Illustration: Absmeier freepik fantastic studio

Ob es nun das neueste Modewort, eine moderne Blaupause oder der heiße Sicherheitstrend ist: Die Einführung von Zero Trust steht kurz vor dem Wendepunkt. Laut dem Okta-Bericht »The State of Zero Trust Security 2022« haben 55 Prozent der befragten Unternehmen eine Zero-Trust-Initiative ins Leben gerufen und 97 Prozent planen, in den nächsten zwölf bis 18 Monaten ein Zero-Trust-Framework zu implementieren. Mehrere Unternehmen sind seit 2022 von einer frühen Phase der Einführung zur Definition von Roadmaps für die Reifephase übergegangen. Das Zero-Trust-Konzept ist der neue Cyber-Security-Standard für Unternehmen, die das Vertrauen auf Transaktionsbasis bewerten wollen.

Definition von Zero Trust

Die Zero-Trust-Architektur (ZTA) basiert auf der Überzeugung des ehemaligen Forrester Analysten John Kindervag, dass man niemals vertrauen und immer alles überprüfen sollte. Damit ist das Konzept des impliziten Vertrauens hinsichtlich des IT-Ökosystems eines Unternehmens obsolet. ZTA gewährleistet ein Höchstmaß an Schutz. Sie kombiniert ein grundlegendes Rahmenwerk und eine Unternehmensstrategie, die sich nicht ändern muss, wenn sich Technologien weiterentwickeln oder redundant werden.

Damit die Zero-Trust-Architektur Unternehmen jedoch wirksam schützt, muss sie mit den folgenden Grundprinzipien übereinstimmen:

• Geringstmögliche Privilegierung: Anwender erhalten ein Minimum an Zugriffsrechten, um ihre Arbeit zu erledigen
• Annahme einer Sicherheitsverletzung: Vermutung, dass kontinuierlich Cyber-Angriffe stattfinden. Jede Anfrage wird überprüft, unabhängig davon, ob sie von innerhalb oder außerhalb des Unternehmens stammt.
• Explizite Überprüfung: Die vollständige Authentifizierung und Autorisierung jeder Anfrage, bevor der bedingte Zugriff gewährt wird
• Kontextbewusster Zugang: Hierzu gehört die Kontrolle, welche Anwendung und welcher Benutzer auf das Netzwerk zugreifen können. Darüber hinaus wird gesteuert, welche Anwendung und welcher Benutzer auf das Netzwerk zugreifen können, basierend auf ihrem Kontext, das heißt Standort, Sicherheitsstatus des Geräts, Herkunftsland der Verbindung und weitere Details
• Datenzentrierte Sicherheit: Alle Cyber-Security-Kontrollen, -Prozesse und -Richtlinien basieren darauf, wie unternehmenskritisch die entsprechenden Daten sind – anstelle einer Einheitslösung.
• Schutz vor seitlichen Bewegungen: Der Schwerpunkt liegt auf dem Schutz vor seitlichen Bewegungen, nachdem die Endpunktsicherheit beeinträchtigt wurde.

»Zero Trust konzentriert sich auf den aktiven Schutz der Unternehmenssicherheit, nicht auf den reaktiven, und wird künftig die langfristige Lösung sein, um Unternehmen vor modernen Datenschutzverletzungen zu schützen.« Shambhulingayya Aralelemath

Warum entscheiden sich Unternehmen für Zero Trust?

Die heutigen IT-Ökosysteme werden immer komplexer – hinsichtlich Aufbau, Administration und damit auch des Schutzes. Die herkömmliche, auf dem Netzwerkumfang basierende Sicherheit reicht daher nicht mehr aus. Durch die Pandemie und die daraus resultierenden Büro-Schließungen mussten Millionen von Arbeitnehmern sich zu Hause mit den Systemen des Unternehmens vernetzen. Da die Zahl der ausgefeilten Cyber-Angriffe exponentiell zunimmt, hat sich auch der Fokus auf die ZTA in Europa deutlich erhöht. Laut Forrester-Bericht »Zero Trust Comes Into The Mainstream In Europe« vom März 2023 haben mehr als zwei Drittel der europäischen Unternehmen mit der Entwicklung einer Zero-Trust-Strategie begonnen. Diese Faktoren erhöhen die Anzahl der Schwachstellen, die Cyber-Angreifer ausnutzen können, und die zu einem Anstieg der Cyber-Verstöße führen.

