Unternehmen sollten nicht automatisch allem und allen in ihrem Netzwerk vertrauen – vom Benutzer bis hin zu sämtlichen Anwendungen. Das Zero-Trust-Konzept verlangt, alle Benutzer innerhalb eines Unternehmens zu authentifizieren und zu autorisieren, bevor ein Zugriff gewährt wird. Das Konzept wirklich zu verstehen, bedeutet, dass ein Unternehmen über Protokolle verfügt, mit denen die richtigen Benutzer, Systeme, Anwendungen und Netzwerke Zugriff auf genau die Systeme haben, die sie brauchen, um ihre Aufgaben zu erledigen und nichts sonst.
Fragen an Dan Conrad von One Identity.
Wie funktioniert ein Zero-Trust-Sicherheitsmodell und was ist darin enthalten?
Die Unternehmens-Perimeter haben sich drastisch verändert. Die komplette Belegschaft oder zumindest der überwiegende Teil arbeitet zeitweise remote und im Home Office. Firewalls und VPNs reichen unter diesen Bedingungen nicht mehr aus. Anstatt sich weiterhin auf netzwerkbasierte Sicherheit als erste Verteidigungslinie zu verlassen, sollten Unternehmen die Identität zu ihrem neuen Perimeter machen. Zero Trust tut genau das und stellt Identitäten in den Mittelpunkt. Die Philosophie dahinter: Unternehmen sollten nicht automatisch allem und allen in ihrem Netzwerk vertrauen – vom Benutzer bis hin zu sämtlichen Anwendungen. Das Zero-Trust-Konzept verlangt, alle Benutzer innerhalb eines Unternehmens zu authentifizieren und zu autorisieren, bevor ein Zugriff gewährt wird. Ein Ansatz, den man über eine Vielzahl von Governance-Praktiken und Technologien umsetzen kann, beispielsweise durch Multi-Faktor-Authentifizierung, Verschlüsselung sowie Identity-Access-Management- oder Privileged-Access-Management-Lösungen. Diese Technologien ermöglichen einem Unternehmen die Mikrosegmentierung des Netzwerks. Dadurch stellt die IT sicher, dass jeder Rechner, Benutzer und jede Anwendung, die eine Zugriffsberechtigung anfordern, auch tatsächlich zum Unternehmen gehört.
Worin liegen die Vorteile der Zero-Trust-Technologie gegenüber VPNs?
VPNs und Zero-Trust-Modelle dienen unterschiedlichen Zwecken. VPNs bieten autorisierte Konnektivität für remote arbeitende Benutzer, während Zero Trust den Zugriff und die Autorisierung eines Benutzers verwaltet. Obwohl die Anwendungsfälle für beide Modelle unterschiedlich sind, kann man VPNs durchaus unterstützend in einer Zero-Trust-Strategie einsetzen und den Datenverkehr auf dem Weg zum Netzwerk verschlüsseln.
Im Gegensatz zu VPNs hat man mit Zero Trust die Option, den Zugriff innerhalb des Netzwerks besser nachzuverfolgen. Unternehmen gehen damit über ein klassisches netzwerkbasiertes Sicherheitsmodell hinaus, und sichern die Benutzeridentitäten. Man legt fest, dass jeder in einem Netzwerk solange als nicht vertrauenswürdig gilt, bis er, sie oder es autorisiert und authentifiziert ist. Dadurch verhindert Zero Trust, dass sich böswillige Akteure unbemerkt im Netzwerk bewegen.
Und die Nachteile der Zero-Trust-Technologie?
Viele der derzeit auf dem Markt erhältlichen Technologielösungen erlauben keinen dynamischen Zero-Trust-Ansatz. Stattdessen sind Unternehmen gezwungen, mehrere Lösungen im Sinne einer Zero-Trust-Architektur zu kombinieren. Die Technologie ist allerdings nicht das größte Problem.
Viele der bereits existierenden Netzwerke sind nicht für ein Zero-Trust-Modell ausgelegt. Das macht die Integration in ältere Systeme zeitaufwendig und herausfordernd. Tatsächlich ist es für Unternehmen oft einfacher, Zero Trust in ein neu aufgesetztes Netzwerk zu implementieren. Nur ist das nicht immer möglich. Wenn man diese Hindernisse aus dem Weg räumen will, sollte man Zero Trust ganzheitlicher betrachten und zunächst in neue Strategien und Anwendungen integrieren. Das erleichtert den Prozess um einiges.
