Zero Trust – Ein Konzept auf dem Prüfstand 

Illustration: Absmeier

Unternehmen sollten nicht automatisch allem und allen in ihrem Netzwerk vertrauen – vom Benutzer bis hin zu sämtlichen Anwendungen. Das Zero-Trust-Konzept verlangt, alle Benutzer innerhalb eines Unternehmens zu authentifizieren und zu autorisieren, bevor ein Zugriff gewährt wird. Das Konzept wirklich zu verstehen, bedeutet, dass ein Unternehmen über Protokolle verfügt, mit denen die richtigen Benutzer, Systeme, Anwendungen und Netzwerke Zugriff auf genau die Systeme haben, die sie brauchen, um ihre Aufgaben zu erledigen und nichts sonst.

 

Fragen an Dan Conrad von One Identity.

 

Wie funktioniert ein Zero-Trust-Sicherheitsmodell und was ist darin enthalten?

Die Unternehmens-Perimeter haben sich drastisch verändert. Die komplette Belegschaft oder zumindest  der überwiegende Teil arbeitet zeitweise remote und im Home Office. Firewalls und VPNs reichen unter diesen Bedingungen nicht mehr aus. Anstatt sich weiterhin auf netzwerkbasierte Sicherheit als erste Verteidigungslinie zu verlassen, sollten Unternehmen die Identität zu ihrem neuen Perimeter machen. Zero Trust tut genau das und stellt Identitäten in den Mittelpunkt. Die Philosophie dahinter: Unternehmen sollten nicht automatisch allem und allen in ihrem Netzwerk vertrauen – vom Benutzer bis hin zu sämtlichen Anwendungen. Das Zero-Trust-Konzept verlangt, alle Benutzer innerhalb eines Unternehmens zu authentifizieren und zu autorisieren, bevor ein Zugriff gewährt wird. Ein Ansatz, den man über eine Vielzahl von Governance-Praktiken und Technologien umsetzen kann, beispielsweise durch Multi-Faktor-Authentifizierung, Verschlüsselung sowie Identity-Access-Management- oder Privileged-Access-Management-Lösungen. Diese Technologien ermöglichen einem Unternehmen die Mikrosegmentierung des Netzwerks. Dadurch stellt die IT sicher, dass jeder Rechner, Benutzer und jede Anwendung, die eine Zugriffsberechtigung anfordern, auch tatsächlich zum Unternehmen gehört.

 

Worin liegen die Vorteile der Zero-Trust-Technologie gegenüber VPNs?

VPNs und Zero-Trust-Modelle dienen unterschiedlichen Zwecken. VPNs bieten autorisierte Konnektivität für remote arbeitende Benutzer, während Zero Trust den Zugriff und die Autorisierung eines Benutzers verwaltet. Obwohl die Anwendungsfälle für beide Modelle unterschiedlich sind, kann man VPNs durchaus unterstützend in einer  Zero-Trust-Strategie einsetzen und den Datenverkehr auf dem Weg zum Netzwerk verschlüsseln.
Im Gegensatz zu VPNs hat man mit Zero Trust die Option, den Zugriff innerhalb des Netzwerks besser nachzuverfolgen. Unternehmen gehen damit über ein klassisches netzwerkbasiertes Sicherheitsmodell hinaus, und sichern die Benutzeridentitäten. Man legt fest, dass jeder in einem Netzwerk solange als nicht vertrauenswürdig gilt, bis er, sie oder es autorisiert und authentifiziert ist. Dadurch verhindert Zero Trust, dass sich böswillige Akteure unbemerkt im Netzwerk bewegen.

 

Und die Nachteile der Zero-Trust-Technologie? 

