Die fortschreitende Digitalisierung bringt immer größere Herausforderungen für die Cybersicherheit mit sich. Zero Trust ist mehr als nur ein Trend – es gilt heute als die bevorzugte Sicherheitsstrategie zur Stärkung von Cyberresilienz.

Vor über 14 Jahren ins Leben gerufen, war Zero Trust die Idee und das Ziel, die Art und Weise zu verändern, wie Organisationen und Unternehmen ihre Sicherheit angehen. Dass sich daraus ein milliardenschwerer Markt entwickeln würde, war jedoch nicht absehbar.

Ein zentraler Bestandteil einer Zero-Trust-Strategie ist die Mikrosegmentierung. Sie unterteilt das Netzwerk in kleine, isolierte Segmente, sogenannte Protect Surfaces, die jeweils durch spezifische Sicherheitsrichtlinien geschützt sind [1]. Dadurch wird das Risiko der lateralen Bewegung – also die Möglichkeit für Angreifer, sich nach einem ersten Eindringen ungehindert im Netzwerk zu bewegen – erheblich gemindert. Die Schaffung dieser Protect Surfaces ist entscheidend, um Schäden zu minimieren.

Segmentierung ist das Fundament von Zero Trust. Mit wachsenden Angriffsflächen sowie der zunehmenden digitalen Vernetzung wird die Segmentierung von Netzwerken und hybriden Umgebungen unerlässlich. Denn Angreifer verfolgen eine Return-on-Investment-Strategie und werden keine Zeit in einen Angriff auf eine korrekt implementierte und resiliente Zero-Trust-Umgebung investieren.

Zero Trust in einer dynamischen Bedrohungslandschaft. Neben den wachsenden Angriffsflächen und den zunehmend komplexen IT-Infrastrukturen nehmen gleichzeitig die Bedrohungen in Anzahl und Wirkung zu – Stichwort Ransomware. Laut der Global Cost of Ransomware Studie investieren Unternehmen mittlerweile fast ein Drittel ihres IT-Budgets in den Schutz vor Ransomware, dennoch verschärfen sich die Auswirkungen der Angriffe noch [2].

Durch Automatisierung und den Einsatz von KI werden Angriffe immer präziser und weitreichender. Sie breiten sich in hybriden und Cloud-Umgebungen aus und erfordern zwingende Anpassungen bestehender Sicherheitsmaßnahmen.

Eine robuste Zero-Trust-Architektur mit Segmentierung als Kernstück stoppt die Ausbreitung solcher sogenannten Breaches. Außerdem ermöglicht sie Unternehmen, flexible und maßgeschneiderte Sicherheitsstrategien für verschiedene IT-Umgebungen zu entwickeln. Ob On-Premises, Cloud oder Hybrid – der Ansatz lässt sich an spezifische Anforderungen anpassen.

Strategische Dimension von Zero Trust. Ein entscheidender, aber oft übersehener Aspekt ist die Schulung und Einbindung von Stakeholdern aus IT, Management und anderen Abteilungen. Unternehmen stellen damit sicher, dass die Zero-Trust-Strategie mit den eigens gesteckten Unternehmenszielen abgestimmt ist und fördern eine unternehmensweite Verantwortlichkeit.

Eines muss von Anfang an klar sein: Zero Trust ist kein einmaliges Projekt, sondern ein fortlaufender Prozess, der kontinuierlicher Evaluation und Anpassung bedarf. Alle Ziele in Bezug auf Zero Trust müssen kommuniziert sein, und jeder Erfolg anhand präzise definierter Metriken gemessen werden.

Es ist indes wichtig, dass man bei Zero Trust zwischen Strategie und Taktik unterscheidet. Anders gesagt: Zero Trust ist eine Strategie, die durch eine Kombination verschiedener Technologien und Taktiken umgesetzt wird. Diese Strategie erfordert einen grundlegenden Perspektivwechsel – eine komplette strategische Neuausrichtung, die traditionelle Paradigmen in Frage stellt.

Statt zu versuchen, bösartige Akteure zu identifizieren und zu stoppen, sollte stets das Prinzip »Verifizieren und niemals vertrauen« gelten. Nur verifizierte und autorisierte Entitäten erhalten Zugriff, wobei Berechtigungen auf das absolut Notwendige beschränkt sind. Zero Trust verlässt sich nicht länger auf den Perimeterschutz, sondern stellt sicher, dass innerhalb des Netzwerks nur legitime Aktivitäten erlaubt sind. Durch die kontinuierliche Überprüfung von Nutzern, Geräten und Anwendungen werden Risiken minimiert und Resilienz gestärkt.

Zero Trust dient aber nicht nur der Prävention, sondern gerade auch der schnellen Wiederherstellung nach einem Vorfall – also der Aufrechterhaltung der betrieblichen Effizienz.

Implementierung von Zero Trust in 5 Schritten.

