Illustration Absmeier foto freepik ki

Der Zero-Trust-Ansatz existiert schon länger und ist schnell zu einem festen Grundsatz für die Sicherheit geworden. Er basiert bekanntermaßen darauf, weder einer Identität noch einem Benutzer oder einem System standardmäßig zu vertrauen – weder innerhalb noch außerhalb des Netzwerks. Dabei werden Identitäten kontinuierlich überprüft und erst nach ihrer Autorisierung ein Zugriff gewährt. Das bedeutet, Zugriffsrechte sind nicht starr, sondern werden dynamisch vergeben. Und zwar genau dann, wenn sie gebraucht werden. Benutzer und Systeme erhalten nur Zugriff auf die Daten, die sie für ihre aktuelle Aufgabe und gemäß ihrer beruflichen Position wirklich benötigen. Zero Trust bildet ein grundlegendes Fundament für Sicherheit: Vorstände fordern die Umsetzung des Konzepts, Anbieter vermarkten es, und immer häufiger dient es auch Behörden als Maßstab für den Grad der Resilienz eines Unternehmens. Angesichts dessen, sollte man sicher sein, dass das Fundament für ein Zero-Trust-Modell nicht auf Sand gebaut ist.

Die Analysten von Gartner hatten prognostiziert, dass bis Ende 2024 etwa zwei Drittel (62 %) der Unternehmen weltweit eine Zero-Trust-Strategie eingeführt haben. Wobei »eingeführt« nicht automatisch bedeutet, dass die Strategie auch erfolgreich ist. Nur 16 % der Unternehmen, die eine Zero-Trust-Strategie implementiert haben, decken damit einen Großteil ihrer Netzwerkumgebung ab, nämlich über 75 %. 58 % räumen hingegen ein, weniger als die Hälfte ihres Netzwerkbestands zu erfassen. Mögliche Ursachen liegen in den Gründen aus denen Unternehmen sich für Zero-Trust-Prinzipien entscheiden. Die Gartner-Umfrage zeigt: 56 Prozent der Unternehmen führen Zero Trust ein, um Richtlinien wie NIS2 (innerhalb der EU) oder bewährte Methoden umzusetzen. Dieses Vorgehen ist nicht ungewöhnlich. Firmen in allen Branchen handeln so, wenn sie gesetzliche Vorgaben und Compliance-Anforderungen erfüllen müssen.

Zero Trust ist allerdings keine Funktion, die man einfach bereitstellen oder anschalten kann. Zero Trust ist eine Strategie – und eine Strategie braucht eine zuverlässige Grundlage. Viele Unternehmen versuchen dennoch ein Zero-Trust-Framework auf fragmentierten Systemen, verstreuten Identity-Speichern oder unzusammenhängenden Zugriffsrichtlinien aufzubauen. Das Ergebnis sieht auf den ersten Blick durchaus gut aus. Es zeigt ein Modell, das technisch gesehen zwar dafür sorgt, dass Richtlinien eingehalten werden. In Wirklichkeit ist es aber wie ein Haus, das auf Sand gebaut ist.

Ein Identity-Fundament legen

Die Identität ist die wichtigste Grundlage für eine Zero-Trust-Sicherheitsstrategie. Zero Trust stellt immer die Frage nach dem Vertrauen. Ein gutes Identitätsmanagement gibt darauf die Antwort.

Jede Regel, jede Zugriffsentscheidung und jede durchgesetzte Kontrolle hängen von der Beantwortung einer einzigen Frage ab: Ist die betreffende Identität für diesen Zweck, in diesem Rahmen vertrauenswürdig? Wenn man das nicht sicher weiß, sollte die Antwort immer »Nein« lauten.

