In der Unternehmenslandschaft hat sich der Zero-Trust-Ansatz mittlerweile als zeitgemäßes Sicherheitsprinzip etabliert. Doch was ist „Zero Trust“ eigentlich genau? Wird im Unterschied zu traditionellen Konzepten wirklich jedem Gerät, Benutzer, Dienst und jeder Anwendung ganz nach dem Motto „Vertrauen ist gut, Kontrolle ist besser“ tendenziell misstraut?
Erfahren Sie hier, was genau sich hinter dem Zero-Trust-Prinzip verbirgt.
Was ist Zero Trust?
„Zero Trust“ ist die Bezeichnung für einen hochaktuellen Sicherheitsansatz, der Firmennetzwerke auch vor ausgefeilten Cyberangriffen schützt. Immer mehr Unternehmen integrieren den Ansatz und auch namhafte Security-Lösungen greifen mittlerweile die Ansätze und Gedanken dieses Sicherheitsprinzips auf.
Fast zehn Jahre ist es her, dass der Forrester-Analyst John Kindervag für das NIST (National Institute of Science and Technology) das Zero Trust Network vorgestellt hat. Das Sicherheitskonzept setzt voraus, dass Unternehmen nie zu hundert Prozent sicher eingestuft werden können. Unternehmer und Mitarbeiter dürfen daher keinem Gerät, Nutzer oder Dienst innerhalb oder außerhalb des Firmennetzwerkes uneingeschränkt vertrauen. Das heißt: Sämtliche Anwender und Dienste sind zu authentifizieren und der gesamte Netzwerkverkehr ist zu prüfen. Die meisten verstehen Zero Trust im Sinn von „Vertrauen ist gut, Kontrolle ist besser“, wie der Beitrag der United Security Providers beschreibt.
Zero Trust und das Prinzip „Vertrauen“
Durch andere Artikel zeigt sich wiederum, dass man sich mit diesem Verständnis schnell auf einen Holzweg begibt. Denn das für Menschen erst einmal positive Konzept „Vertrauen“ existiert in der maschinellen Welt gar nicht. Vertrauen wird normalerweise als ein nicht messbarer, subjektiv-menschlicher Gefühlszustand verstanden. Einen „vertrauenswürdigen Zustand“ von Netzwerken, Clouds und Endpunkten kann es nach bisherigen Annahmen entsprechend nicht geben.
Der Sicherheitsansatz Zero Trust versucht, das Konzept „Vertrauen“ aus der Unternehmens-IT zu eliminieren, also quasi auf Null zu setzen. Das heißt: Beim Zero Trust geht es nicht darum, weniger zu vertrauen, sondern sich bewusst zu machen, dass Vertrauen im Maschinellen nicht existiert. Gleichzeitig gibt es – anders als oft verstanden – aber auch kein Misstrauen.
Exkurs: Menschliches Vertrauen als Gefahr in Unternehmen
Interessant ist vor diesem Hintergrund: Eine der größten Schwachstellen bei der IT-Sicherheit von Unternehmen sind unbeabsichtigte „Fehler“ und ausgenutztes Vertrauen. Cyberkriminellen gelingt es immer wieder, ihren Opfern durch gezielte Manipulation sensible Daten zu entlocken; dieses Phänomen wird als Social Hacking bezeichnet.
Ein ähnliches Problem findet bei der „Vermenschlichung“ der digitalen Welt statt. Während Personen in der physischen Welt auf Menschlichkeit vertrauen, ist dieses Konzept in den bisher entwickelten digitalen Systemen nicht existent. Sprich: Daten können nicht vertrauenswürdig sein; nur die Menschen, die sie verschicken. Regulär durchlaufen Datenpakete verschiedene Stationen. Sie werden hierbei entpersonalisiert, inspiziert und Zugriffskontrollen unterzogen – egal, aus welcher Quelle sie stammen.
Mit Whitelists kann die grundlegende Schwierigkeit des Konzepts „Vertrauen“ im digitalen Umfeld aufgezeigt werden: Auch wenn eine E-Mail-Adresse als hochgradig vertrauenswürdig eingestuft ist, kann es immer passieren, dass der entsprechende E-Mail-Account gehackt wird und Schadsoftware verschickt.
Zero Trust und das Prinzip „Control & Verify“
Neue Defense-in-Depth-Strategien wie Zero Trust sind notwendig, um Angriffe auch von innen heraus zu verhindern. Sie bieten im Gegensatz zu herkömmlichen Sicherheitsansätzen keinen primären Perimeter-Schutz, sondern einen Netzwerk-Verkehr-Schutz. Diese Denkart ist gerade aufgrund von Cloud-Lösungen, die die Grenze zwischen Innen und Außen auflösen, hochaktuell.
