Zero Trust für Finanzdienstleister: Der fehlende Baustein

Unternehmen im Finanzsektor haben ihre Schwierigkeiten damit, den Sinn der Zero Trust-Sicherheit für ihre Cloud-Dienste zu verstehen. Zum einen befinden Sie sich nicht selten in einer Zwickmühle: Sie befinden sich im Spannungsfeld zwischen den änderungsfreudigen Anforderungen der Kunden und der Einhaltung von Bundes- und Landesverordnungen. Wenn dann noch Initiativen zur digitalen Transformation des Unternehmens hinzukommen, wie z. B. die Umstellung auf die Cloud, könnte es die Sicherheits-Teams leicht überfordern, wenn sie gleichzeitig Sicherheitsvorfälle vorbeugen und die alltäglichen Aufgaben des Identitätsmanagements meistern müssen.

CIOs und andere Führungskräfte der Finanzunternehmen stehen dann vor einem ganzen Sammelsurium an Initiativen, die darauf warten, umgesetzt zu werden: Sie müssen einsparen, dabei gleichzeitig die Sicherheit verbessern und für die Zufriedenheit der Endkonsumenten sorgen. Nicht wenige sehen sich gezwungen, Cloud-Initiativen zu ergreifen, um die Kosten für die Infrastruktur zu senken und das betriebliche Risiko durch eine unternehmensgerechte Betriebszeit und Zuverlässigkeit zu minimieren. Diese Argumentation ist stichhaltig: SaaS-Lösungen bieten oft einen Mehrwert und ermöglichen Flexibilität, um Mitarbeitern, Partnern und Kunden die meisten Dienste anzubieten und senken gleichzeitig die Risiken für Ihr Unternehmens insgesamt.

Auf dem festen Fundament der Zero-Trust-Prinzipien, und insbesondere wenn sie die Zero-Trust-Journey Ihres Unternehmens mit einem Identitätsmanagement angehen, wird dies nicht nur die Sicherheitslage Ihres Unternehmens verbessern, sondern auch die digitale Transformation erleichtern. 

Zero Trust ist ein zeitgemäßes Sicherheitsparadigma und basiert auf dem Prinzip „niemals vertrauen, immer überprüfen.“ Evan Gilman und Doug Barth erklären das in ihrem O'Reilly-Buch über Zero Trust Networks folgendermaßen: „Im [Zero Trust]-Modell wird nichts als selbstverständlich vorausgesetzt, und jede einzelne Zugriffsanfrage – sei es von einem Kunden in einem Café oder einem Server im Rechenzentrum – wird rigoros geprüft und auf ihre Berechtigung hin untersucht.“

Die Gedanke, jede einzelne Zugriffsanfrage gesondert bewerten zu müssen, wiegt für Finanzdienstleister besonders schwer, da es strenge Vorgaben für den Datenschutz gibt und es für Unternehmen teuer werden kann, wenn sie die persönlichen Daten und finanziellen Ressourcen ihrer Kunden nicht schützen. In der Literatur zum Thema Zero Trust dreht sich alles um das Konzept des ‚Perimeters‘ und damit um das naheliegende Verständnis, dass ein auf Perimeter basierter Ansatz für Netzwerke Ihr Unternehmen nicht ausreichend vor internen, seitlichen Angriffen schützen kann.

Anders ausgedrückt: Die traditionelle Kontrolle des Netzwerkzugriffs beruht auf einem Burg- und Burggrabenmodell, bei dem die Ressourcen Ihres Unternehmens die Burg ist, und Ihr Netzwerk den Burggraben darstellt, der den Zugang böswilliger Akteure zur Burg verhindert. Bei diesem Modell haben die Nutzer, sobald sie den Burggraben überwunden haben, freie Hand im Inneren der Burg und damit die Gelegenheit, alle Arten von internen und seitlichen Angriffen mit den damit verbundenen Sicherheits-, Reputations- und Kostenschäden durchzuführen.

Überkommene Sicherheitsparadigmen (wie z. B. Network Access Control) stützen sich auf dieses Modell der Burg mit Wassergraben, das weder die Unternehmensressourcen angemessen schützt noch die erforderliche Stringenz der Richtlinien bieten kann, um Zugriffsanfragen zu beurteilen, ohne den Anfragenden zu kennen.  

Bloß weil es noch mehr gibt als nur Netzwerkzugangskontrolle, heißt dies nicht, dass Sie nicht an einer Zero-Trust-Architektur für Ihr Unternehmen arbeiten könnten. Wie Gilaman und Barth bereits erwähnten, ist die Autorisierung der fehlende Baustein in den Zero-Trust-Lösungen vieler Finanzdienstleister. Die Authentifizierung von Nutzern, wenn sie auf ein Netzwerk oder eine bestimmte Anwendung zugreifen möchten, ist ein wichtiger und notwendiger Bestandteil der Sicherheitsvorkehrungen, aber Ihr Unternehmen muss jede einzelne Zugriffsanfrage autorisieren, um die Best Practices von Zero Trust tatsächlich zu erfüllen. 

