Zero Trust ist ein strategischer Sicherheitsansatz, der weltweit von immer mehr Versicherern nachgefragt wird und mit Nachdruck in ihre Unternehmensarchitekturen integriert wird. Das verwundert auch nicht. Eine Überarbeitung der Security-Systeme ist letztlich eine logische Reaktion auf die obligatorische Überarbeitung aller Unternehmensprozesse, um wettbewerbsfähig zu bleiben.
Die Branche befindet sich aktuell in zahlreichen Transformationsprojekten, wie zum Beispiel rund um die zunehmende Nutzung von Cloud-Services. Immer mehr digitale Kontaktpunkte mit Kunden und Geschäftspartnern entstehen – und damit auch Einfallstore für Cyberkriminelle. Hacker passen ihre Strategien an die neuen Strukturen der Versicherer und ihrem reichen Fundus an lukrativen, höchst sensiblen Kundendaten an. Die Konsequenz, gleichwohl das extrem klingen mag, heißt: Vertraue niemandem.
Mauern bauen, die keine Mauern mehr sind
Im Mittelalter war die vorherrschende Taktik einer Stadt, sich vor Angriffen von außen zu schützen, relativ einfach: Dicke Stadtmauern schützten die Bewohner und ihr Hab und Gut. Mit der Erfindung des Schießpulvers änderte sich das. Die Mauern wurden obsolet, da sie dem Beschuss mit Kanonen nicht standhalten konnten. Das Sicherheitskonzept musste sich einer neuen Architektur, einer Welt ohne Mauer, anpassen. Ähnlich verhält es sich mit den Security-Konzepten der Versicherungen.
Die in den 90er Jahren entwickelte und bis heute eingesetzte Perimeter-Sicherung reicht nicht mehr aus, um die immer raffinierteren Cyber-Angriffe auf die IT-Infrastruktur und -Systeme von Versicherungen abzuwehren.
Klassische Firewalls sind längst überholt. Zudem passt dieses ringförmige Sicherheitskonzept nicht mehr zu den gewandelten Unternehmensstrukturen, sei es durch die größere Anzahl an Zugangskanälen, der Integration von Services Dritter oder der in vielen Fällen immer noch anhaltenden „Journey to the Cloud“. Mitarbeitende, Ökosystempartner, Versicherte – die Anzahl der Nutzer, die auf unterschiedliche Ebenen einer Unternehmensinfrastruktur zugreifen, ist enorm.
Analog zum Stadt-Beispiel kann es daher keine Mauer mehr geben. Stattdessen muss jeder Zugriff individuell geprüft werden. Die persönliche Identität der Nutzer, aber auch von Diensten und Service-Zugriffen, die User nicht direkt involvieren, müssen stark authentisiert werden.Multi-Faktor-Authentifizierung wird so alternativlos
Die Vorteile und Herausforderungen von Zero Trust Architekturen
Wird ein entsprechender Ansatz verfolgt, gilt es, alle Systeme innerhalb und außerhalb des Unternehmens grundsätzlich als „nicht vertrauenswürdig“ zu betrachten. Zero Trust ist eine Sicherheitsstrategie, bei der sowohl Personen als auch Geräte und Anwendungen so lange als nicht vertrauenswürdig gelten, bis sichergestellt worden ist, dass die Personen, Geräte und Anwendungen sind, wer sie vorgeben zu sein und eine Berichtigung haben, auf die Daten zuzugreifen.
Ein mehrstufiges Authentifizierungsverfahren identifiziert die Nutzer, während es für Dienste und andere “Nicht-Persönliche Nutzer” weitere spezifische Systeme gibt, um ihre Authentizität und Zugriffsrechte zu garantieren. Dies steht in direktem Gegensatz zu der heute noch weit verbreiteten Annahme, dass Nutzer, sobald sie sich in einem vertrauenswürdigen Unternehmensnetzwerk befinden (physisch in einem Büro oder aus der Ferne über eine „sichere“ VPN-Verbindung), auch vertrauenswürdig sind. Zielsetzung von Zero Trust ist es also, jeden Zugriff von menschlichen und nicht-menschlichen “Usern” zu validieren, bevor ein Zugriff auf Daten und Systeme erlaubt wird.
Damit Versicherer Zero Trust umsetzen können, müssen sie das Konzept als disziplinübergreifende Aufgabe, die die Bereiche Identität, Zugangsmanagement und Infrastruktursicherheit umfasst, betrachten. Eine einzelne Technologie, die alle Anforderungen abdeckt, gibt es nicht. Zugriffsrichtlinien können in Zugriffsverwaltungslösungen, Tools für den privilegierten Zugriff, der Netzwerkinfrastruktur, API-Gateways, Cloud-Plattformen und sogar im Anwendungscode durchgesetzt werden.
Um die Zero-Trust-Architektur aufbauen zu können, sind zuverlässige Inventardaten, Identitäten für Nutzer, Systeme und Services, die Bereitstellung von Zugriffsrechten sowie eine standardisierte Authentifizierung und kontextbasierte Autorisierung erforderlich. Im Gegensatz zu dezentralisierten Ansätzen für das Identitäts- und Zugriffsmanagement, verfolgt Zero Trust einen einheitlichen, unternehmensweiten Ansatz, der letztendlich mehr Sicherheit und bessere Compliance bedeutet – gerade in den skizzierten modernen Unternehmensumfeldern.
