{"id":7484,"date":"2019-09-18T08:30:07","date_gmt":"2019-09-18T06:30:07","guid":{"rendered":"https:\/\/it-service.network\/blog\/?p=7484"},"modified":"2019-09-18T08:30:07","modified_gmt":"2019-09-18T06:30:07","slug":"zero-trust","status":"publish","type":"post","link":"https:\/\/it-service.network\/blog\/2019\/09\/18\/zero-trust\/","title":{"rendered":"Zero-Trust-Sicherheit in Unternehmen ## Die Vor- und Nachteile von Zero Trust"},"content":{"rendered":"

In der Unternehmenslandschaft hat sich der Zero-Trust-Ansatz mittlerweile als zeitgem\u00e4\u00dfes Sicherheitsprinzip etabliert. Doch was ist \u201eZero Trust\u201c eigentlich genau? Wird im Unterschied zu traditionellen Konzepten wirklich jedem Ger\u00e4t, Benutzer, Dienst und jeder Anwendung ganz nach dem Motto \u201eVertrauen ist gut, Kontrolle ist besser\u201c tendenziell misstraut?<\/strong>
\nErfahren Sie hier, was genau sich hinter dem Zero-Trust-Prinzip verbirgt.
\n
\n

\"Unter

Das Zero-Trust-Prinzip basiert darauf, dass es auch innerhalb eines Netzwerks kein Vertrauen gibt. Bild: Pixabay \/ ar130405<\/p><\/div><\/p>\n

Was ist Zero Trust?<\/h3>\n

\u201eZero Trust\u201c ist die Bezeichnung f\u00fcr einen hochaktuellen Sicherheitsansatz, der Firmennetzwerke auch vor ausgefeilten Cyberangriffen sch\u00fctzt. Immer mehr Unternehmen integrieren den Ansatz und auch namhafte Security-L\u00f6sungen greifen mittlerweile die Ans\u00e4tze und Gedanken dieses Sicherheitsprinzips auf.
\nFast zehn Jahre ist es her, dass der Forrester-Analyst John Kindervag f\u00fcr das NIST (National Institute of Science and Technology) das Zero Trust Network<\/a> vorgestellt hat. Das Sicherheitskonzept setzt voraus, dass Unternehmen nie zu hundert Prozent sicher eingestuft werden k\u00f6nnen. Unternehmer und Mitarbeiter d\u00fcrfen daher keinem Ger\u00e4t, Nutzer oder Dienst innerhalb oder au\u00dferhalb des Firmennetzwerkes uneingeschr\u00e4nkt vertrauen. Das hei\u00dft: S\u00e4mtliche Anwender und Dienste sind zu authentifizieren und der gesamte Netzwerkverkehr ist zu pr\u00fcfen. Die meisten verstehen Zero Trust im Sinn von \u201eVertrauen ist gut, Kontrolle ist besser\u201c, wie der Beitrag der United Security Providers<\/a> beschreibt.<\/p>\n

Zero Trust und das Prinzip \u201eVertrauen\u201c<\/h3>\n

Durch andere Artikel<\/a> zeigt sich wiederum, dass man sich mit diesem Verst\u00e4ndnis schnell auf einen Holzweg begibt. Denn das f\u00fcr Menschen erst einmal positive Konzept \u201eVertrauen\u201c existiert in der maschinellen Welt gar nicht. Vertrauen wird normalerweise als ein nicht messbarer, subjektiv-menschlicher Gef\u00fchlszustand verstanden. Einen \u201evertrauensw\u00fcrdigen Zustand\u201c von Netzwerken, Clouds und Endpunkten kann es nach bisherigen Annahmen entsprechend nicht geben.
\nDer Sicherheitsansatz Zero Trust versucht, das Konzept \u201eVertrauen\u201c aus der Unternehmens-IT zu eliminieren, also quasi auf Null zu setzen. Das hei\u00dft: Beim Zero Trust geht es nicht darum, weniger zu vertrauen, sondern sich bewusst zu machen, dass Vertrauen im Maschinellen nicht existiert. Gleichzeitig gibt es \u2013 anders als oft verstanden \u2013 aber auch kein Misstrauen.<\/p>\n

Exkurs: Menschliches Vertrauen als Gefahr in Unternehmen<\/h4>\n

Interessant ist vor diesem Hintergrund: Eine der gr\u00f6\u00dften Schwachstellen bei der IT-Sicherheit von Unternehmen sind unbeabsichtigte \u201eFehler\u201c und ausgenutztes Vertrauen. Cyberkriminellen gelingt es immer wieder, ihren Opfern durch gezielte Manipulation sensible Daten zu entlocken; dieses Ph\u00e4nomen wird als Social Hacking<\/a> bezeichnet.
\nEin \u00e4hnliches Problem findet bei der \u201eVermenschlichung\u201c der digitalen Welt statt. W\u00e4hrend Personen in der physischen Welt auf Menschlichkeit vertrauen, ist dieses Konzept in den bisher entwickelten digitalen Systemen nicht existent. Sprich: Daten k\u00f6nnen nicht vertrauensw\u00fcrdig sein; nur die Menschen, die sie verschicken. Regul\u00e4r durchlaufen Datenpakete verschiedene Stationen. Sie werden hierbei entpersonalisiert, inspiziert und Zugriffskontrollen unterzogen \u2013 egal, aus welcher Quelle sie stammen.
\nMit Whitelists<\/a> kann die grundlegende Schwierigkeit des Konzepts \u201eVertrauen\u201c im digitalen Umfeld aufgezeigt werden: Auch wenn eine E-Mail-Adresse als hochgradig vertrauensw\u00fcrdig eingestuft ist, kann es immer passieren, dass der entsprechende E-Mail-Account gehackt wird und Schadsoftware verschickt.<\/p>\n

