Von der Perimetersicherheit zur Identitätssicherung

Heutzutage kommt man bei keiner Sicherheitsveranstaltung umhin, den Begriff „Zero Trust“ zu sehen. Er ist zwar ein Modewort, aber ein nützliches. Im Kern geht es um eine grundlegende Verlagerung des Sicherheitsfokus weg von der Perimeter-Sicherheit.

Zero Trust ist bereits ein alter Begriff, der um das Jahr 2010 in der Fachsprache auftauchte, aber seine Prinzipien reichen noch weiter zurück bis zum Jericho Forum, einer Zusammenkunft hochrangiger Cybersicherheitsexperten.

Die Mitglieder von Jericho prägten den Begriff „Entperimeterisierung“ erstmals um 2004. Damit erkannten sie an, dass ein schützender „Eiserner Ring“ um das Unternehmensnetzwerk nicht mehr ausreichte. Da Auftragnehmer und andere Geschäftspartner zunehmend Zugang zum Netzwerk erhielten, verschwamm die Unterscheidung zwischen „innen“ und „außen“ immer mehr. Aus dem einst von einem Burggraben umgebenen Netzwerk war eine Stadt mit zahlreichen Toren und einem regem Personenverkehr geworden.

Die Deperimeterisierung und ihr Nachfolger Zero Trust verlagerten ihren Fokus auf den Schutz einzelner Assets innerhalb des Netzwerks. Der beste Weg hierfür ist die kontinuierliche Authentifizierung der Zugriffe auf diese Assets und deren Berechtigungen. Dies bedeutete, dass Identität als neue Sicherheitsmaßnahme im Mittelpunkt stand.

Wer diesen Übergang nicht vollzieht, riskiert mehr Sicherheitslücken. ISMS-Bericht zum Stand der Informationssicherheit 2025 Es gibt sogar Zahlen dafür: Authentifizierungslücken haben sich im vergangenen Jahr verzehnfacht, von 2 % auf 20 % aller Vorfälle. Der Datenleckbericht von Verizon bestätigt, dass Zugangsdaten weiterhin das häufigste Angriffsziel darstellen.

Warum Qualifikationsnachweise zum Generalschlüssel geworden sind

Warum wurden Zugangsdaten zum Generalschlüssel für Unternehmenssysteme? Das liegt zum Teil an der Entwicklung des Netzwerkrandes. Dieser ist heute kaum noch zu definieren, da er sich über verschiedene regionale Rechenzentren und Cloud-Dienste verteilt. Auch hybrides Arbeiten spielte eine Rolle und beschleunigte den Bedarf an Fernzugriff auf das Netzwerk.

Ein weiterer Treiber ist die industrialisierte Infostealer-Ökonomie. Allein im Jahr 2024 erbeutete diese Schadsoftware 2.1 Milliarden Zugangsdaten. laut GoogleSobald eine Infostealer-Kampagne Anmeldeinformationen erbeutet hat, lassen sich diese leicht im Darknet verkaufen, und Credential-Stuffing-Angreifer können sie dann nutzen, um digitale Türgriffe im gesamten Internet zu erschüttern.

Wenn Angreifer einen Treffer landen und ein weiteres Konto knacken, können sie sicher sein, dass sie genügend Zeit haben, das gehackte Konto auszunutzen und zu entkommen. durchschnittlich 292 TageLaut IBM dauert es auch am längsten, Verstöße gegen die Zugangsdaten zu entdecken.

Nicht-menschliche Nutzer sind mittlerweile zahlreicher als menschliche.

Es gibt noch einen weiteren Grund, warum Identität im Bereich der Sicherheit immer wichtiger wird: nicht-menschliche Identitäten. Früher waren die Hauptnutzer von Unternehmens-IT-Ressourcen Menschen. Heute, dank Microservices, APIs und einer wachsenden Generation von KI-gestützten Diensten, nutzen auch nicht-menschliche Nutzer diese Ressourcen. Menschen zahlenmäßig 144:1 unterlegen in Unternehmen im Jahr 2025. Das entspricht einem Anstieg von 56 % gegenüber dem Vorjahr.

Das Wachstum von KI-Systemen ist hier besonders relevant, da diese Dienste zunehmend autonom agieren. Mit wachsendem Vertrauen in die KI-Automatisierung werden Unternehmen diesen Systemen vermehrt Verantwortung übertragen. Der Anteil solcher Dienste mit privilegiertem Zugriff wird steigen.

