Die Herausforderungen bei der Implementierung einer Zero-Trust-Architektur (ZTA) sind erheblich. Ein schrittweiser Ansatz zur Realisierung effektiver Zero-Trust-Modelle geht über die reine Compliance hinaus und sorgt für eine kontinuierliche Verbesserung durch fünf Schlüsselphasen. Ziel ist es, ein hochsicheres Netzwerk zu schaffen, das sich automatisch an verändernde Bedingungen und Bedrohungen anpasst.

Behörden und Großunternehmen stehen vor der Herausforderung, regulatorische Vorgaben zur Implementierung einer Zero-Trust-Architektur (ZTA) zu erfüllen, insbesondere da das Bundesamt für Sicherheit in der Informationstechnik in seinem aktuellen Lagebericht eine Zunahme kritischer Schwachstellen in Perimetersystemen wie Firewalls und VPNs festgestellt hat [1]. Die Absicherung von Netzwerken mit hunderttausenden – manchmal -Millionen – von verbundenen Geräten gestaltet sich dabei äußerst komplex. Durch die Einführung neuer Technologien und die zunehmenden Cyberangriffe auf Perimeter-Firewalls und VPNs hat die Dringlichkeit, ZTA vom Netzwerkrand bis in die verbundenen Clouds zu implementieren, weiter zuge-nommen. Besonders die wachsende Zahl unverwalteter OT/IoT-Geräte schafft zusätzliche Schwachstellen jenseits des Perimeters, die häufig zu Audit-Fehlern, Sicherheitsverletzungen und dem Verlust sensibler Daten führen.

Der Weg zur Zero-Trust-Architektur. Ein schrittweiser Ansatz zur Realisierung effektiver Zero-Trust-Modelle, der über die reine Authentifizierung hinausgeht, hat sich in der Praxis bewährt. Diese adaptive Herangehensweise vereinfacht den Übergang und hilft Organisationen dabei, Vorgaben schneller zu erfüllen.

Der Ansatz basiert auf einem Vertrauenssicherheitsmodell und bietet progressive Schritte für die Evolution von traditionellen perimeterbasierten Sicherheitsmodellen hin zu dynamischer Cybersicherheit. Die Methodik nutzt ein Zero-Trust-Modell zur Etablierung von Asset-Transparenz und -Intelligence und betont die kontinuierliche Verbesserung durch fünf Schlüsselphasen:

Phase 1: Adressierung der Angriffsfläche.

Die erste Phase widmet sich der Angriffsfläche durch umfassende Transparenz aller Netzwerkressourcen mittels Asset-Discovery und -Klassifizierung. Dies beinhaltet ein tiefgreifendes Verständnis darüber, wie sich Geräte mit dem Netzwerk verbinden, sowie deren Klassifizierung nach individuellen Charakteristika. Die kontextbewusste Datenklassifizierung informiert das Netzwerk-Topologie-Mapping durch Zuweisung von Sensitivitätsleveln zu Assets und stellt sicher, dass nur autorisierte Nutzer Zugang zu den sensibelsten Netzwerkbereichen erhalten.

Phase 2: Design der Schutzoberfläche.

Der nächste Schritt ist die Gestaltung einer sicheren Schutzoberfläche. Die im November 2024 von der gematik veröffentlichte Spezifikation zu Zero Trust bietet diesbezüglich wertvolle Leitlinien für die Umsetzung in komplexen Infrastrukturen [1]. Diese Phase konzentriert sich auf die Entwicklung von Zugriffsrichtlinien nach dem Prinzip der geringsten Privilegien. Dabei geht es weit über Multi-Faktor-Authentifizierung (MFA) hinaus: Der Prozess umfasst die Bewertung der Endpoint-Sicherheit und Firewalls, die Automatisierung der Geräte-Compliance, die Gewährung minimaler Zugriffsrechte sowie die kontinuierliche Authentifizierung und Autorisierung während der gesamten Nutzersitzungen.

Bevor Netzwerkadministratoren und Cybersecurity-Analysten mit der Entwicklung von Least-Privilege-Zugriffsrichtlinien beginnen können, müssen sie die normale Netzwerkaktivität verstehen. Eine visuelle Darstellung des Netzwerkverkehrs hilft dabei, Kommunikationsmuster zu erkennen und eine Baseline der typischen Vorgänge im System zu etablieren, wodurch Abweichungen und Anomalien deutlich hervortreten.

Phase 3: Automatisierung.

Die Automatisierung ist der nächste logische Schritt. Dabei werden Automatisierungsstrategien durch Einbeziehung von Kontextbewusstsein ausgerichtet. Die Risikobewertung basiert auf Standort, Verhalten und historischen Verbindungen. Regelbasierte dynamische Zugriffsrichtlinien ermöglichen flexible Sicherheitsmaßnahmen, die sich an verändernde Bedingungen anpassen und eine konsistente Durchsetzung bei reduziertem manuellem Aufwand gewährleisten. Risikobasierte Zugriffskontrollen evaluieren den Kontext jeder Zugriffsanfrage zur Bestimmung angemessener Aktionen.