Sie können niemandem vertrauen, den Sie nicht kennen. Wenn die Netzwerkzugangskontrolle nicht mehr als leitendes Sicherheitsparadigma dienen kann und Sie Authentifizierungs- und Autorisierungsdienste benötigen, um das benötigte Sicherheitsniveau für Ihr Unternehmen zu erreichen, bleibt Ihnen noch die Identität. 

Die digitale Identität ist die einzige Möglichkeit, Benutzer zu verifizieren, jede Zugriffsanfrage zu authentifizieren, Anfragen nach der Authentifizierung zu autorisieren und auf diese Weise sicherzustellen, dass nur die richtigen Personen auf die für sie vorgesehenen Ressourcen zugreifen. Identifizierung und Authentifizierung sind nur die ersten Schritte der User Journey: Es ist die Autorisierung, die über jede weitere Zugriffsanfrage entscheidet. 

Die Zero-Trust-Prinzipien verlangen von Ihnen, alle Nutzer kontinuierlich und korrekt zu autorisieren, wenn Mitarbeiter, Partner und Kunden versuchen, auf sensible Ressourcen zuzugreifen. Die Autorisierung ermöglicht die Bewertung von Risikosignalen in Echtzeit nach der Authentifizierung und während der gesamten Benutzersitzung. 

Kontinuierliche Autorisierung bedeutet, dass Sie die Autorisierung nachbessern können, wenn sich der Echtzeitkontext verändert, indem Sie eine Challenge verlangen oder den Zugriff verhindern, selbst dann, wenn er bereits zuvor gewährt wurde. Dies ermöglicht eine bessere Entscheidungsfindung bei Zugriffsanfragen, ganz gleich an welchem Punkt der User-Journey sie gestellt werden. 

Ohne Autorisierungsfunktionen wird selbst eine segmentierte und hochmoderne Firewall Ihrem Team nicht die nötigen Tools an die Hand geben, um bei Bedarf Reibung in den User-Journeys einzuarbeiten und, falls notwendig, den Zugriff ganz zu verweigern. Maßgebende Zero-Trust-Initiativen mit Identität helfen Ihnen dabei, die ordnungsgemäße Authentifizierung der Nutzer zu prüfen und festzustellen, ob sie für das Zugreifen auf die angeforderten Ressourcen und das Durchführen der gewünschten Aktionen autorisiert sind.

1. Identität beschleunigt die digitale Transformation

In den letzten Jahren mussten Finanzdienstleister ihre Richtlinien für Mitarbeiter, Partner und Kunden aktualisieren, um den Anforderungen aller Beteiligten gerecht zu werden. Dies betraf z. B. die Fernarbeit, Anpassungen an verschärfte behördliche Auflagen und sich verändernde Kundenanforderungen. Ihr Unternehmen musste wahrscheinlich Verfahrensweisen und digitale Ressourcen umgestalten, um einige dieser Herausforderungen zu bewältigen.

Wenn Sie Identität in Ihre Zero Trust-Initiativen einbeziehen, haben Sie die Grundlage, auf der Sie anderen Geschäftsinitiativen den Vorrang geben können. TIAA, ein führender Anbieter von Finanzdienstleistungen im akademischen, forschenden und medizinischen Bereich, nutzt beispielsweise IAM-Funktionen, um die Grenzen im Sicherheitsbereich auszureizen und seinen Kunden bessere Erlebnisse zu bieten. Mit Identitätsmanagement war es möglich, die User Journeys abzusichern, indem TIAA während der Zugriffsanfragen Risikosignale auswertete, um das Kundenerlebnis zu optimieren und zu personalisieren.

2. Identität ermöglicht Autorisierung

Der Schutz des Zugriffs auf Daten ist für Mitarbeiter, Partner und Kunden unerlässlich. Nur die Autorisierung kann das erforderliche Maß an fein abgestimmter Kontrolle bieten, um Zugriffsanfragen so zu erfüllen, dass Ihr Unternehmen vor internen, seitlichen Angriffen geschützt ist.