Ist Zero Trust eine geeignete Technologie für die aktuellen Home-Office-Szenarien?
Wenn man ein Zero-Trust-Modell erfolgreich in einem Home Office oder Remote-Working-Szenario einsetzen will, sollten Unternehmen sich unbedingt auf das Konzept und nicht allein auf die Technologie fokussieren. Ein entscheidender Grundsatz von Zero Trust im Unternehmen ist, dass eine erstmalig erstellte Verbindung zum Netzwerk durch einen Remote Worker als unbekannt und daher als nicht vertrauenswürdig betrachtet wird. Remote Working kann ein Unternehmensnetz auf vielfältige Art und Weise gefährden. Deshalb ist es unbedingt nötig, Identität, Authentifizierung und Zugriffskontrolle während der gesamten Zeitdauer, die der Mitarbeiter im Netzwerk verbringt, aufrecht zu erhalten. Die Zugriffsberechtigungen werden nach Bedarf gewährt und folgen dem Least-Privilege-Modell. Benutzer und Administratoren sollten zum richtigen Zeitpunkt auf die richtigen Ressourcen zugreifen können. Dies sollte auditiert werden und nachvollziehbar sein.
Im Kern geht es bei Zero Trust darum, sicherzustellen, dass Mitarbeiter nur auf die Ressourcen zugreifen, die sie tatsächlich benötigen. Wenn man den Zugriff von Mitarbeitern auf sensible Informationen beschränkt, haben Angreifer keine Möglichkeit mehr, Anmeldeinformationen zu missbrauchen, um sich im Netzwerk zu bewegen und eine Datenschutzverletzung zu verursachen.
Wo sollte man anfangen?
Unternehmen müssen in Bezug auf Zero Trust erst einmal entscheiden, was Zero Trust für sie konkret bedeutet. Dazu gilt es zunächst, eine Denkweise rund um Zero Trust zu entwickeln. Sie betrifft Systeme, Anwendungen, Netzwerke und sogar die physische Sicherheit eines Unternehmens. Bevor man ein neues Produkt oder eine neue Strategie integriert, sollte man Zero Trust immer als Teil dieser Architektur betrachten. Durch die Einbindung von Zero Trust in zukünftige Produktimplementierungen rücken Unternehmen starke Authentifizierung und Zugriffsmanagement in den Mittelpunkt ihrer Strategie. Meist ist es nicht ganz einfach, Zero-Trust-Netzwerke in eine bereits vorhandene Infrastruktur zu implementieren, denn diese muss entsprechend nachgerüstet werden. IT-Manager müssen entscheiden, wie Zero Trust überhaupt für ihre bestehenden Systeme, Anwendungen und Netzwerke umgesetzt werden kann. Der Schlüssel ist, Zero Trust als langfristiges Projekt zu betrachten, insbesondere in komplexen IT-Umgebungen.
Welche Fallstricke sollte man insbesondere umgehen?
Es gibt keinen »magischen Zero-Trust-Knopf«, den man einfach drücken kann. Viele Unternehmen verstricken sich in den Definitionen einzelner Anbieter. Diese Definitionen sind aber an deren Produkte gebunden, was Unternehmen nicht selten auf eine falsche Fährte lockt. Unternehmen sollten das Zero-Trust-Konzept am besten aus der Perspektive von Dritten wie dem National Institute of Standards and Technology (NIST) im Auge behalten. Standards wie diese konzentrieren sich auf das übergreifende Konzept und nicht auf ein konkretes Produkt. Nur so ist es Unternehmen möglich, Zero Trust-Modelle in ihre Gesamtstrategie einzubinden.
Woran sollte man beim Thema Zero Trust sonst noch denken?
Das Zero-Trust-Konzept findet allmählich Eingang in viele Best Practices zur Cybersicherheit. Die Grundlagen sind inzwischen sogar Teil der NIST-Richtlinien. Dennoch tun Unternehmen sich nach wie vor schwer damit, das Konzept in ihre Sicherheitsstrategie aufzunehmen. Dazu sollte man über das reine Schlagwort hinausdenken und Zero-Trust-Konzepte in die Verfahren einbeziehen, die sich an der Arbeitsweise eines Unternehmens orientieren. Das Konzept wirklich zu verstehen, bedeutet, dass ein Unternehmen über Protokolle verfügt, mit denen die richtigen Benutzer, Systeme, Anwendungen und Netzwerke Zugriff auf genau die Systeme haben, die sie brauchen, um ihre Aufgaben zu erledigen und nichts sonst.