Phase 4: Schutz durch zentralisierte Kontrolle.

Diese Phase dreht sich um den Einsatz fortgeschrittener Bedrohungserkennung und -abwehr über den gesamten Technologie-Stack hinweg. Auch dieser Punkt steht im Einklang mit den Empfehlungen des BSI, die Resilienz gegen Cyberangriffe durch ganzheitliche Zero-Trust-Ansätze zu stärken [3]. Sicherheitsmaßnahmen mit ZT-Fähigkeiten ermöglichen proaktive Reaktionen, die die Bedrohungsabwehr verbessern und gleichzeitig Compliance und operative Effizienz aus einem einzigen Sicherheitssystem heraus gewährleisten. Dies entspricht den Kernprinzipien von Zero Trust, indem sichergestellt wird, dass Sicherheit in jeden Aspekt der Technologie-Infrastruktur integriert ist.

Phase 5: Optimierung.

In der Optimierungsphase erreichen Organisationen vollständige Transparenz und Automatisierung ihrer Sicherheitsprozesse. In dieser Phase nutzen sie fortgeschrittene Analysen zur Echtzeit-Anomalieerkennung, um ungewöhnliches Verhalten und potenzielle Bedrohungen proaktiv zu identifizieren. Sie implementieren adaptive Incident-Response-Workflows, die sich basierend auf dem Kontext von Vorfällen anpassen, um Reaktionszeiten durch automatisierte Behebung zu verbessern.

Adaptive Endpoint-Protection-Systeme isolieren kompromittierte Geräte und setzen automatisch strengere Sicherheitskontrollen durch, wenn verdächtiges Verhalten erkannt wird. Adaptive Netzwerksegmentierungsrichtlinien passen Sicherheitsrichtlinien dynamisch basierend auf Echtzeit-Risiken an und stellen sicher, dass nur legitimer Verkehr in sensible Netzwerkbereiche zugelassen wird.

Fazit: Transformation der Cybersicherheit. Die Einführung eines adaptiven Ansatzes geht über die reine Compliance hinaus.

Es geht um eine fundamentale Transformation des Cybersicherheitsdenkens in Organisationen. Durch den Fokus auf -Asset-Transparenz, kontextbewusste Klassifizierungen, kontinuierliche Authentifizierung und geschlossene Automatisierungs- und Orchestrierungskreisläufe entsteht ein hochsicheres Netzwerk, das Asset-Intelligence in den breiteren Technologie-Stack integriert. Das Ergebnis ist ein Cybersicherheitsprogramm, das sich automatisch an verändernde Bedingungen und Bedrohungen anpasst.

Kristian von Mejer,

Director, Central & Eastern Europe

bei Forescout Technologies

255 Artikel zu „ZTA“

News | IT-Security Europäischer Datenschutztag 2023: Was haben wir eigentlich von Datenschutz? Zum Europäischen Datenschutztag zeigen wir drei praktische Vorteile auf, die Datenschutz im Netz mit sich bringt. Die heutige Datenwirtschaft funktioniert so: Unternehmen sammeln Daten, verpacken sie in werbefreundliche Profile und liefern gegen Bezahlung die richtigen Anzeigen an die richtigen Nutzer. Kommt es zu datenschutzrechtlichen Fiaskos, zahlen die Unternehmen die staatlich verordnete Strafe, führen ein… Weiterlesen →

News | IT-Security | Kommentar Europäischer Datenschutztag: Softwareanwendungen erleichtern Umsetzung der Datenschutzgrundverordnung Jedes zweite Unternehmen hat Softwaretools für DSGVO im Einsatz. Am 28. Januar ist Europäischer Datenschutztag. Für die Einhaltung der Datenschutzgrundverordnung setzen viele Unternehmen auf technische Unterstützung. Fast jedes zweite Unternehmen (48 Prozent) hat für die Umsetzung spezielle Softwaretools genutzt. Das ist das Ergebnis einer repräsentativen Befragung unter mehr als 500 Unternehmen aus Deutschland [1].… Weiterlesen →

News | IT-Security | Kommentar | Marketing Europäischer Datenschutztag 2019: Das Bewusstsein ist geschärft Der großangelegte Doxing-Angriff auf hunderte deutsche Politiker und die Veröffentlichung sensibler personenbezogener Daten hat uns gleich zu Beginn des Jahres gezeigt, welche Macht Hacker und Cyberkriminelle heutzutage haben und wie nachlässig auch heute noch mit dem Thema Datenschutz umgegangen wird. Der Europäische Datenschutztag, der traditionell am 28. Januar, dem Jahrestag der Unterzeichnung der Europäischen Datenschutzkonvention… Weiterlesen →