Zero Trust konzentriert sich auf den aktiven Schutz der Unternehmenssicherheit, nicht auf den reaktiven. Viele Organisationen verfügen immer noch über herkömmliche Sicherheitstools, die schwerfällig und nicht mehr in der Lage sind, vor modernen Cyber-Bedrohungen zu schützen. Im Laufe der Zeit haben sich Unternehmen auch von geschlossenen Umgebungen zu dezentralen Architekturen entwickelt. Parallel dazu haben sich allerdings auch die Bedrohungsakteure weiterentwickelt – deren Angriffe auf verteilte Netzwerke immer fortschrittlicher und ausgefeilter werden. Das alte Konzept des impliziten Vertrauens ist zu einer kritischen Schwachstelle für Firmen geworden. Denn gezielte Bedrohungen finden innerhalb des Unternehmensperimeters statt.

Die beste Zero-Trust-Strategie wählen

Bei der Einführung des Zero-Trust-Sicherheitsframeworks sollten Cyber-Security-Verantwortliche sechs wichtige Punkte berücksichtigen: sichere Identität, Geräte, Anwendungen, Netzwerke und Daten sowie Cyber-Governance. Die Identität gewährt bedingten Zugriff auf Basis des Anwenderverhaltens, des Sicherheitsstatus der Geräte sowie des Standorts. Sind die Geräte abgesichert, ist auch der Fernzugriff mit Lösungen wie Schwachstellenmanagement, Cloud Workload Protection Platform (CWPP), Extended Detection and Response (XDR) und Enterprise Mobile Device Management entsprechend geschützt. Netzwerke bleiben das Rückgrat der digitalen Unternehmen. Sie werden durch Lösungen wie SASE, ZTNA und eine Reihe weiterer Applikationen abgesichert. Datenzentrierte Security ist ein absolutes Muss, da kritische Datenverluste zu enormen finanziellen und Reputationsrisiken führen können. Die Basis dafür ist eine automatisierte, dynamische und in Echtzeit arbeitende Cyber-Security-Governance.

Wenn sich Unternehmen auf die Reise zu Zero Trust begeben, sollten sie dessen Reifegrad bewerten. Sind die Daten beispielsweise definitiv gefährdet oder ist die Organisation bereits resilient? Daher sollten Firmen einen Fahrplan für die Einführung von Zero Trust auf der Grundlage des Reifegrads erstellen. Denn die Einführung eines Zero-Trust-Modells ist nicht unproblematisch. Oftmals wählen Unternehmen keinen ganzheitlichen Ansatz, sondern einen, der bruchstückhaft ist – und der unerwartete Sicherheitslücken nach sich zieht. Allerdings: Um erfolgreich zu sein, erfordert ein Zero-Trust-Ansatz oftmals hohe Investitionskosten in Hardware, Software und Prozessänderungen. Darüber hinaus müssen Unternehmen Zero Trust laufend verwalten und warten, was spezielle Ressourcen oder die Beauftragung eines Managed-Services-Anbieters erfordert.

Die Vorteile einer Zero-Trust-Strategie überwiegen jedoch – Unternehmen sollten daher entsprechen auf eine Zero-Trust-Lösung setzen. Die Folgen eines Verzichts auf eine ZTA können katastrophal sein. Zero Trust wird künftig die langfristige Lösung sein, um Unternehmen vor modernen Datenschutzverletzungen zu schützen.

Über den Autoren:

Shambhulingayya Aralelemath (Sambhu) ist AVP and Global Delivery Head, Cyber Security bei Infosys Er verfügt über Fachkenntnisse in den Bereichen Informationstechnologie und Cybersicherheit in verschiedenen Branchen. Bei Infosys Ist Shambhu verantwortlich für neue Angebotsinitiativen, Presales-Lösungen, Cyber Next-Plattformentwicklung, strategische Partnerschaften sowie Allianzen.