Identität ist grundlegend

Diese Trends sind der Grund, warum Compliance-Rahmenwerke den Fokus auf Identität legen. ISO 27001:2022 Anhang A 5.15-5.18 kodifiziert Identitätskontrollen als Teil eines umfassenderen Satzes organisatorischer Maßnahmen, die Zugriffskontrolle, Identitätsmanagement, Authentifizierungsinformationen und Zugriffsrechte abdecken.

Robuste Sicherheitskontrollsysteme haben eines gemeinsam: Jede Identität muss eindeutig sein, das Prinzip der minimalen Berechtigungen muss die Norm sein und die Zugriffsrechte müssen überprüfbar sein. Multi-Faktor-Authentifizierung (MFA) sollte für privilegierte Zugriffe obligatorisch sein.

Der Fokus dieser Rahmenwerke auf Identität ist zeitgemäß, da Regulierungsbehörden diesem Thema zunehmend mehr Aufmerksamkeit schenken. ENISA beschreibt MFA ist eine clevere Möglichkeit, die Einhaltung von NIS 2 nachzuweisen. Unternehmen sollten dies beachten, da diese EU-Verordnung bei Nichteinhaltung Strafen von bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes vorsieht.

Übergang zu einer identitätsorientierten Sicherheitsarchitektur

Wie können Unternehmen also eine identitätsbasierte Sicherheitsstrategie verfolgen, die unabhängig von unklaren Sicherheitsgrenzen ist?

Zero Trust basiert auf konkreten Komponenten. Eine davon ist ein starkes Identitäts- und Zugriffsmanagement, das sicherstellt, dass jeder Benutzer, jeder Dienst und jede Maschine eindeutig identifiziert und kontinuierlich authentifiziert wird.

Die Multi-Faktor-Authentifizierung (MFA) ist ein effektiver Schutz vor Kontoübernahmen, birgt aber auch Risiken. MFA-Müdigkeit ist ein reales Problem, Proxys können MFA-Sitzungen abfangen und Infostealer Sitzungstoken stehlen. Token-Diebstahl kann manche MFA-Maßnahmen sogar vollständig umgehen. Microsoft plant, im Jahr 2024… 147,000 Token-Replay-Angriffe wurden festgestellt, ein Anstieg von 111 % gegenüber dem Vorjahr.

Die passwortlose Authentifizierung mittels Passkeys ist eine weitere Möglichkeit, Phishing-Angriffe zu verhindern. Sie kann auch Verhaltensweisen unterbinden, die Endnutzer nur schwer aufgeben, wenn sie ihre Aufgaben erledigen müssen, wie beispielsweise das Weitergeben von Passwörtern für einen bequemen Zugriff.

Diese Veränderungen mögen für viele Organisationen, insbesondere solche, deren IT-Infrastruktur im Laufe der Zeit durch Akquisitionen, fragmentierte Teams und strategische Technologiewechsel aus verschiedenen Systemen zusammengesetzt wurde, eine gewaltige Herausforderung darstellen. Doch mit einigen grundlegenden Prinzipien lässt sich der Prozess vereinfachen.

Implementieren Sie die Kontrollen gemäß ISO 27001 Annex A 5.15–5.18 als Grundlage. Diese dienen als Leitfaden für die optimale Implementierung von Zugriffsrichtlinien, Identitätslebenszyklusmanagement und Authentifizierungsstandards. Ein solches Rahmenwerk bietet Ihnen eine solide Basis für Ihre Governance durch Maßnahmen wie regelmäßige Zugriffsüberprüfungen.

Vereinbaren Sie, nicht-menschliche Identitäten mit der gleichen Sorgfalt zu erfassen wie Mitarbeiter. Führen Sie eine Gap-Analyse durch und prüfen Sie, welche Maßnahmen erforderlich wären, um beispielsweise alle Servicekonten und deren TLS-Zertifikate oder API-Schlüssel umfassend zu berücksichtigen.

Letztendlich geht es darum, zu akzeptieren, dass Identitätssicherheit heute ein grundlegender Bestandteil des Sicherheitsmanagements ist. Denn man kann nur schützen, was man authentifizieren kann.