Datenpakete sind kontrollierbar und verifizierbar. Das Zero-Trust-Prinzip ist somit nicht nur die absolute Abstinenz von Vertrauen, sondern auch die klare Forderung nach „Control & Verify“. Dieses Prinzip findet nicht nur auf Netzwerkebene, sondern auch im standortgebundenen Bereich von Anwendungen, Benutzern und Systemen statt. Das Zero-Trust-Modell setzt voraus, dass auf allen Ebenen eines Unternehmens Authentifizierung, Autorisierung und Zugriffsverschlüsselung eingeführt werden. Tools, die das Prinzip „Control & Verify“ umsetzen, sind unter anderem Intrusion Detection Systeme beziehungsweise Angriffserkennungssysteme und Log-Analyser.
Inventarisierung und Transparenz
Nach dem Zero-Trust-Modell werden nicht nur alle Systeme als unvertrauenswürdig eingestuft, sondern auch sämtliche Assets. Da nach Zero Trust alle Besitztümer eines Unternehmens als potentielle Bedrohung eingeschätzt werden, sollte ein Unternehmen sein Inventar genau kennen und auf Listen führen.
Die Verschlüsselung von Daten ist bei ihrer Speicherung und Übertragung auf Netzwerk- und Anwendungsebene im Sinne von Zero Trust absolut notwendig. Hierbei steht vor allem Transparenz im Vordergrund. Es gibt in diesem Sinne keine unidentifizierten Kommunikationsflüsse in Unternehmen; sämtlicher Netzwerkverkehr wird kontinuierlich analysiert, inspiziert und entsprechend zugelassen oder verboten. Der Datenverkehr ist in Log-Dateien gesichert. Er wird durch eine umfassende Multi-Faktor-Authentisierung und mit unterschiedlichen Credentials gestützt.
Abgrenzung zu herkömmlichen Sicherheitsansätzen
Hacker greifen vor allem kleine und mittelständische Unternehmen immer stärker an. Während der Schutz von IT-Systemen mit einer professionellen Firewall und einem Antiviren-Scanner mittlerweile zum Standard gehört, müssen die Sicherheit von Unternehmensnetzwerken oftmals gestärkt und verbessert werden.
Traditionelle Netzwerkarchitekturen funktionieren nach der sogenannten „Burggraben-Mentalität“ mit einem Netzwerk-Zonenmodell. Netzwerke innerhalb und außerhalb von Unternehmen gliedern sich hiernach in bestimmte Bereiche. Innerhalb der Datenpakete liegt ein bestimmtes Maß an Vertrauen vor.
Immer mehr Cyberattacken und Virenbefälle zeigen jedoch, dass das herkömmliche Zonenmodell nicht funktioniert oder nicht zeitgemäß ist. Es ist nämlich auf den Schutz des Übergangs zwischen Unternehmens- und öffentlichem Netzwerk ausgelegt. Ist dieser Perimeter aber erst einmal überwunden, hat Schadsoftware ein leichtes Spiel. Da es im modernen Netzwerk kein klassisches „Innen“ und „Außen“ gibt, sondern vielmehr eine Kombination aus On-Premises-, Internet- und Cloud-Lösungen, muss der Schutz auf allen Ebenen nahtlos sein.
Vor- & Nachteile von Zero Trust
Da Zero Trust ein junges Sicherheitskonzept ist, gibt es kaum praktische Erfahrungen, weshalb mögliche Risiken und Funktionalitäten kaum abgeschätzt werden können. Im Rahmen eines Risiko-Managements lassen sich mögliche Probleme aber feststellen und im Hinblick auf die Funktionalität Ihres Unternehmens bewerten. So können mit dem Zero-Trust-Modell die Cyber-Sicherheit erhöht und tendenzielle Risiken gesenkt werden.
Das Zero-Trust-Konzept basiert grundsätzlich auf einem Höchstmaß an Sicherheit bei möglichst niedrigem Risiko. Das heißt in der Praxis beispielsweise: Überprüfen Sie Geräte vor der Eingliederung ins Unternehmen; minimieren Sie die Auswirkungen von Cyber-Bedrohungen durch eine Zero-Trust-Umgebung. Der Schaden, den Hacker durch die Kontrolle über ein Benutzerkonto anrichten können, lässt sich dadurch eingrenzen.
Eine zentrale Gefahr des Zero-Trust-Modells ist, dass wenn auf maschineller Ebene das Konzept „Vertrauen“ als nicht existent vorausgesetzt wird, Mitarbeiter fälschlicherweise auch das Gefühl von fehlendem menschlichem Vertrauen bekommen könnten. Deshalb sollte eine Zero-Trust-Umsetzung gründlich überlegt werden. Während man heute eher die Vorteile sieht, übersieht man womöglich langfristige Nachteile.
