Banken und Versicherungen müssen im Hinblick auf die IT-Sicherheit zahlreiche Richtlinien berücksichtigen. Dazu zählen ISO 27001, BAIT, VAIT oder die EU-Richtlinien und -Verordnungen Netzwerk- und Informationssicherheit 2, kurz NIS2 oder der Digital Operational Resilience Act, DORA.
Mit NIS2 etwa soll das Security-Niveau in der EU generell verbessert werden. Unter anderem erfordert NIS2 eine grundlegende „Cyber-Hygiene“ mit regelmäßigen Hardware- und Software-Aktualisierungen, Passwort-Änderungen und möglichst wenigen Accounts mit Administrator-Berechtigungen. Viele Regularien zielen auf digitale Identitäten als wichtige Verteidigungslinie für Banken und Versicherungen ab. So enthalten BAIT oder VAIT recht konkrete Vorgaben zum Identitäts- und Rechtemanagement.
Ab dem 17. Januar greift DORA
Von besonderer Bedeutung ist aktuell die Verordnung DORA, die ab dem 17. Januar 2025 Anwendung finden wird. DORA zielt darauf ab, die Widerstandsfähigkeit von Unternehmen gegen Cyberangriffe zu stärken, und stellt die Sicherung von IKT (Informations- und Kommunikationstechnologien) in den Mittelpunkt. Das Regelwerk gilt für alle Arten von Finanzunternehmen: von Banken über Kredit- und Zahlungsanbieter bis hin zu Versicherungsunternehmen.
Außerdem betrifft es Drittanbieter, die den Unternehmen IKT-Systeme und -Dienstleistungen zur Verfügung stellen, somit auch große Cloud-Anbieter wie Microsoft, Amazon oder Google und Outsourcing- sowie Managed-Service-Anbieter. Die DORA-Regelungen wollen nicht zuletzt das Cloud-Konzentrationsrisiko reduzieren, also das systemische Risiko, das mit der Auslagerung gemeinsamer geschäftskritischer Funktionen an einen einzigen Cloud-Anbieter verbunden wäre.
In der Verordnung finden sich zur Stärkung der Resilienz mehrere konkrete Vorgaben. In Artikel 9 wird beispielsweise gefordert, dass Unternehmen Richtlinien umsetzen, die „den physischen oder logischen Zugang zu Informations- und IKT-Assets ausschließlich auf den Umfang beschränken, der für rechtmäßige und zulässige Funktionen und Tätigkeiten erforderlich ist“. Zudem seien „Konzepte und Protokolle für starke Authentifizierungsmechanismen, die auf einschlägigen Normen und speziellen Kontrollsystemen basieren“, zu implementieren.
Menschliche und maschinelle Identitäten im Fokus
Betrachtet man die verschiedenen Richtlinien und Verordnungen kann man einige gemeinsame Nenner identifizieren. Dazu gehören die End-to-End-Sicherheit, das Risikomanagement und die Stärkung der Resilienz. Ein wesentlicher Punkt zum Schutz von IKT-Systemen vor Bedrohungen und Schwachstellen betrifft dabei die Identity Security. Die Identitäten müssen umfassend gesichert werden, wobei vier verschiedene Identitätstypen zu unterscheiden sind. Zunächst geht es um die normalen Mitarbeiter, die zunehmend umfangreichere Arbeiten in unterschiedlichen Applikationen etwa auch unter Nutzung der Cloud übernehmen und dafür auch weitreichendere Zugriffsrechte benötigen.
Zweitens sind die privilegierten Benutzer insbesondere in der IT wie Administratoren zu berücksichtigen. Als dritte Gruppe kommen die Anwendungsentwickler ins Spiel, die verstärkt DevOps- und GitOps-Verfahren anwenden und auf Cloud-Services zugreifen und hoch automatisierte Verfahren nutzen. Das Identitäts- und Zugriffsmanagement ist hier von entscheidender Bedeutung, allein schon aufgrund der hohen Anzahl möglicher Entitlements (Berechtigungen) in den unterschiedlichen Cloud-Umgebungen.
Die vierte Gruppe schließlich sind die maschinellen Identitäten, deren Anzahl bei Banken und Versicherungen in den vergangenen Jahren stark gestiegen ist und die vielfach nicht ausreichend Berücksichtigung finden. BAIT und VAIT sprechen hier von technischen Benutzern, „die von IT-Systemen verwendet werden, um sich gegenüber anderen IT-Systemen zu identifizieren oder um eigenständig IT-Routinen auszuführen“. Dazu zählen nicht nur Anwendungen, die auf Datenbanken, Fileserver oder andere Applikationen zugreifen, sondern auch die vielen Tools, Bots und Skripte, die Abläufe automatisieren und Mitarbeiter bei Routinetätigkeiten entlasten und Prozesse beschleunigen.