Viele der derzeit auf dem Markt erhältlichen Technologielösungen erlauben keinen dynamischen Zero-Trust-Ansatz. Stattdessen sind Unternehmen gezwungen, mehrere Lösungen im Sinne einer Zero-Trust-Architektur zu kombinieren. Die Technologie ist allerdings nicht das größte Problem.
Viele der bereits existierenden Netzwerke sind nicht für ein Zero-Trust-Modell ausgelegt. Das macht die Integration in ältere Systeme zeitaufwendig und herausfordernd. Tatsächlich ist es für Unternehmen oft einfacher, Zero Trust in ein neu aufgesetztes Netzwerk zu implementieren. Nur ist das nicht immer möglich. Wenn man diese Hindernisse aus dem Weg räumen will, sollte man Zero Trust ganzheitlicher betrachten und zunächst in neue Strategien und Anwendungen integrieren. Das erleichtert den Prozess um einiges.

 

Ist Zero Trust eine geeignete Technologie für die aktuellen Home-Office-Szenarien?

Wenn man ein Zero-Trust-Modell erfolgreich in einem Home Office oder Remote-Working-Szenario einsetzen will, sollten Unternehmen sich unbedingt auf das Konzept und nicht allein auf die Technologie fokussieren. Ein entscheidender Grundsatz von Zero Trust im Unternehmen ist, dass eine erstmalig erstellte Verbindung zum Netzwerk durch einen Remote Worker als unbekannt und daher als nicht vertrauenswürdig betrachtet wird. Remote Working kann ein Unternehmensnetz auf vielfältige Art und Weise gefährden. Deshalb ist es unbedingt nötig, Identität, Authentifizierung und Zugriffskontrolle während der gesamten Zeitdauer, die der Mitarbeiter im Netzwerk verbringt, aufrecht zu erhalten. Die Zugriffsberechtigungen werden nach Bedarf gewährt und folgen dem Least-Privilege-Modell. Benutzer und Administratoren sollten zum richtigen Zeitpunkt auf die richtigen Ressourcen zugreifen können. Dies sollte auditiert werden und nachvollziehbar sein.
Im Kern geht es bei Zero Trust darum, sicherzustellen, dass Mitarbeiter nur auf die Ressourcen zugreifen, die sie tatsächlich benötigen. Wenn man den Zugriff von Mitarbeitern auf sensible Informationen beschränkt, haben Angreifer keine Möglichkeit mehr, Anmeldeinformationen zu missbrauchen, um sich im Netzwerk zu bewegen und eine Datenschutzverletzung zu verursachen.

 

Wo sollte man anfangen? 

Unternehmen müssen  in Bezug auf Zero Trust erst einmal entscheiden, was Zero Trust für sie  konkret bedeutet. Dazu gilt es zunächst, eine Denkweise rund um Zero Trust zu entwickeln. Sie betrifft Systeme, Anwendungen, Netzwerke und sogar die physische Sicherheit eines Unternehmens. Bevor man ein neues Produkt oder eine neue Strategie integriert, sollte man Zero Trust immer als Teil dieser Architektur betrachten. Durch die Einbindung von Zero Trust in zukünftige Produktimplementierungen rücken Unternehmen starke Authentifizierung und Zugriffsmanagement in den Mittelpunkt ihrer Strategie. Meist ist es nicht ganz einfach, Zero-Trust-Netzwerke in eine bereits vorhandene Infrastruktur zu implementieren, denn diese muss entsprechend nachgerüstet werden. IT-Manager müssen entscheiden, wie Zero Trust überhaupt für ihre bestehenden Systeme, Anwendungen und Netzwerke umgesetzt werden kann.  Der Schlüssel ist, Zero Trust als langfristiges Projekt zu betrachten, insbesondere in komplexen IT-Umgebungen.

 

Welche Fallstricke sollte man insbesondere umgehen?

Es gibt keinen »magischen Zero-Trust-Knopf«, den man einfach drücken kann. Viele Unternehmen verstricken sich in den Definitionen einzelner Anbieter. Diese Definitionen sind aber an deren Produkte gebunden, was Unternehmen nicht selten auf eine falsche Fährte lockt. Unternehmen sollten  das Zero-Trust-Konzept am besten aus der Perspektive von Dritten wie dem National Institute of Standards and Technology (NIST) im Auge behalten. Standards wie diese konzentrieren sich auf das übergreifende Konzept und nicht auf ein konkretes Produkt. Nur so ist es Unternehmen möglich, Zero Trust-Modelle in ihre Gesamtstrategie einzubinden.