Datenschutz, Datensicherheit und Datenaustausch
Der Zero-Trust-Ansatz bietet vielfältige neue Möglichkeiten zur ganzheitlichen IT-Sicherheit und Risikominimierung von Unternehmen. Unter anderem lassen sich mit dem Zero-Trust-Prinzip Datenschutz und Datensicherheit verbessern sowie der Datenaustausch innerhalb und außerhalb eines Unternehmensnetzwerkes komplett DSGVO-konform gestalten. Eine Zero-Trust-Architektur schützt besonders vor der unbemerkten Infiltration von ausgeklügelter Schadsoftware beziehungsweise der entsprechenden Exfiltration von sensitiven Unternehmensdaten.
Auch die Auskopplung von Systemen und Daten auf Remote Server, in die Cloud oder sogar auf private Geräte ist mit einer Zero-Trust-Policy am sichersten und gleichzeitig äußerst flexibel. Der Datenverkehr wird hierbei zoniert, systematisiert und kontrolliert. Herkömmliche IT-Sicherheitsmodelle funktionieren vor allem in Bezug auf die Cloud nicht immer, da Arbeitnehmer heute oft eigene IT-Geräte nutzen oder von zuhause aus auf Unternehmensnetzwerke zugreifen. Die Zugriffssteuerungen von Applikationen werden so feingranular wie möglich segmentiert. Innerhalb und außerhalb eines Netzwerks ist der Zugriff hierbei nach höchstem Sicherheitsmaß verschlüsselt.
Wie Sie Zero Trust umsetzen
Eine ganzheitliche Zero-Trust-Architektur aufzubauen, erfordert eine genaue Planung, eine interdisziplinäre Zusammenarbeit zwischen Netzwerk- und Serversystemen sowie ihren Anwendungen. Es gibt viele verschiedene Möglichkeiten, wie Sie Zero-Trust-Architekturen in Ihrem Unternehmen umsetzen können:
- Change Management: Bei der Umsetzung von Zero-Trust-Sicherheit ist ein umfassendes Change-Management ein entscheidender Erfolgsfaktor. Viele traditionell geprägte IT-Abteilungen streben an, die gesamte IT-Infrastruktur von jetzt auf gleich ändern zu wollen. Um den Nutzer aber nur minimal einzuschränken, weiterhin einen umfassenden Schutz bieten und die Funktionalität von Datenzugriffen austesten zu können, ist die ganzheitliche Zero-Trust-Sicherheit darauf angewiesen, dass sie Schritt für Schritt umgesetzt wird. Das Identitätsmanagement informiert Mitarbeiter über die Veränderungen von Zugriffsberechtigung und Datenverkehr sowie über ihre Notwendigkeiten.
- Device Trust: Führen Sie mit dem Device Trust eine umfassende Bestandsaufnahme und Sicherheitsüberprüfung aller für die Arbeit genutzten Geräte durch. Sämtliche Systeme gehören dazu – sowohl die von Ihrem Unternehmen als auch die privat genutzten Geräte Ihrer Mitarbeiter.
- Zugriffsrechte: Im Microsoft Vulnerabilities Report wird die faktische Notwendigkeit von beschränkten Administrationsrechten beschrieben: Demnach sind in einer Zero-Trust-Umgebung die Zugriffsrechte von Benutzern auf ein Mindestmaß beschränkt. Hierfür ist festzulegen, welche Benutzer im Unternehmensnetzwerk welchen Datenzugriff benötigen. Eine zentrale Aufgabe von Unternehmen ist die Vergabe von Benutzerrechten und Authentifizierungen. Mit entsprechenden Zugriffsrechten werden eindeutige Grenzen festgelegt.
Überlegen Sie genau, wie Sie bei der Umsetzung von Zero Trust vorgehen. Gehen Sie langsam und bedächtig vor, um Ihre Mitarbeiter nicht zu verschrecken.
Hilfe bei der Umsetzung von Zero Trust?
Wenn Sie planen, in Ihrer Netzwerkumgebung ein Zero-Trust-Modell erfolgreich umzusetzen und so Ihre Daten zu sichern, zögern Sie nicht, bei Bedarf einen IT-Dienstleister zu Hilfe zu nehmen. Kontaktieren Sie einen unserer kompetenten Experten aus dem IT-SERVICE.NETWORK, wenn Sie zuverlässige Hilfe bei diesem Vorhaben benötigen. Er hilft Ihnen bei der Planung und Umsetzung kompetent weiter.
Wenn Sie unsicher sind, ob Zero Trust für Ihr Unternehmen überhaupt die richtige Sicherheitslösung ist, lassen Sie sich dazu ebenfalls ausführlich beraten. Die zuverlässigen Partner des IT-SERVICE.NETWORK sind geschult und helfen Ihnen bei sämtlichen Problemen zur IT-Sicherheit. Warten Sie nicht, sondern nehmen Sie noch heute Kontakt auf und sichern Sie so Ihre Unternehmensdaten durch Zero Trust.
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung