selbst.