Die Vorteile von Zero Trust sind nach einer Umsetzung aber weitgehend: Nicht nur wird damit eine höhere Resilienz gegen Cyberangriffe erreicht, sondern auch Applikationen und Infrastruktur modernisiert. Damit wird es dann auch einfacher, Clouds zu nutzen und sich mit Drittparteien zu vernetzen.
So können Versicherungen ihre Zero-Trust-Reise beginnen
Versicherungen, die sich für diesen Weg entschieden haben, müssen zunächst ihre eigenen Richtlinien für Zugriffsentscheidungen identifizieren und feststellen, wo diese getroffen werden und wie sie überwacht werden. Zudem müssen sie prüfen, ob es Möglichkeiten zur Konsolidierung gibt oder ob bereits Lücken vorhanden sind, die sie im Vorfeld beheben müssen.
Im nächsten Schritt sollten sie überprüfen, welche Daten für Zugriffsentscheidungen verfügbar sind. Gibt es ein Inventar von Systemen und Applikationen? Gibt es genügend Daten, um entscheiden zu können, ob die Person auch die ist, die sie vorgibt zu sein? Falls ja, hat diese Person die entsprechenden Berechtigungen? Ist die Person gerade im Ausland – beispielsweise besonders wichtig für Schweizer Versicherer – oder nutzt sie ein persönliches Gerät?
Diese sicherheitsrelevanten Informationen müssen vollständig und in Echtzeit verfügbar sein, damit Zugriffsentscheidungen in Echtzeit auf Grund von vordefinierten Policies getroffen werden können. Von großer Bedeutung ist auch das Aufzeigen von Einsatzmustern: Versicherer müssen klären, für welche Anwendungen, Server, Datenbanken, Infrastrukturen, Anwendungen und andere Ressourcen welche Schutzkonzepte erforderlich sind. Natürlich müssen sie sich auch darüber im Klaren sein, wo genau sich ihre geschäftskritischen Daten befinden und welches Maß an Vertrauen für diese Daten erforderlich ist.
Schließlich ist die Entwicklung einer risikobasierten Roadmap eine Voraussetzung für die erfolgreiche Etablierung einer Zero Trust Architektur, denn nicht überall ist derselbe Schutz notwendig. Weltweit arbeiten Versicherungen daher gerade am Umbau ihrer Sicherheitsarchitektur und trennen sich von vertrauten Pfaden, da diese nicht mehr zu den Strukturen ihrer Unternehmen passen.
Wie weit die Unternehmen dabei sind und welchen Weg sie noch vor sich haben, lässt sich beispielsweise an der Verbreitung der Zwei-Faktor-Authentifizierung sehen. Diese ist ein wichtiger Bestandteil von Zero-Trust-Architekturen. Allerdings ist sie innerhalb der Versicherer bei weitem noch nicht so verbreitet, wie es nötig wäre.
Der Bankensektor ist hier entschieden weiter. Es macht aber auch deutlich, dass Zero Trust als laufender Prozess angesehen werden muss, dessen Prinzip und Sicherheitsversprechen nicht als abgeschlossen betrachtet werden können, sondern vielmehr stets an neue Weiterentwicklungen der Bedrohungslage von außen angepasst werden sollten. Versicherer, die einen Wechsel in die Cloud planen oder veraltete Systeme ohnehin erneuern wollen, sollten ihre Zero-Trust Strategie festlegen, bevor sie diese Veränderungen in Angriff nehmen.
Es führt kein Weg an Zero Trust vorbei
An Zugriffsentscheidungen auf Grundlage des Transaktionskontexts kommen Versicherer nicht mehr vorbei. Sie müssen vorhandene Zugangskontrollen, das Zugriffsmanagement und Authentifizierungsverfahren durchgängig vereinheitlichen und auf Compliance prüfen. Damit das gelingt, müssen Versicherer nicht nur die Mitarbeitenden entsprechend fortbilden. Sie müssen vor allem identifizieren, wie und wo Zugriffsentscheidungen aktuell getroffen werden. Welche Bereiche sind besonders schützenswert und wie sind diese verteilt? Wie können sie die Sicherheitsarchitektur mit anderen wichtigen Projekten, wie der Migration in die Cloud, in Einklang bringen?
Durch das definieren einer Zero-Trust Architektur legen Versicherer eine Strategie fest, die eine Modernisierung ihrer Applikationen und Infrastrukturen entlang der Business-Kritikalität sicherstellt. Sie führt zu einer zuverlässigeren Inventarisierung der Systeme, zur Identifizierung der Business kritischen Daten und Services sowie zur Bereitstellung der relevanten Security-Dienste, um diese absichern zu können. Damit positionieren sich Versicherer für die Zukunft: Nicht nur erlangen sie eine höhere Cyber-Resilienz, sondern vor allem eine Technologielandschaft, die mit den Businessanforderungen rund um Cloud, weitergehende Vernetzung und Mobilität mithalten kann.
Die Autoren: Markus Heyen ist Geschäftsführer und Leiter des Bereichs Versicherungen bei Accenture in D-A-CH; Thomas Hoderegger leitet seit 2022 branchenübergreifend den Bereich Security bei Accenture Schweiz.