449 Artikel zu „Zero Trust“
NEWS
Zero Trust: Nur ein Buzzword oder wichtiger Teil der Sicherheitsstrategie?
Das Zero-Trust-Modell hat sich bereits vor einigen Jahren als Sicherheitskonzept etabliert. Nun wurde die IT-Landschaft von Unternehmen innerhalb der letzten zwölf Monate allerdings auf den Kopf gestellt, was auch Folgen für die IT-Sicherheit hat. Besonders der plötzliche Umzug in die Cloud stellte viele Sicherheitsteams vor neue Herausforderungen. Rolf Haas, Senior Enterprise Technology Specialist bei McAfee,…
NEWS | IT-SECURITY | PRODUKTMELDUNG
Zero Trust Network Access – Was bedeutet ZTNA für sicheres mobile IT-Nutzung?
Fernarbeit und eine positive Arbeitserfahrung haben sich bisher meist gegenseitig ausgeschlossen. Für viele Unternehmen hat die Corona-bedingte, rasche Erweiterung der mobilen IT-Nutzung dieses Dilemma nur noch verstärkt und viele IT-Führungskräfte mitten in einem Tauziehen zwischen Sicherheit und Benutzerproduktivität zurückgelassen. Infolgedessen bewerten viele die aktuellen herkömmlichen Lösungen und erwägen nun einen Übergang zu Zero-Trust-Prinzipien. Aber was…
NEWS | AUSGABE 3-4-2020 | SECURITY SPEZIAL 3-4-2020
Zero Trust und kritische Infrastrukturen – »Niemals vertrauen, immer verifizieren«
Der Begriff »Zero Trust« gewinnt aufgrund seiner zunehmend strategischen Rolle in der Cybersicherheit immer mehr an Bedeutung. Die Anwendung des Zero-Trust-Mantras spielt vor allem bei sogenannten kritischen Infrastrukturen eine entscheidende Rolle.
NEWS | FAVORITEN DER REDAKTION | IT-SECURITY | STRATEGIEN | TIPPS
Ransomware-Angriffe mit Zero Trust bekämpfen: Best Practices gegen Daten-Geiselnahme
Ransomware bleibt ein lukratives Geschäft für Cyberkriminelle. Allein mit der Ransomware-Variante Ryuk erpressten Angreifer bereits Lösegelder von über 3,7 Millionen US-Dollar. Um die Sicherheitsvorkehrungen von Unternehmen zu umgehen, nutzen Hacker mittlerweile häufig anspruchsvolles Spear-Phishing, damit Opfer auf bösartige Links und Anhänge klicken oder verseuchte Webseiten besuchen. Nach der Infektion beginnt der Erpressungstrojaner mit der Verschlüsselung…
NEWS | IT-SECURITY | STRATEGIEN
Vertraue niemandem: Das Zero-Trust-Security-Modell
Mit der steigenden Bedrohungslandschaft und erhöhten Anforderungen an die Datensicherheit hat das Zero-Trust-Security-Modell bei Unternehmen deutlich an Popularität gewonnen. Die meisten traditionellen Ansätze der Netzwerksicherheit konzentrieren sich auf starke Schutzmaßnahmen gegen unerlaubten Zugang. Deren tendenzielle Schwäche ist jedoch das Vertrauen, welches User und Entitäten automatisch genießen, sobald sie sich im Netzwerk befinden. Denn gelingt es…
NEWS | IT-SECURITY | STRATEGIEN
Security über das Netzwerk hinaus – Integration von Endgerätesicherheit in die Zero-Trust-Strategie
Während der Begriff »Zero Trust« sofort an Netzwerksicherheit denken lässt, geht eine richtige Zero-Trust-Strategie mittlerweile über das Netzwerk hinaus – wie Palo Alto Networks meint. Endpunkte spielen eine wichtige Rolle, da sie Daten auf der ganzen Welt speichern und auf sie zugreifen, was sie zu verwundbaren Einstiegspunkten für Cyberangreifer macht. Da auf Daten und Anwendungen…
NEWS | IT-SECURITY | STRATEGIEN
Zero-Trust: Vertrauen Sie niemandem!