Zero Trust und das Prinzip \u201eControl & Verify\u201c<\/h3>\n

Neue Defense-in-Depth-Strategien wie Zero Trust sind notwendig, um Angriffe auch von innen heraus zu verhindern. Sie bieten im Gegensatz zu herk\u00f6mmlichen Sicherheitsans\u00e4tzen keinen prim\u00e4ren Perimeter-Schutz, sondern einen Netzwerk-Verkehr-Schutz. Diese Denkart ist gerade aufgrund von Cloud-L\u00f6sungen, die die Grenze zwischen Innen und Au\u00dfen aufl\u00f6sen, hochaktuell.
\nDatenpakete sind kontrollierbar und verifizierbar. Das Zero-Trust-Prinzip ist somit nicht nur die absolute Abstinenz von Vertrauen, sondern auch die klare Forderung nach \u201eControl & Verify\u201c. Dieses Prinzip findet nicht nur auf Netzwerkebene, sondern auch im standortgebundenen Bereich von Anwendungen, Benutzern und Systemen statt. Das Zero-Trust-Modell setzt voraus, dass auf allen Ebenen eines Unternehmens Authentifizierung, Autorisierung und Zugriffsverschl\u00fcsselung eingef\u00fchrt werden. Tools, die das Prinzip \u201eControl & Verify\u201c umsetzen, sind unter anderem Intrusion Detection Systeme<\/a> beziehungsweise Angriffserkennungssysteme und Log-Analyser.<\/p>\n

Inventarisierung und Transparenz<\/h4>\n

Nach dem Zero-Trust-Modell werden nicht nur alle Systeme als unvertrauensw\u00fcrdig eingestuft, sondern auch s\u00e4mtliche Assets. Da nach Zero Trust alle Besitzt\u00fcmer eines Unternehmens als potentielle Bedrohung eingesch\u00e4tzt werden, sollte ein Unternehmen sein Inventar genau kennen und auf Listen f\u00fchren.
\nDie Verschl\u00fcsselung von Daten ist bei ihrer Speicherung und \u00dcbertragung auf Netzwerk- und Anwendungsebene im Sinne von Zero Trust absolut notwendig. Hierbei steht vor allem Transparenz im Vordergrund. Es gibt in diesem Sinne keine unidentifizierten Kommunikationsfl\u00fcsse in Unternehmen; s\u00e4mtlicher Netzwerkverkehr wird kontinuierlich analysiert, inspiziert und entsprechend zugelassen oder verboten. Der Datenverkehr ist in Log-Dateien gesichert. Er wird durch eine umfassende Multi-Faktor-Authentisierung und mit unterschiedlichen Credentials gest\u00fctzt.
\n

\"\"

Vertrauen ist ein grundlegendes Bed\u00fcrfnis. Doch im Gegensatz zu Menschen k\u00f6nnen Maschinen gehackt und unkontrolliert gesteuert werden. Bild: Pixabay \/ RitaE<\/p><\/div><\/p>\n

Abgrenzung zu herk\u00f6mmlichen Sicherheitsans\u00e4tzen<\/h3>\n

Hacker greifen vor allem kleine und mittelst\u00e4ndische Unternehmen immer st\u00e4rker an. W\u00e4hrend der Schutz von IT-Systemen mit einer professionellen Firewall<\/a> und einem Antiviren-Scanner<\/a> mittlerweile zum Standard geh\u00f6rt, m\u00fcssen die Sicherheit von Unternehmensnetzwerken oftmals gest\u00e4rkt und verbessert werden.
\nTraditionelle Netzwerkarchitekturen funktionieren nach der sogenannten \u201eBurggraben-Mentalit\u00e4t\u201c mit einem Netzwerk-Zonenmodell. Netzwerke innerhalb und au\u00dferhalb von Unternehmen gliedern sich hiernach in bestimmte Bereiche. Innerhalb der Datenpakete liegt ein bestimmtes Ma\u00df an Vertrauen vor.
\nImmer mehr Cyberattacken und Virenbef\u00e4lle zeigen jedoch, dass das herk\u00f6mmliche Zonenmodell nicht funktioniert<\/a> oder nicht zeitgem\u00e4\u00df ist. Es ist n\u00e4mlich auf den Schutz des \u00dcbergangs zwischen Unternehmens- und \u00f6ffentlichem Netzwerk ausgelegt. Ist dieser Perimeter aber erst einmal \u00fcberwunden, hat Schadsoftware ein leichtes Spiel. Da es im modernen Netzwerk kein klassisches \u201eInnen\u201c und \u201eAu\u00dfen\u201c gibt, sondern vielmehr eine Kombination aus On-Premises-, Internet- und Cloud-L\u00f6sungen, muss der Schutz auf allen Ebenen nahtlos sein.<\/p>\n

