Das Zero Trust-Modell – der moderne Ansatz für Cybersicherheit im Bankwesen

„Castle-and-Moat“ – besser bekannt als „Perimetersicherheit“ – ist in vielen Banken immer noch eine gängige Methode, um Daten vor hinterhältigen Angriffen zu schützen. Nach dem Vorbild einer mittelalterlichen Burg, die durch Steinmauern, Gräben und Zugbrücken geschützt ist, investieren Banken Unsummen in Perimetersicherheit, um ihr Netzwerk durch Firewalls, Proxyserver, Honeypots und andere Intrusion Prevention-Tools abzusichern. Durch die Perimetersicherheit werden Eingangs- und Ausgangspunkte des Netzwerks überwacht, oder genauer gesagt die Datenpakete und Identitäten der Nutzer, die im Firmennetzwerk ein und aus gehen. Dabei wird vorausgesetzt, dass die Aktivitäten im abgesicherten Perimeter relativ sicher sind.

Vorausschauende Finanzinstitute gehen heute über dieses Paradigma hinaus und entscheiden sich für eine moderne Cybersicherheitsstrategie: das Zero Trust-Modell. Die zentrale Botschaft eines Zero Trust-Modells lautet: „Traue niemandem, egal, ob intern oder extern“. Bevor einer Person oder einem Gerät Zugriff gewährt wird, findet grundsätzlich eine strenge Überprüfung statt.

Auch heute ergibt die Burg-Metapher noch Sinn. Aber statt immer mehr Geld für stärkere Mauern und breitere Gräben auszugeben, folgt das Zero Trust-Model einem detaillierteren Ansatz, um den Zugriff auf Identitäten, Daten und Geräte zu steuern. Ganz gleich, ob vielleicht ein Insider fahrlässig oder vorsätzlich falsch handelt oder ein getarnter Angreifer die „Mauern“ überwindet, es wird kein automatischer Zugriff auf Daten gewährt.

Die Grenzen des „Castle-and-Moat“-Ansatzes

Wenn es um den Schutz digitaler Unternehmensstrukturen geht, unterliegt der „Castle-and-Moat“-Ansatz engen Grenzen. Insbesondere neue Bedrohungen aus dem Internet verändern die Art und Weise, wie Ressourcen überwacht und geschützt werden. Großunternehmen wie Banken halten Daten und Anwendungen in dezentralen Netzwerken vor, auf die Mitarbeiter, Kunden und Partner vor Ort oder online zugreifen. Dies macht den Schutz des Perimeters noch schwieriger. Auch wenn der „Graben“ für Angreifer nicht zu überwinden ist, lauern in den Burgmauern genügend Probleme wie Identitätsdiebstahl oder Insiderbedrohungen.

Die folgenden Schwachstellen beobachten wir häufig in Banken, die an ihrem „Castle-and-Moat“-Sicherheitsprinzip festhalten:

  • Die Zugriffsrechte der Mitarbeiter für Anwendungen werden nur einmal jährlich geprüft.
  • Richtlinien für Zugriffsrechte sind widersprüchlich und inkonsistent, da sie von einem einzelnen Vorgesetzten verwaltet und nach einem Mitarbeiterwechsel nicht ausreichend kontrolliert werden.
  • Zu viele Konten mit erhöhten IT-Administratorrechten
  • Kundendaten sind – ohne transparenten Zugriff – über mehrere Dateifreigaben verteilt.
  • Blindes Vertrauen in die Authentifizierung per Kennwort
  • Keine Datenklassifizierung und kein Reporting über den Speicherort von Daten
  • Regelmäßige Weitergabe von Dateien mit streng vertraulichen Daten auf USB-Speichersticks

So profitieren Banken und Kunden vom Zero Trust-Modell

Die Vorteile des Zero Trust-Ansatzes wurden bereits hinreichend dokumentiert. Immer mehr Beispiele aus der realen Welt belegen, dass diese Methode bestens geeignet ist, um raffinierte Cyberangriffe abzuwehren. Trotzdem halten heute noch viele Banken an Praktiken fest, die den Zero Trust-Prinzipien zuwider laufen.