Sicherheitsstrategien zur Absicherung von Remote-Arbeitskräften auf Grundlage einer Zero-Trust-Sicherheits-Strategie. Die Belegschaft vieler Unternehmen arbeitet derzeit noch immer fast vollständig von Zuhause aus. Das hat gravierenden Einfluss auf die Sicherheitsstrategie eines Unternehmens, da die Mitarbeiter nun nicht mehr geschützt durch die Unternehmenssicherheit Zugang zu verschiedenen internen Unternehmensressourcen haben. Für Unternehmen ist es jetzt besonders wichtig ihre…
NEWS | IT-SECURITY | AUSGABE 5-6-2020 | SECURITY SPEZIAL 5-6-2020
IT-Sicherheit im Home Office – Macht Zero-Trust-Architektur die Cloud sicher?
Cyberkriminelle nutzen die aktuelle Unsicherheit rund um die weltweite Corona-Pandemie. Die Folge sind umfangreiche Angriffe auf Industrieunternehmen. Bevorzugte Opfer: Mitarbeiter im Home Office. Können hochsichere Cloud-Dienste für den Unternehmenseinsatz Abhilfe schaffen?
NEWS | IT-SECURITY
Ein Zero-Trust-Modell mithilfe von File Integrity Monitoring (FIM) und Sicherheitskonfigurationsmanagement (SCM) implementieren
Vor inzwischen annähernd zehn Jahren prägte John Kindervag, damals Analyst bei Forrester, den Begriff des »Zero Trust«. Er entwickelte das Modell im Jahr 2010 zu einer Zeit, da viele Unternehmen gerade erst damit begonnen hatten, grundlegende Regelungen zur Cybersicherheit einzurichten. Gleichzeitig gingen Firmen in zu hohem Maße von einer nur angenommenen Sicherheit innerhalb der Grenzen ihrer Netzwerke aus.…
NEWS | CLOUD COMPUTING | FAVORITEN DER REDAKTION | INFRASTRUKTUR | IT-SECURITY | RECHENZENTRUM | SERVICES | SICHERHEIT MADE IN GERMANY
Datenschutz im Home Office: Macht Zero-Trust-Technologie die Cloud sicher?
Rund ein Viertel der Deutschen arbeitet derzeit von Zuhause aus [1]. Rosige Zeiten für Hacker: Sie nutzen die Krise um COVID-19 für gezielte Cyberangriffe. Sicherheitsforscher sprechen im Rahmen der Corona-Pandemie von einer der größten E-Mail-Kampagnen durch Cyberkriminelle, die jemals unter einem einzigen Thema durchgeführt wurde [2]. Auch die deutsche Verbraucherzentrale warnt explizit vor Malware und…
NEWS | IT-SECURITY | RECHENZENTRUM | STRATEGIEN
Ein Zero-Trust-Modell mithilfe von FIM und SCM implementieren
Vor inzwischen annähernd zehn Jahren prägte John Kindervag, damals Analyst bei Forrester, den Begriff des »Zero Trust«. Er entwickelte das Modell im Jahr 2010 zu einer Zeit, da viele Unternehmen gerade erst damit begonnen hatten, grundlegende Regelungen zur Cybersicherheit einzurichten. Gleichzeitig gingen Firmen in zu hohem Maße von einer nur angenommenen Sicherheit innerhalb der Grenzen…
NEWS | CLOUD COMPUTING | IT-SECURITY | LÖSUNGEN
Datenpannen in der Cloud – Ist der Zero-Trust-Ansatz die Lösung?
In den vergangenen Monaten gab es zahlreiche, teilweise drastische Meldungen über Datenverluste beziehungsweise die ungewollte Offenlegung von Daten durch ungesicherte Clouds sowie Attacken auf Cloud-Infrastrukturen. Vor dem Hintergrund dieser Ereignisse erläutert Palo Alto Networks das Konzept von »Zero Trust« in der Cloud. Den Begriff »Zero Trust« gibt es seit fast zehn Jahren, aber er hat…
NEWS | TRENDS SECURITY | IT-SECURITY
Cyberkriminalität auf dem Vormarsch: Das digitale Wettrüsten hat begonnen
Kaum eine Woche vergeht, ohne dass neue Berichte über Hacker-Angriffe publik werden. So sorgte zuletzt der Angriff auf den französischen Fernsehsender TV5 Monde für Aufsehen. Auch deutsche Unternehmen und Institutionen sehen sich zusehends mit hochprofessionellen Cyber-Attacken konfrontiert. Dabei ist der Cyber-Krieg bereits in vollem Gange – und die heimische Wirtschaft steht unter Zugzwang. Im April…
AUSGABE 1-2-2021 | SECURITY SPEZIAL 1-2-2021 | NEWS | IT-SECURITY
Sicherer Zugriff für Mitarbeiter und Kunden – User Experience first
Zero Trust und IAM aus der Cloud als Fundament einer hybriden IT muss einfach und komfortabel für den Anwender sein.
