Die Herausforderungen bei der Implementierung einer Zero-Trust-Architektur (ZTA) sind erheblich. Ein schrittweiser Ansatz zur Realisierung effektiver Zero-Trust-Modelle geht über die reine Compliance hinaus und sorgt für eine kontinuierliche Verbesserung durch fünf Schlüsselphasen. Ziel ist es, ein hochsicheres Netzwerk zu schaffen, das sich automatisch an verändernde Bedingungen und Bedrohungen anpasst.

Behörden und Großunternehmen stehen vor der Herausforderung, regulatorische Vorgaben zur Implementierung einer Zero-Trust-Architektur (ZTA) zu erfüllen, insbesondere da das Bundesamt für Sicherheit in der Informationstechnik in seinem aktuellen Lagebericht eine Zunahme kritischer Schwachstellen in Perimetersystemen wie Firewalls und VPNs festgestellt hat [1]. Die Absicherung von Netzwerken mit hunderttausenden – manchmal -Millionen – von verbundenen Geräten gestaltet sich dabei äußerst komplex. Durch die Einführung neuer Technologien und die zunehmenden Cyberangriffe auf Perimeter-Firewalls und VPNs hat die Dringlichkeit, ZTA vom Netzwerkrand bis in die verbundenen Clouds zu implementieren, weiter zuge-nommen. Besonders die wachsende Zahl unverwalteter OT/IoT-Geräte schafft zusätzliche Schwachstellen jenseits des Perimeters, die häufig zu Audit-Fehlern, Sicherheitsverletzungen und dem Verlust sensibler Daten führen.

Der Weg zur Zero-Trust-Architektur. Ein schrittweiser Ansatz zur Realisierung effektiver Zero-Trust-Modelle, der über die reine Authentifizierung hinausgeht, hat sich in der Praxis bewährt. Diese adaptive Herangehensweise vereinfacht den Übergang und hilft Organisationen dabei, Vorgaben schneller zu erfüllen.

Der Ansatz basiert auf einem Vertrauenssicherheitsmodell und bietet progressive Schritte für die Evolution von traditionellen perimeterbasierten Sicherheitsmodellen hin zu dynamischer Cybersicherheit. Die Methodik nutzt ein Zero-Trust-Modell zur Etablierung von Asset-Transparenz und -Intelligence und betont die kontinuierliche Verbesserung durch fünf Schlüsselphasen:

Phase 1: Adressierung der Angriffsfläche.
Die erste Phase widmet sich der Angriffsfläche durch umfassende Transparenz aller Netzwerkressourcen mittels Asset-Discovery und -Klassifizierung. Dies beinhaltet ein tiefgreifendes Verständnis darüber, wie sich Geräte mit dem Netzwerk verbinden, sowie deren Klassifizierung nach individuellen Charakteristika. Die kontextbewusste Datenklassifizierung informiert das Netzwerk-Topologie-Mapping durch Zuweisung von Sensitivitätsleveln zu Assets und stellt sicher, dass nur autorisierte Nutzer Zugang zu den sensibelsten Netzwerkbereichen erhalten.

Phase 2: Design der Schutzoberfläche.
Der nächste Schritt ist die Gestaltung einer sicheren Schutzoberfläche. Die im November 2024 von der gematik veröffentlichte Spezifikation zu Zero Trust bietet diesbezüglich wertvolle Leitlinien für die Umsetzung in komplexen Infrastrukturen [1]. Diese Phase konzentriert sich auf die Entwicklung von Zugriffsrichtlinien nach dem Prinzip der geringsten Privilegien. Dabei geht es weit über Multi-Faktor-Authentifizierung (MFA) hinaus: Der Prozess umfasst die Bewertung der Endpoint-Sicherheit und Firewalls, die Automatisierung der Geräte-Compliance, die Gewährung minimaler Zugriffsrechte sowie die kontinuierliche Authentifizierung und Autorisierung während der gesamten Nutzersitzungen.

Bevor Netzwerkadministratoren und Cybersecurity-Analysten mit der Entwicklung von Least-Privilege-Zugriffsrichtlinien beginnen können, müssen sie die normale Netzwerkaktivität verstehen. Eine visuelle Darstellung des Netzwerkverkehrs hilft dabei, Kommunikationsmuster zu erkennen und eine Baseline der typischen Vorgänge im System zu etablieren, wodurch Abweichungen und Anomalien deutlich hervortreten.

Phase 3: Automatisierung.
Die Automatisierung ist der nächste logische Schritt. Dabei werden Automatisierungsstrategien durch Einbeziehung von Kontextbewusstsein ausgerichtet. Die Risikobewertung basiert auf Standort, Verhalten und historischen Verbindungen. Regelbasierte dynamische Zugriffsrichtlinien ermöglichen flexible Sicherheitsmaßnahmen, die sich an verändernde Bedingungen anpassen und eine konsistente Durchsetzung bei reduziertem manuellem Aufwand gewährleisten. Risikobasierte Zugriffskontrollen evaluieren den Kontext jeder Zugriffsanfrage zur Bestimmung angemessener Aktionen.