 

Woran sollte man beim Thema Zero Trust sonst noch denken? 

Das Zero-Trust-Konzept findet allmählich Eingang in viele Best Practices zur Cybersicherheit. Die Grundlagen sind inzwischen sogar Teil der NIST-Richtlinien. Dennoch tun Unternehmen sich nach wie vor schwer damit, das Konzept in ihre Sicherheitsstrategie aufzunehmen. Dazu sollte man über das reine Schlagwort hinausdenken und Zero-Trust-Konzepte in die Verfahren einbeziehen, die sich an der Arbeitsweise eines Unternehmens orientieren. Das Konzept wirklich zu verstehen, bedeutet, dass ein Unternehmen über Protokolle verfügt, mit denen die richtigen Benutzer, Systeme, Anwendungen und Netzwerke Zugriff auf genau die Systeme haben, die sie brauchen, um ihre Aufgaben zu erledigen und nichts sonst.

 

449 Artikel zu „Zero Trust“

Zero Trust: Nur ein Buzzword oder wichtiger Teil der Sicherheitsstrategie?

Das Zero-Trust-Modell hat sich bereits vor einigen Jahren als Sicherheitskonzept etabliert. Nun wurde die IT-Landschaft von Unternehmen innerhalb der letzten zwölf Monate allerdings auf den Kopf gestellt, was auch Folgen für die IT-Sicherheit hat. Besonders der plötzliche Umzug in die Cloud stellte viele Sicherheitsteams vor neue Herausforderungen. Rolf Haas, Senior Enterprise Technology Specialist bei McAfee,…

Zero Trust Network Access – Was bedeutet ZTNA für sicheres mobile IT-Nutzung?

Fernarbeit und eine positive Arbeitserfahrung haben sich bisher meist gegenseitig ausgeschlossen. Für viele Unternehmen hat die Corona-bedingte, rasche Erweiterung der mobilen IT-Nutzung dieses Dilemma nur noch verstärkt und viele IT-Führungskräfte mitten in einem Tauziehen zwischen Sicherheit und Benutzerproduktivität zurückgelassen. Infolgedessen bewerten viele die aktuellen herkömmlichen Lösungen und erwägen nun einen Übergang zu Zero-Trust-Prinzipien. Aber was…

Ransomware-Angriffe mit Zero Trust bekämpfen: Best Practices gegen Daten-Geiselnahme

Ransomware bleibt ein lukratives Geschäft für Cyberkriminelle. Allein mit der Ransomware-Variante Ryuk erpressten Angreifer bereits Lösegelder von über 3,7 Millionen US-Dollar. Um die Sicherheitsvorkehrungen von Unternehmen zu umgehen, nutzen Hacker mittlerweile häufig anspruchsvolles Spear-Phishing, damit Opfer auf bösartige Links und Anhänge klicken oder verseuchte Webseiten besuchen. Nach der Infektion beginnt der Erpressungstrojaner mit der Verschlüsselung…

Vertraue niemandem: Das Zero-Trust-Security-Modell

Mit der steigenden Bedrohungslandschaft und erhöhten Anforderungen an die Datensicherheit hat das Zero-Trust-Security-Modell bei Unternehmen deutlich an Popularität gewonnen. Die meisten traditionellen Ansätze der Netzwerksicherheit konzentrieren sich auf starke Schutzmaßnahmen gegen unerlaubten Zugang. Deren tendenzielle Schwäche ist jedoch das Vertrauen, welches User und Entitäten automatisch genießen, sobald sie sich im Netzwerk befinden. Denn gelingt es…