NEWS | IT-SECURITY | TIPPS
Verbindungswege ohne Risiko: Fünf Säulen für eine sichere Netzwerkebene
Das mit der Pandemie verschärfte mobile Arbeiten stellt auch die Netzwerksicherheit vor große Probleme. Es hat neue Risiken verursacht und bestehende verschärft. Mit fünf Grundprinzipien können IT-Administratoren die Cybersicherheit auf dieser Ebene erhöhen. Aktuell gefährden mehrere Faktoren die Sicherheit in Netzen: Überstürztes Home Office: Laut Bitdefender hatte im Frühjahr 2020 jedes zweite Unternehmen keine Pläne,…
NEWS | IT-SECURITY
Datenschätze regelkonform schützen: Management von Datenbank-Sicherheit und Compliance
Die nahezu flächendeckende Digitalisierung von Wirtschaft und Gesellschaft und nicht zuletzt die Covid-19-Krise haben die Anforderungen an die Datenbank-Sicherheit und Compliance erheblich verschärft. Compliance und Sicherheit sind zwei eng miteinander verbundene Konzepte, die sich auf alle Datenbanken auswirken, die personenbezogene und andere sensible Daten speichern. Heutzutage umfasst die Datenbank-Sicherheit Vorkehrungen für den Schutz personenbezogener Daten;…
NEWS | TIPPS | WHITEPAPER
Ratgeber zu Mitarbeiterproduktivität und Prozessoptimierung
Wie und in welchem Maß unterstützt ein ERP-System ein Unternehmen, die Produktivität seiner Mitarbeiter zu steigern? Welche Voraussetzungen sind nötig, damit abteilungsübergreifende Prozesse automatisiert und ohne Brüche ablaufen? Und welche Potenziale schlummern in der Integration von ERP-Software und Drittsystemen mit Blick auf die Innovationsagenda eines Fertigungsbetriebs? Diese und weitere Fragen beantwortet ein aktueller Ratgeber…
NEWS | IT-SECURITY | TIPPS
Unternehmen nutzen Passwörter, die in unter einer Sekunde gehackt werden können
Schlechte persönliche Passwortgewohnheiten werden auch mit ins Unternehmen genommen. Selbst die Fortune-500-Unternehmen verwenden keine sicheren Passwörter, wie die neuesten Untersuchungen von NordPass ergeben haben [1]. Das Top-Passwort in der Einzelhandels- und E-Commerce-Branche lautet beispielsweise »Passwort«. Genauso ist es in den Branchen Energie, Technologie, Finanzen und anderen. Weitere beliebte Optionen waren »123456«, »Hallo123«, »Sonnenschein« und andere…
NEWS | IT-SECURITY | KOMMUNIKATION
Hälfte der Unternehmen untersagt das Teilen von Threat-Intelligence-Erkenntnissen mit Fachkreisen
Zwei Drittel (66 Prozent) der Threat-Intelligence-Analysten sind in professionellen Communities aktiv, aber 52 Prozent derjenigen, die in IT- und Cybersecurity-Positionen tätig sind, haben nicht die Erlaubnis, Threat-Intelligence-Artefakte zu teilen, die durch diese Communities entdeckt wurden. Dies geht aus dem aktuellen Kaspersky-Report »Managing your IT security team« hervor [1]. Kaspersky ist seit vielen Jahren Verfechter…
NEWS | MARKETING | SERVICES | TIPPS
Suchmaschinenmarketing: Was SEO und SEA Selbstständigen und Gründern für Vorteile bieten
Suchmaschinenmarketing für kleine Unternehmen. Nicht erst seit dem Beginn der Corona-Krise spielen sich immer mehr Bereiche des Lebens im Internet ab – schließlich ist die Digitalisierung in vollem Gange und macht vor keiner Branche halt. Doch der Ausbruch der Pandemie verstärkte den Trend noch einmal und zwang plötzlich auch kleine Buchläden, Kleidungsboutiquen, Handwerker oder Gesundheitsdienstleister…