Wie gut ein Unternehmen seine Identitäten verwaltet (also der Reifegrad seines Identity Managements), zeigt also, ob Zero Trust wirklich funktionieren kann. Fehlt ein starker, einheitlicher Identity Layer ist Zero Trust kaum mehr als ein Schlagwort. Oft konzentrieren Firmen sich auf äußerliche Zero-Trust-Mechanismen, wie beispielsweise Mikrosegmentierung oder Device Posture. Sie vergessen dabei aber das Wichtigste, worauf diese Maßnahmen aufbauen: das Wissen, wer oder was eine Anfrage stellt.

In der Praxis verfügen die wenigsten Unternehmen über eine einzige, konsistente »Source of Truth« für Identitäten. Stattdessen sind Identitätsdaten über verschiedene Systeme verteilt: in der Personalabteilung, in unterschiedlichen Verzeichnisstrukturen, Cloud-IAM-Diensten und Ad-hoc-Konten, erstellt von Entwicklern oder Auftragnehmern. Diese Zersplitterung ist nicht nur unübersichtlich. Sie erzeugt blinde Flecken und Inkonsistenzen, die Angreifer ausnutzen. Zero Trust folgt dem bekannten Prinzip »vertraue niemandem, überprüfe immer« (never trust, always verify). Wenn aber die Informationen über Identitäten überall verstreut sind, kann man diesen Grundsatz nicht vollständig umsetzen. Unternehmen müssen deshalb zuerst die Lücken bei den Identitäten schließen. Das stärkt jede einzelne Entscheidung über einen Zugriff.

Der »Wildwuchs« von Identitäten und die Folgen

In vielen Unternehmen gibt es immer schneller, immer mehr digitale Identitäten. Dadurch verlieren Firmen oft die Kontrolle über deren Verwaltung. Über die Zeit koexistieren verschiedene Verzeichnisse, unterschiedliche IAM-Tools, Anwendungen und Domain-spezifische Zugriffssysteme, die nicht miteinander sprechen. Ein Team verwaltet vielleicht die Identitäten in der Personalabteilung, ein anderes die IT-Konten. Entwickler legen oft eigene Zugänge für Servicekonten in der Cloud an. So fehlt am Ende ein Gesamtüberblick. Jede Akquisition, jeder Umzug in die Cloud und jedes neue SaaS-Tool erhöht die Komplexität und dadurch die Unübersichtlichkeit dieser Systeme.

Etwa 67 % aller Unternehmen bekommen das deutlich zu spüren. Die Befragten räumen ein, dass sie den Wildwuchs von Identitäten, auch als Identity Sprawl bezeichnet, in ihrem Netzwerk kaum noch beherrschen. Am Anfang sieht es sogar so aus, als ob das Unternehmen leistungsfähiger wird. Doch am Ende entsteht ein unübersichtliches Netz aus Identitätssystemen, die nicht zusammenarbeiten. Das kostet viel Geld, ist ineffizient und schafft große Sicherheitslücken, denn niemand prüft die Zugriffsrechte einheitlich und verlässlich. Angreifer nutzen genau diese Lücken aus: Der einfachste Weg in ein Firmennetz führt über das schwächste Glied innerhalb der Sicherheitskette einen vergessenen oder schlecht geschützten Zugang.

Illustration Absmeier foto freepik ki

Aber warum gibt es gerade jetzt so einen Wildwuchs an digitalen Identitäten? Seit Jahrzehnten erweitern Unternehmen ihre Systeme und arbeiten mit Drittanbietern in ein und demselben Ökosystem zusammen.

Die Antwort liegt bei den nicht-menschlichen Identitäten (NHI, Non-Human Identities). Das sind Dienstkonten von Maschinenagenten, APIs und Bots. Ihre Zahl übertrifft die der menschlichen Nutzer inzwischen um ein Vielfaches – in einigen Fällen sogar im Verhältnis 50:1.

