Sieh genau hin: Mehr Cybersicherheit durch Zero Trust

Zero Trust

Unternehmen befinden sich im ständigen Wettlauf mit immer besser ausgerüsteten Angreifern aus dem Netz. Daher müssen sich Betriebe und Organisationen künftig noch stärker vor Cyberattacken schützen. Mit „Zero Trust“ soll das gelingen. Das Prinzip tauchte erstmals 1994 in einer Doktorarbeit von Stephen Paul Marsh auf und wird bis heute von zahlreichen Analysten und Experten weiterentwickelt. Zero Trust verfolgt den Ansatz, jeden einzelnen Datenfluss auf Vertrauenswürdigkeit zu überprüfen. Doch wie genau funktioniert das und was bedeutet das für Mitarbeitende in Unternehmen?

Zeitgemäße Modelle wie Homeoffice haben zwar viele Vorteile, bergen aber auch Risiken. Denn hier werden oftmals weniger Sicherheitsmaßnahmen ergriffen als im Büro.  Zudem sind nicht nur Schutzmechanismen nach außen essenziell, sondern auch nach innen. Zero Trust verteidigt ein Netzwerk auf allen Ebenen. Jeder Zugriff muss verifiziert werden und wird vom IT-System hinterfragt.

Der Ursprung von Zero Trust liegt bereits in den 90er Jahren. Stephen Paul Marsh hat diesen Ansatz in seiner Doktorarbeit über Computersicherheit zum ersten Mal genutzt. 2014 hat der Schweizer Security Engineer Gianclaudio Moresi ein System entwickelt, das die Prinzipien von Zero Trust umsetzt. Doch erst heute stehen auf Grund des hohen Digitalisierungsgrades die erhebliche Rechenleistung und die digitale Infrastruktur bereit, die für eine effiziente und sichere Umsetzung von Zero Trust erforderlich sind. 

Vertraue niemandem, verifiziere jeden

Beim Zero Trust-Modell handelt es sich um ein Sicherheitskonzept, das auf dem Grundsatz basiert, Geräten und Benutzern auch in auf den ersten Blick sicheren Umgebungen niemals zu vertrauen. Es wird kein Unterschied zwischen Diensten, Anwendern und Geräten innerhalb oder außerhalb des eigenen Netzwerks gemacht. Auch werden Endgeräte oder Benutzerkonten nicht für längere Zeiträume als sicher eingestuft, sondern bei jedem einzelnen Datenaustausch erneut überprüft.

So soll das Risiko für Firmennetze und -anwendungen minimiert werden und neben externen Bedrohungen sollen auch interne Gefahrenpotenziale auszuschließen sein. Und darin liegt der Unterschied zu herkömmlichen Sicherheitskonzepten, die lediglich externen Datenverkehr als gefährlich einstufen und sämtlichen internen Anwendern und Services vertrauen.

In der Praxis ergibt sich daraus die Forderung, sämtliche Benutzer und Anwendungen zu authentifizieren und den Datenverkehr grundsätzlich zu verschlüsseln. Denn insbesondere interne Mitarbeitende, welche nicht über die Firewall auf das firmeneigene Netzwerk zugreifen, können sich in der Regel in weiten Teilen des Netzwerks “frei bewegen”. Und das birgt Gefahren.

Zero Trust in die Praxis umsetzen

Doch was müssen Systeme eigentlich können, um Zero Trust möglich zu machen? Im Wesentlichen:

  • Die Netzwerke sind maßgeschneidert und es gibt kein universelles Design.
  • Die Kommunikation auf Datenebene müssen verschlüsselt werden. Eine Ausnahme darf es nur absichtlich geben (z. B. DNS).
  • Zugriffskontrollen für alle Arten von Ressourcen müssen durchführbar sein.
  • Durch Identitäts- und Kontextrichtlinien muss der Zugriff kontrollierbar sein.
  • Nur für authentifizierte Anwender und Dienste werden Policies definiert, die Zugriffe und Datenverkehre zulassen.
  • Es darf bei der Anwendung von Richtlinien keinen Unterschied von lokalen zu Cloud-Ressourcen geben
  • Der Zugriff auf jede Netzwerkressource muss ausdrücklich per Richtlinie gewährt werden.

Fazit

Never trust, always verify: Die Einführung eines Zero Trust-Modells ist kein Selbstzweck, sondern erhöht die Gesamtsicherheit im Unternehmen. Wenn in der eigenen Organisation derlei weitreichende Veränderungen implementiert werden, sollten Verantwortliche jedoch die Auswirkungen entsprechend immer wieder auf den Prüfstand stellen. Denn eine Zero Trust-Strategie kann Sicherheitsabläufe grundlegend verändern. Verschiedene Technologien, Fähigkeiten und Strukturen greifen dabei ineinander. Dies erfordert ein Aufbrechen bestehender IT-Silos und den engen Austausch mit Business-Experten. Zero Trust wird somit zu einem Transformationsprojekt für das gesamte Unternehmen, bedeutet aber ein völlig neues Sicherheitslevel. 

Nach oben scrollen