Im Hinblick auf die Resilienz ist hierbei vor allem das Zertifikatsmanagement wichtig. Zertifikate besitzen relativ kurze Gültigkeiten, weshalb sie häufig ausgetauscht werden müssen, sodass ein zentrales und automatisiertes Zertifikatsmanagement quasi unabdingbar ist, um Prozessunterbrechungen zu verhindern.
Vom Zero-Trust- bis zum Zero-Standing-Privileges-Prinzip
Im Hinblick auf die Anforderungen, die die verschiedenen Identitätstypen mit sich bringen, sind Insellösungen nicht zielführend. Nur ein zentrales, ganzheitliches und automatisiertes Sicherheitsmanagement kann den betrieblichen Aufwand bei der Erfüllung von Compliance-Vorgaben letztlich in Grenzen halten. Bei den Sicherheitsmaßnahmen geht es im Wesentlichen um das Zusammenspiel von Konzepten wie Zero Trust, (kontinuierliche) Authentifizierung und Least Privilege.
Ein umfassender Identity-Security-Ansatz muss eine Identität sicher authentifizieren, sie mit den richtigen Berechtigungen autorisieren und dieser Identität auf strukturierte Weise Zugang zu kritischen Ressourcen gewähren. Das heißt, es sollte ein Zero-Trust-Prinzip gelten. Es beinhaltet die Überprüfung sämtlicher Akteure und Prozesse, die eine Verbindung zu wichtigen Systemen herstellen wollen.
Die Umsetzung einer Zero-Trust-Strategie erfordert den Einsatz von Lösungen und Technologien wie PAM (Privileged Access Management) und MFA (Multi-Faktor-Authentifizierung). Mit einer PAM-Lösung können automatisch eindeutige und sichere Passwörter generiert und regelmäßig rotiert werden. Darüber hinaus gehört MFA zu den elementaren Sicherheitskontrollen, die unternehmensweit eingesetzt werden sollten. Prinzipiell empfiehlt sich auch die Verwendung einer adaptiven, kontextbasierten MFA, die einerseits die Produktivität aufrechterhält und andererseits die Sicherheitsrisiken minimiert.
Grundsätzlich sollte ein Unternehmen auch immer ein Least-Privilege-Prinzip in der gesamten Infrastruktur – auch im Hinblick auf Anwendungen und Daten – durchsetzen und die Just-In-Time-Zugriffsmethode nutzen. Das heißt, durch die Vergabe von kontextbezogenen Rechten erhalten die Anwender abhängig von der durchzuführenden Tätigkeit passende Rechte. Dieser Least-Privilege- und Just-In-Time-Ansatz vermeidet eine dauerhafte Rechteansammlung und macht es damit Angreifern deutlich schwerer, an ihr Ziel zu gelangen.
CyberArk empfiehlt diesbezüglich die Anwendung von ZSP (Zero-Standing-Privileges)-Prinzipien, die den Just-in-Time-Zugang auf eine neue Ebene heben. Das Sicherheitsprinzip sieht das Entfernen aller persistenten Privilegien vor. So kann ein Least-Privilege-Prinzip in Echtzeit durchgesetzt werden, wobei immer nur dann die relevanten Berechtigungen gewährt werden, wenn sie ein User auch benötigt, um eine bestimmte Aufgabe zu erledigen.
Detection and Response
Generell müssen Unternehmen aber auch einen strukturierten Ansatz zur Identifizierung, Bewertung und Behebung von IKT-Vorfällen verfolgen. Im Themenkomplex Detection und Response geht es dabei unter anderem um die automatische Erkennung abnormaler privilegierter Aktivitäten auch unter Nutzung neuer KI-Technologien, um laufende Angriffe in Echtzeit zu identifizieren und damit die Reaktion auf Sicherheitsvorfälle zu beschleunigen und zu automatisieren.
Insgesamt ist für die Erfüllung der Anforderungen an das IKT-Risikomanagement die sichere Verwaltung und Überwachung des Zugriffs auf geschäftskritische Prozesse, Systeme und Daten in einer Ende-zu-Ende-Sicht unerlässlich. Folglich müssen Unternehmen robuste Zugriffskontrollen und starke Authentifizierungsmechanismen implementieren sowie Nutzeraktivitäten erfassen und überwachen – von menschlichen und nicht-menschlichen Identitäten. Mit solchen Maßnahmen, die auf Identity Security abzielen, können Versicherer und Finanzdienstleister auch strikte heutige und künftige Audit- und Compliance-Anforderungen zuverlässig erfüllen – und damit einen entscheidenden Schritt in eine sichere und resiliente Zukunft gehen.
Autor Michael Kleist ist Area Vice President DACH bei CyberArk