Diese Identitäten unterliegen selten denselben Governance-Prozessen wie ihre menschlichen Kollegen. In vielen Fällen werden sie automatisch und ohne zentrale Aufsicht erstellt. Ähnliches gilt, wenn diese Dienste nicht mehr gebraucht werden. Nur selten schaltet jemand die Zugänge ordnungsgemäß ab. Stattdessen schlummern sie im Netzwerk und warten quasi auf einen Angreifer, der sie ausnutzt. Jeder dieser veralteten Zugänge ist eine mögliche Hintertür in das Unternehmen. Das gilt sogar für Netzwerke mit sehr hohen Sicherheitsstandards auf Zero-Trust-Basis.

Eine tragfähige Identitätsgrundlage aufbauen

Die gute Nachricht ist: Wenn man das Problem lösen will, muss man nicht komplett bei null beginnen.

Die meisten Unternehmen haben ihre Identitätssysteme über Jahrzehnte hinweg entwickelt. Es ist wenig sinnvoll oder gar effektiv, diese Strukturen einzureißen oder zu ersetzen.

Wichtiger ist es, die Kohärenz der bereits vorhandenen Systeme zu stärken. Das heißt, konsolidieren, wo es praktikabel ist, integrieren, wo es angemessen ist und ein Governance-Modell einführen, das die gesamte Umgebung abdeckt. Hier kommt die Idee der »Identity Fabric« zum Tragen. Anstatt jedes System wie eine Insel zu betrachten, verbindet eine Identity Fabric alle Systeme. Sie sorgt für einheitliche Regeln und schafft eine Übersicht über alle Benutzer und Dienste. Diese Struktur bildet eine solide Grundlage für Zero Trust. So treffen Firmen ihre Entscheidungen auf einer verlässlichen Basis und nicht aufgrund von unvollständigen oder gar widersprüchlichen Informationen.

Genauso wichtig ist es, Sicherheit und Benutzerfreundlichkeit in Einklang zu bringen. Wenn Zero Trust für Administratoren Reibungsverluste mit sich bringt oder Benutzer stört, suchen sie nach Wegen, den Ansatz zu umgehen. Eine gut konzipierte Identity Fabric setzt Sicherheitsregeln konsequent um. Gleichzeitig läuft alles so im Hintergrund ab, dass Mitarbeiter und Administratoren es kaum bemerken. Es wird einfach zu einem Teil ihres Arbeitsalltags. Ganz gleich, ob es sich um eine adaptive Multifaktor-Authentifizierung für die Cloud und lokale Anwendungen handelt, die Überwachung von Servicekonten über den gesamten Lebenszyklus hinweg oder die Deprovisionierung von Auftragnehmern, sobald sie nicht mehr für das Unternehmen tätig sind. Das Prinzip der »Identity Fabric« ist immer dasselbe: Alle Identitäten konsolidieren, die Verwaltung vereinfachen und Abläufe automatisieren. Für die Benutzer bleibt das System unsichtbar, aber vor Angreifern ist es sicher.

Auf dieser Grundlage wird Zero Trust mehr als nur ein Punkt auf einer Checkliste. Zero Trust wird zu dem, was das Konzept immer schon sein sollte – einer echten Kultur der Sicherheit.

Brian Chappell, One Identity

493 Artikel zu „Zero Trust Identität“

News | IT-Security | Tipps

Identitätsbasierte Angriffe mit Zero Trust bekämpfen: Best Practices für die Zero-Trust-Authentifizierung

12. Juli 2022

Identitätsbasierte Bedrohungen sind zu einer Hauptquelle für Angriffe und Datenschutzverletzungen geworden. Daher benötigen Unternehmen heute eine verbesserte Identitätserkennung und neue Strategien zur Bedrohungsabwehr, welche sich am besten durch die Implementierung eines identitätsbasierten Zero-Trust-Ansatzes erreichen lässt. Im Folgenden finden sich Grundlagen zur Funktionsweise des Zero-Trust-Modells sowie Best Practices zu dessen effektiver Implementierung. Was ist Zero…