Durch die Einführung eines Zero Trust-Modells können Banken ihr Sicherheitskonzept stärken und den Grundstein für Initiativen legen, die Mitarbeitern und Kunden mehr Flexibilität verschaffen. Vorgesetzte können z. B. die Mobilität von Mitarbeitern wie Kundenbetreuern und Finanzberatern fördern, damit Kundentermine auch fernab von Schreibtisch und Bankfiliale möglich sind. Viele Finanzinstitute unterstützen heute räumliche Flexibilität, arbeiten dabei aber mit analogen Mitteln wie Papierausdrucken oder statischen Tabellen. Doch sowohl Mitarbeiter als auch Kunden erwarten inzwischen einen dynamischeren Austausch auf der Basis von Echtzeitdaten.

Banken mit einem „Castle-and-Moat“-Sicherheitsansatz sehen es oft nicht gerne, wenn Daten das physische Netzwerk verlassen. Deshalb können Bankmitarbeiter und Finanzberater dynamische Modelle für bewährte und durchdachte Anlagestrategien nur präsentieren, wenn der Kunde zu ihnen in die Bank kommt.

Bank- oder Finanzberater wissen noch, wie kompliziert es war, von unterwegs ein Echtzeitdatenmodel zu teilen oder aktiv mit Kollegen oder Wertpapierhändlern zusammenzuarbeiten – zumindest solange kein VPN in der Nähe war. Agilität ist jedoch ein wichtiger Faktor für kluge Anlageentscheidungen und zufriedene Kunden. Über ein Zero Trust-Modell erhalten Kundenbetreuer oder Analysten Erkenntnisse von Marktdatenanbietern, können Daten mit eigenen Modellen zusammenführen und unabhängig von Ort und Zeit verschiedene Kundenszenarien durchspielen.

Die gute Nachricht ist, dass wir uns mitten im intelligenten Sicherheitszeitalter befinden. Unterstützt von der Cloud und Zero Trust-Architektur können wir die Sicherheit und Compliance im Bankensektor ganz einfach verbessern und modernisieren.

Microsoft 365 – Sicherheit im Bankwesen neu definiert

Mit Microsoft 365 können Banken Zero Trust-Sicherheit mithilfe der folgenden drei Schlüsselstrategien zügig umsetzen:

  • Identität und Authentifizierung – Zunächst müssen Banken prüfen, ob ihr Gegenüber derjenige ist, für den er sich ausgibt. Falls ja, wird der Zugriff rollenbasiert gewährt. Über Single Sign-On (SSO) in Azure Active Directory (Azure AD) können authentifizierte Nutzer ortsunabhängig auf Anwendungen zugreifen. Der mobile Zugriff auf Ressourcen erfolgt sicher und ohne Einbußen bei der Produktivität.

Weitere sichere Methoden sind die zweistufige Authentifizierung oder die kennwortlose Multi-Factor Authentication (MFA), durch die das Risiko von Sicherheitsvorfällen um 99,9 Prozent gesenkt werden kann. Microsoft Authenticator unterstützt Pushbenachrichtigungen, einmalige Passcodes und biometrische Anmeldung bei sämtlichen mit Azure AD verbundenen Anwendungen.

Darüber hinaus können sich Bankmitarbeiter mit Windows Hello sicher und bequem per Gesichtserkennung bei ihrem Windows-Gerät anmelden. Schließlich gibt es noch den bedingten Zugriff in Azure AD, um Ressourcen über geeignete Zugriffsrichtlinien vor verdächtigen Anforderungen zu schützen. Microsoft Intune und Azure AD sorgen zusammen dafür, dass nur verwaltete und konforme Geräte Zugriff auf Office 365-Dienste wie E-Mail und lokale Anwendungen erhalten. Über Intune können Banken dann den Compliancestatus von Geräten bewerten. Richtlinien für den bedingten Zugriff werden gemäß dem Compliancestatus durchgesetzt, den ein Gerät zum Zeitpunkt des Datenzugriffs aufweist.