Autorisierungsmethoden, die mit Identität beginnen, schalten die attributbasierte Zugriffskontrolle (ABAC) frei, ein flexiblerer Ansatz für Autorisierungen, bei dem zusätzliche Informationen (Attribute) für regelbasierte Entscheidungen verwendet werden. Diese Attribute können Eigenschaften wie risiko- und kontextbezogene Signale sein oder Benutzer-, Ressourcen- und Umgebungsattribute (wie Zugriffszeit, -datum und -ort), die letztlich eine bessere Entscheidungsgrundlage für Zugriffsanfragen bieten. Die Verwendung von Attributen als Grundlage für Autorisierungsentscheidungen erweitert die netzwerkbasierten Zugangskontrollen und gibt Ihrem Sicherheitsteam mehr Kontrolle über die Verwaltung.

Mit Identity können Sie auch die Zugriffsanforderung eines Benutzers dynamisch auswerten. Die dynamische Autorisierung ist die Durchsetzung einer fein abgestimmten Geschäftslogik in Echtzeit und regelt, was Benutzer in welchem Kontext und zu welchem Zweck sehen und tun können. Mit ihrer Hilfe können die Betrugsteams derFinanzunternehmenRisikosignale aus dem gesamten Unternehmen zusammenholenn und Richtlinien erstellen, um verschiedene individuelle Vertrauensebenen für User Journeys festzulegen. 

Wenn Unternehmen die Möglichkeit haben, das mit einem Nutzer und seinem Sitzungskontext verbundene Risiko in Echtzeit zu überprüfen, können sie neuen Bedrohungstrends zuvorkommen und die Benutzererlebnisse kontinuierlich an die entsprechenden Vertrauensebenen anpassen. Die Externalisierung und Zentralisierung von Zugriffsrichtlinien in Kombination mit deren Durchsetzung erleichtert zudem die Skalierbarkeit in einer Landschaft von Datenschutzbestimmungen und Geschäftsfaktoren, die raschem Wandel unterworfen ist. Hier finden Sie weitere Informationen über die spezifischen Methoden, mit denen die Entwickler von Finanzdienstleistungen die dynamische Autorisierung nutzen, um ihre Unternehmen zu unterstützen. 

3. Identität erleichtert die Integration und Anpassung

Zero Trust ist keine Lösung, die von einem bestimmten Anbieter vertrieben wird, und auch kein einzelnes Produkt. Finanzdienstleister müssen in der Lage sein, Identitätslösungen in ihren bestehenden Technologie-Stack zu integrieren, damit sie die bestehende Architektur nicht komplett austauschen müssen, denn dies würde weitere Initiativen der digitalen Transformation verzögern. Eine auf Standards basierende Identitätslösung bietet Ihnen die Integration, die Sie zur Verbesserung und Erweiterung Ihres vorhandenen Technologie-Stacks benötigen. Sie ermöglicht Ihnen gleichzeitig den Aufbau eines Identitäts-Hubs, also einer Identitätsgrundlage, über die Ihre laufenden Anwendungen unabhängig von ihrem Standort miteinander kommunizieren und die für Ihre Teams und Endkunden erforderlichen Funktionen gewährleisten.

Mit einem Identitäts-Hub können alle Ihre Mitarbeiter, einschließlich Ihrer Sicherheits-, Betrugs- und Incident-Response-Teams, nach demselben Schema vorgehen. Abläufe können so besser abgestimmt werden, Schwierigkeiten lassen sich leichter bewältigen, und Sie können schnell und effizient auf Problemsituationen reagieren. Mit einem Identitäts-Hub sind Ihre Teams nicht mehr separat an Zeitpläne der Release-Termine gebunden oder müssen mit einer unvollständigen Übersicht über Mitarbeiter, Partner und Kunden arbeiten. Stattdessen können sie auf eine vereinheitlichte Ansicht der Benutzerattribute zugreifen, die es ihnen ermöglicht, Ressourcen effektiv zu sichern, Bedrohungen proaktiv zu erkennen und rasch auf Ereignisse zu reagieren.

Die Zero-Trust-Initiativen Ihres Finanzunternehmens können parallel zu den Initiativen der digitalen Transformation durchgeführt werden. Beim Zero Trust-Paradigma geht es im Wesentlichen darum, die Sicherheit in Ihre Technologie einzubetten, anstatt sie nur aufzusetzen. So können Sie Vertrauen schaffen und Ihren Mitarbeitern, Partnern und Kunden ein sicheres Erlebnis zu ermöglichen. Identität liefert ein robustes Zero Trust-Framework das Sie und Ihr Team in die Lage versetzt, bei Bedarf das geeignete Maß an Reibung in die User Journeys einzufügen, und dabei gleichzeitig die anspruchsvollen staatlichen Vorschriften einzuhalten, um die Ziele der digitalen Transformation Ihres Teams zu erreichen.

Informationen darüber, wie Ihr Unternehmen von der Identität profitieren kann, finden Sie in der Kurzbeschreibung unserer IAM-Lösungen für Finanzdienstleister.