Security über das Netzwerk hinaus – Integration von Endgerätesicherheit in die Zero-Trust-Strategie

Während der Begriff »Zero Trust« sofort an Netzwerksicherheit denken lässt, geht eine richtige Zero-Trust-Strategie mittlerweile über das Netzwerk hinaus – wie Palo Alto Networks meint. Endpunkte spielen eine wichtige Rolle, da sie Daten auf der ganzen Welt speichern und auf sie zugreifen, was sie zu verwundbaren Einstiegspunkten für Cyberangreifer macht. Da auf Daten und Anwendungen…

Zero-Trust: Vertrauen Sie niemandem!

Sicherheitsstrategien zur Absicherung von Remote-Arbeitskräften auf Grundlage einer Zero-Trust-Sicherheits-Strategie. Die Belegschaft vieler Unternehmen arbeitet derzeit noch immer fast vollständig von Zuhause aus. Das hat gravierenden Einfluss auf die Sicherheitsstrategie eines Unternehmens, da die Mitarbeiter nun nicht mehr geschützt durch die Unternehmenssicherheit Zugang zu verschiedenen internen Unternehmensressourcen haben. Für Unternehmen ist es jetzt besonders wichtig ihre…

Ein Zero-Trust-Modell mithilfe von File Integrity Monitoring (FIM) und Sicherheitskonfigurationsmanagement (SCM) implementieren

Vor inzwischen annähernd zehn Jahren prägte John Kindervag, damals Analyst bei Forrester, den Begriff des »Zero Trust«. Er entwickelte das Modell im Jahr 2010 zu einer Zeit, da viele Unternehmen gerade erst damit begonnen hatten, grundlegende Regelungen zur Cybersicherheit einzurichten. Gleichzeitig gingen Firmen in zu hohem Maße von einer nur angenommenen Sicherheit innerhalb der Grenzen ihrer Netzwerke aus.…

Datenschutz im Home Office: Macht Zero-Trust-Technologie die Cloud sicher?

Rund ein Viertel der Deutschen arbeitet derzeit von Zuhause aus [1]. Rosige Zeiten für Hacker: Sie nutzen die Krise um COVID-19 für gezielte Cyberangriffe. Sicherheitsforscher sprechen im Rahmen der Corona-Pandemie von einer der größten E-Mail-Kampagnen durch Cyberkriminelle, die jemals unter einem einzigen Thema durchgeführt wurde [2]. Auch die deutsche Verbraucherzentrale warnt explizit vor Malware und…

Ein Zero-Trust-Modell mithilfe von FIM und SCM implementieren

Vor inzwischen annähernd zehn Jahren prägte John Kindervag, damals Analyst bei Forrester, den Begriff des »Zero Trust«. Er entwickelte das Modell im Jahr 2010 zu einer Zeit, da viele Unternehmen gerade erst damit begonnen hatten, grundlegende Regelungen zur Cybersicherheit einzurichten. Gleichzeitig gingen Firmen in zu hohem Maße von einer nur angenommenen Sicherheit innerhalb der Grenzen…

Datenpannen in der Cloud – Ist der Zero-Trust-Ansatz die Lösung?

In den vergangenen Monaten gab es zahlreiche, teilweise drastische Meldungen über Datenverluste beziehungsweise die ungewollte Offenlegung von Daten durch ungesicherte Clouds sowie Attacken auf Cloud-Infrastrukturen. Vor dem Hintergrund dieser Ereignisse erläutert Palo Alto Networks das Konzept von »Zero Trust« in der Cloud. Den Begriff »Zero Trust« gibt es seit fast zehn Jahren, aber er hat…

Cyberkriminalität auf dem Vormarsch: Das digitale Wettrüsten hat begonnen

Kaum eine Woche vergeht, ohne dass neue Berichte über Hacker-Angriffe publik werden. So sorgte zuletzt der Angriff auf den französischen Fernsehsender TV5 Monde für Aufsehen. Auch deutsche Unternehmen und Institutionen sehen sich zusehends mit hochprofessionellen Cyber-Attacken konfrontiert. Dabei ist der Cyber-Krieg bereits in vollem Gange – und die heimische Wirtschaft steht unter Zugzwang. Im April…