Infografik: Der bedingte Zugriff basiert auf Signalen (Benutzerstandort, Gerät, Echtzeitrisiko, Anwendung), der Verifizierung von Zugriffsversuchen (Zugriff zulassen, MFA anfordern oder Zugriff blockieren) sowie Anwendungen und Daten.

Abbildung des bedingten Zugriffs

  • Bedrohungsschutz – Microsoft 365 bietet Banken mit Microsoft Threat Protection eine integrierte und automatisierte Sicherheitslösung zur besseren Erkennung, Bekämpfung und Vermeidung von Angriffen. Der Dienst nutzt einige der weltgrößten Signalquellen über Microsoft Intelligent Security Graph sowie erweiterte Automatisierung mit KI-Unterstützung (künstliche Intelligenz). So lassen sich Probleme von Sicherheitsteams präzise, effizient und zügig beheben. Das Microsoft 365 Security Center ist ein zentraler Arbeitsbereich, in dem intelligente Sicherheitslösungen aus Microsoft 365 gebündelt sind – inklusive Identitäts- und Zugriffsverwaltung, Bedrohungsschutz, Informationsschutz und Sicherheitsmanagement.

Screenshot des Microsoft 365 Security Center-Dashboards

Das Microsoft 365 Security Center

  • Informationsschutz – Cyberangreifer nehmen zuerst Identitäten und Geräte ins Visier, haben es in Wirklichkeit aber auf Ihre Daten abgesehen. Mit Microsoft Information Protection können Banken den Schutz vertraulicher Informationen stärken – sowohl bei der Speicherung als auch bei der Übertragung. Mit Microsoft 365 können Kunden 1) vertrauliche Daten identifizieren und klassifizieren, 2) flexible Schutzrichtlinien anwenden sowie 3) gefährdete Daten überwachen und wiederherstellen.

Screenshot mit einer Genehmigungsanforderung für eine klassifizierte E-Mail in Microsoft Azure Information Protection

Beispiel für die Klassifizierung und den Informationsschutz

Einfacheres Sicherheitsmanagement mit Zero Trust

Microsoft 365 basiert auf Transparenz, Skalierbarkeit und intelligenten Funktionen, um das Sicherheitsmanagement in einer modernen Zero Trust-Architektur zu vereinfachen und Cyberkriminalität wirksam zu bekämpfen.

Wenn Sie nach einer zeitgemäßen Lösung zur Absicherung Ihrer „Burg“ suchen, bietet eine Zero Trust-Umgebung optimalen Schutz vor modernen Cyberbedrohungen. In einer Zero Trust-Umgebung wissen Sie immer, wer wann auf welche Daten zugreift und ob der Nutzer überhaupt eine entsprechende Berechtigung hat.

Mit den Sicherheits- und Compliancefunktionen in Microsoft 365 können Unternehmen ganz einfach prüfen, ob ein Nutzer oder ein Gerät vertrauenswürdig ist. Darüber hinaus bietet Microsoft 365 umfassende Funktionen für die Zusammenarbeit und Produktivität. Die Komplettlösung Microsoft 365 ist der Schlüssel für kundenorientierten und innovativen Service im Bankwesen.

Die in diesen Blogartikeln beschriebenen Merkmale und Funktionen können je nach Markt unterschiedlich sein. Ausführliche Informationen zu den Produktangeboten für Ihren Markt finden Sie unter Microsoft 365, Office 365, Windows 10 oder Enterprise Mobility + Security.
Die mit diesen Beiträgen verlinkten Inhalte stehen möglicherweise nicht in Ihrer Sprache zur Verfügung.