Phase 4: Schutz durch zentralisierte Kontrolle.
Diese Phase dreht sich um den Einsatz fortgeschrittener Bedrohungserkennung und -abwehr über den gesamten Technologie-Stack hinweg. Auch dieser Punkt steht im Einklang mit den Empfehlungen des BSI, die Resilienz gegen Cyberangriffe durch ganzheitliche Zero-Trust-Ansätze zu stärken [3]. Sicherheitsmaßnahmen mit ZT-Fähigkeiten ermöglichen proaktive Reaktionen, die die Bedrohungsabwehr verbessern und gleichzeitig Compliance und operative Effizienz aus einem einzigen Sicherheitssystem heraus gewährleisten. Dies entspricht den Kernprinzipien von Zero Trust, indem sichergestellt wird, dass Sicherheit in jeden Aspekt der Technologie-Infrastruktur integriert ist.

Phase 5: Optimierung.
In der Optimierungsphase erreichen Organisationen vollständige Transparenz und Automatisierung ihrer Sicherheitsprozesse. In dieser Phase nutzen sie fortgeschrittene Analysen zur Echtzeit-Anomalieerkennung, um ungewöhnliches Verhalten und potenzielle Bedrohungen proaktiv zu identifizieren. Sie implementieren adaptive Incident-Response-Workflows, die sich basierend auf dem Kontext von Vorfällen anpassen, um Reaktionszeiten durch automatisierte Behebung zu verbessern.

Adaptive Endpoint-Protection-Systeme isolieren kompromittierte Geräte und setzen automatisch strengere Sicherheitskontrollen durch, wenn verdächtiges Verhalten erkannt wird. Adaptive Netzwerksegmentierungsrichtlinien passen Sicherheitsrichtlinien dynamisch basierend auf Echtzeit-Risiken an und stellen sicher, dass nur legitimer Verkehr in sensible Netzwerkbereiche zugelassen wird.

Fazit: Transformation der Cybersicherheit. Die Einführung eines adaptiven Ansatzes geht über die reine Compliance hinaus.
Es geht um eine fundamentale Transformation des Cybersicherheitsdenkens in Organisationen. Durch den Fokus auf -Asset-Transparenz, kontextbewusste Klassifizierungen, kontinuierliche Authentifizierung und geschlossene Automatisierungs- und Orchestrierungskreisläufe entsteht ein hochsicheres Netzwerk, das Asset-Intelligence in den breiteren Technologie-Stack integriert. Das Ergebnis ist ein Cybersicherheitsprogramm, das sich automatisch an verändernde Bedingungen und Bedrohungen anpasst.

Kristian von Mejer,
Director, Central & Eastern Europe
bei Forescout Technologies

[1] https://www.bsi.bund.de/DE/Service-Navi/Publikationen/
Lagebericht/lagebericht_node.html

[2] https://gemspec.gematik.de/downloads/gemSpec/
gemSpec_Zero_Trust/gemSpec_Zero_Trust_V1.0.0_CC.pdf

[3] https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/
Informationen-und-Empfehlungen/Zero-Trust/zero-trust_node.html

Illustration: © diuno | shutterstock.com

255 Artikel zu „ZTA“

News | Infrastruktur | IT-Security | Ausgabe 9-10-2024

ZT, ZTA, ZTNA – Radikale Sicherheitskonzepte für den Handel

20. Oktober 2024

Neue Sicherheitsansätze wie Zero Trust (ZT), Zero Trust Architecture (ZTA) und Zero Trust Network Access (ZTNA) eröffnen dem Handel effektive Wege, sich mit einem digitalen Bollwerk gegen die wachsende Flut an Cyberbedrohungen zu wappnen – vorausgesetzt, die richtigen Technologien und ein verlässlicher Partner kommen zum Einsatz.

Kristian von Mejer, Director, Central & Eastern Europe bei Forescout Technologies

[1] https://www.bsi.bund.de/DE/Service-Navi/Publikationen/ Lagebericht/lagebericht_node.html

[2] https://gemspec.gematik.de/downloads/gemSpec/ gemSpec_Zero_Trust/gemSpec_Zero_Trust_V1.0.0_CC.pdf

[3] https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/ Informationen-und-Empfehlungen/Zero-Trust/zero-trust_node.html

255 Artikel zu „ZTA“

Kristian von Mejer,
Director, Central & Eastern Europe
bei Forescout Technologies

[1] https://www.bsi.bund.de/DE/Service-Navi/Publikationen/
Lagebericht/lagebericht_node.html

[2] https://gemspec.gematik.de/downloads/gemSpec/
gemSpec_Zero_Trust/gemSpec_Zero_Trust_V1.0.0_CC.pdf

[3] https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/
Informationen-und-Empfehlungen/Zero-Trust/zero-trust_node.html