Vor- & Nachteile von Zero Trust<\/h3>\n

Da Zero Trust ein junges Sicherheitskonzept ist, gibt es kaum praktische Erfahrungen, weshalb m\u00f6gliche Risiken und Funktionalit\u00e4ten kaum abgesch\u00e4tzt werden k\u00f6nnen. Im Rahmen eines Risiko-Managements lassen sich m\u00f6gliche Probleme aber feststellen und im Hinblick auf die Funktionalit\u00e4t Ihres Unternehmens bewerten. So k\u00f6nnen mit dem Zero-Trust-Modell die Cyber-Sicherheit erh\u00f6ht und tendenzielle Risiken gesenkt werden.
\nDas Zero-Trust-Konzept basiert grunds\u00e4tzlich auf einem H\u00f6chstma\u00df an Sicherheit bei m\u00f6glichst niedrigem Risiko<\/a>. Das hei\u00dft in der Praxis beispielsweise: \u00dcberpr\u00fcfen Sie Ger\u00e4te vor der Eingliederung ins Unternehmen; minimieren Sie die Auswirkungen von Cyber-Bedrohungen durch eine Zero-Trust-Umgebung. Der Schaden, den Hacker durch die Kontrolle \u00fcber ein Benutzerkonto anrichten k\u00f6nnen, l\u00e4sst sich dadurch eingrenzen.
\nEine zentrale Gefahr des Zero-Trust-Modells ist, dass wenn auf maschineller Ebene das Konzept \u201eVertrauen\u201c als nicht existent vorausgesetzt wird, Mitarbeiter f\u00e4lschlicherweise auch das Gef\u00fchl von fehlendem menschlichem Vertrauen bekommen k\u00f6nnten. Deshalb sollte eine Zero-Trust-Umsetzung gr\u00fcndlich \u00fcberlegt werden. W\u00e4hrend man heute eher die Vorteile sieht, \u00fcbersieht man wom\u00f6glich langfristige Nachteile.<\/p>\n

Datenschutz, Datensicherheit und Datenaustausch<\/h4>\n

Der Zero-Trust-Ansatz bietet vielf\u00e4ltige neue M\u00f6glichkeiten zur ganzheitlichen IT-Sicherheit<\/a> und Risikominimierung von Unternehmen. Unter anderem lassen sich mit dem Zero-Trust-Prinzip Datenschutz und Datensicherheit verbessern sowie der Datenaustausch innerhalb und au\u00dferhalb eines Unternehmensnetzwerkes komplett DSGVO-konform<\/a> gestalten. Eine Zero-Trust-Architektur sch\u00fctzt besonders vor der unbemerkten Infiltration von ausgekl\u00fcgelter Schadsoftware beziehungsweise der entsprechenden Exfiltration von sensitiven Unternehmensdaten.
\nAuch die Auskopplung von Systemen und Daten auf Remote Server, in die Cloud oder sogar auf private Ger\u00e4te ist mit einer Zero-Trust-Policy am sichersten und gleichzeitig \u00e4u\u00dferst flexibel. Der Datenverkehr<\/a> wird hierbei zoniert, systematisiert und kontrolliert. Herk\u00f6mmliche IT-Sicherheitsmodelle funktionieren vor allem in Bezug auf die Cloud nicht immer, da Arbeitnehmer heute oft eigene IT-Ger\u00e4te<\/a> nutzen oder von zuhause<\/a> aus auf Unternehmensnetzwerke zugreifen. Die Zugriffssteuerungen von Applikationen werden so feingranular wie m\u00f6glich segmentiert. Innerhalb und au\u00dferhalb eines Netzwerks ist der Zugriff hierbei nach h\u00f6chstem Sicherheitsma\u00df verschl\u00fcsselt.
\n

\"\"

Die genaue Bestandsaufnahme aller IT-Systeme sowie eine pr\u00e4zise Festlegung von Zugriffsrechten sind notwendig, um eine umfassende Zero-Trust-Sicherheit etablieren zu k\u00f6nnen. Bild: Pixabay \/ TheDigitalArtist<\/p><\/div><\/p>\n

Wie Sie Zero Trust umsetzen<\/h3>\n

Eine ganzheitliche Zero-Trust-Architektur aufzubauen, erfordert eine genaue Planung, eine interdisziplin\u00e4re Zusammenarbeit zwischen Netzwerk- und Serversystemen sowie ihren Anwendungen. Es gibt viele verschiedene M\u00f6glichkeiten, wie Sie Zero-Trust-Architekturen in Ihrem Unternehmen umsetzen k\u00f6nnen:<\/p>\n