Verbindungswege ohne Risiko: Fünf Säulen für eine sichere Netzwerkebene

Das mit der Pandemie verschärfte mobile Arbeiten stellt auch die Netzwerksicherheit vor große Probleme. Es hat neue Risiken verursacht und bestehende verschärft. Mit fünf Grundprinzipien können IT-Administratoren die Cybersicherheit auf dieser Ebene erhöhen. Aktuell gefährden mehrere Faktoren die Sicherheit in Netzen: Überstürztes Home Office: Laut Bitdefender hatte im Frühjahr 2020 jedes zweite Unternehmen keine Pläne,…

Datenschätze regelkonform schützen: Management von Datenbank-Sicherheit und Compliance

Die nahezu flächendeckende Digitalisierung von Wirtschaft und Gesellschaft und nicht zuletzt die Covid-19-Krise haben die Anforderungen an die Datenbank-Sicherheit und Compliance erheblich verschärft. Compliance und Sicherheit sind zwei eng miteinander verbundene Konzepte, die sich auf alle Datenbanken auswirken, die personenbezogene und andere sensible Daten speichern. Heutzutage umfasst die Datenbank-Sicherheit Vorkehrungen für den Schutz personenbezogener Daten;…

Ratgeber zu Mitarbeiterproduktivität und Prozessoptimierung

Wie und in welchem Maß unterstützt ein ERP-System ein Unternehmen, die Produktivität seiner Mitarbeiter zu steigern?  Welche Voraussetzungen sind nötig, damit abteilungsübergreifende Prozesse automatisiert und ohne Brüche ablaufen? Und welche Potenziale schlummern in der Integration von ERP-Software und Drittsystemen mit Blick auf die Innovationsagenda eines Fertigungsbetriebs?   Diese und weitere Fragen beantwortet ein aktueller Ratgeber…

Unternehmen nutzen Passwörter, die in unter einer Sekunde gehackt werden können

Schlechte persönliche Passwortgewohnheiten werden auch mit ins Unternehmen genommen. Selbst die Fortune-500-Unternehmen verwenden keine sicheren Passwörter, wie die neuesten Untersuchungen von NordPass ergeben haben [1]. Das Top-Passwort in der Einzelhandels- und E-Commerce-Branche lautet beispielsweise »Passwort«. Genauso ist es in den Branchen Energie, Technologie, Finanzen und anderen. Weitere beliebte Optionen waren »123456«, »Hallo123«, »Sonnenschein« und andere…

Hälfte der Unternehmen untersagt das Teilen von Threat-Intelligence-Erkenntnissen mit Fachkreisen

Zwei Drittel (66 Prozent) der Threat-Intelligence-Analysten sind in professionellen Communities aktiv, aber 52 Prozent derjenigen, die in IT- und Cybersecurity-Positionen tätig sind, haben nicht die Erlaubnis, Threat-Intelligence-Artefakte zu teilen, die durch diese Communities entdeckt wurden. Dies geht aus dem aktuellen Kaspersky-Report »Managing your IT security team« hervor [1].   Kaspersky ist seit vielen Jahren Verfechter…

Suchmaschinenmarketing: Was SEO und SEA Selbstständigen und Gründern für Vorteile bieten

Suchmaschinenmarketing für kleine Unternehmen. Nicht erst seit dem Beginn der Corona-Krise spielen sich immer mehr Bereiche des Lebens im Internet ab – schließlich ist die Digitalisierung in vollem Gange und macht vor keiner Branche halt. Doch der Ausbruch der Pandemie verstärkte den Trend noch einmal und zwang plötzlich auch kleine Buchläden, Kleidungsboutiquen, Handwerker oder Gesundheitsdienstleister…