Identifizieren der Protect Surface:
Unternehmen müssen zunächst verstehen, welche Daten, Anwendungen, Assets und Services (DAAS) sie schützen müssen, wo diese sich befinden und wer oder was mit ihnen interagiert. Ohne dieses klare Verständnis ist es unmöglich, wirksame Sicherheitsmaßnahmen zu etablieren.
Abbilden der Kommunikationsströme:
Es ist entscheidend, zu analysieren und zu verstehen, wie DAAS innerhalb des Netzwerks kommunizieren. Eine detaillierte Karte aller Kommunikationsströme liefert wertvolle Einblicke in potenzielle Schwachstellen und bildet die Grundlage für den wirksamen Schutz der Protect Surface.
Gestalten der Zero-Trust-Netzwerkarchitektur:
Basierend auf diesen Flow-Maps sollten Organisationen ihre Zero-Trust-Architektur entwerfen. Dazu gehört die Identifikation von den Bereichen, in denen Mikroperimeter eingerichtet werden müssen, sowie die Segmentierung des Netzwerks durch physische oder virtuelle Gateways. Eine solche Architektur sorgt für optimierte und maßgeschneiderte Zugriffskontrollen für Benutzer und Anwendungen.
Erstellen automatisierter Zero-Trust-Richtlinien:
Die Durchsetzung von Zugriffskontrollen und Inspektionsrichtlinien erfordert präzise Regeln. Der Zugriff sollte strikt auf einem Need-to-Know-Prinzip basieren, also auf umfassender Kenntnis der bestehenden Berechtigungen. Diese werden streng kontrolliert, um das Risiko unautorisierter Zugriffe zu minimieren.
Beobachten und Warten des Netzwerks:
Zero Trust ist ein kontinuierlicher Prozess. Der gesamte Datenverkehr, sowohl intern als auch extern, muss protokolliert und überwacht werden. Sicherheitsanalysen gewährleisten Transparenz und identifizieren potentielle Bedrohungen in Echtzeit.

Die zentrale Rolle der Mikrosegmentierung. Mikrosegmentierung ist eine grundlegende Technologie des Zero-Trust-Sicherheitsmodells. Durch die Unterteilung des Netzwerks in kleinere, granulare Segmente wird der potenzielle Schaden von unvermeidlichen Breaches begrenzt.

Jedes Segment arbeitet unabhängig und beschränkt Interaktionen strikt auf das Notwendige. Der Zugriff wird infolge strenger Authentifizierung mithilfe vordefinierter Regeln gewährt. Diese granulare Kontrolle erhöht nicht nur die Sicherheit, sondern minimiert auch die Angriffsfläche. Falls ein Angreifer Zugang zu einem Segment erhält, bleibt ihm dennoch der Zugriff auf andere Bereiche des Netzwerks verwehrt und der Schaden wird eingedämmt.

Moderne Technologien wie Zero-Trust-Segmentierung (ZTS) machen die Implementierung von Zero Trust einfacher und schneller. Sie helfen Organisationen, ihre Netzwerke gezielt zu segmentieren und Sicherheitsrichtlinien effizient durchzusetzen. Mit ZTS können Organisationen Datenströme einfach erkennen und verstehen, den Zugriff gezielt einschränken und somit die Ausbreitung von Angriffen verhindern. Das Wichtigste dabei ist die Visibilität, mit der man die Kontrolle über alle Umgebungen hinweg behält. Die kontinuierliche Überwachung und Protokollierung des Datenverkehrs innerhalb und zwischen den Segmenten ermöglicht eine schnelle Erkennung von Anomalien und Sicherheitsvorfällen, und somit den gezielten Schutz kritischer Assets.

ZTS bietet zusätzlich Vorteile im Bereich Compliance, da es Unternehmen dabei unterstützt, regulatorische Vorgaben zu erfüllen. Zudem lässt sich der Datenfluss im Nachhinein zurückverfolgen, was insbesondere für Prüf- und Berichtsanforderungen von beträchtlicher Relevanz ist.

Die Zukunft von Zero Trust. Zero Trust ist kein Produkt, sondern ein Prozess. Es geht um inkrementelle aber wirksame Fortschritte – klein anfangen, die wichtigsten Assets schützen und darauf aufbauen. Unternehmen, die Zero Trust einführen, werden langfristig sicherer und resilienter.

Ein ganzheitlicher Ansatz, der Technologie, Prozesse und Menschen gleichermaßen einbezieht, führt zum Erfolg. Auf drei entscheidende Punkte sollten Organisationen in den kommenden Jahren achten:

Treffen schneller Entscheidungen:
Organisationen müssen agiler werden und in der Lage sein, schnelle Sicherheitsentscheidungen zu treffen. Angriffe können heute innerhalb von wenigen Minuten eskalieren.
Integrieren von regulatorischen Vorgaben:
Regulatorik wie NIS2 oder DORA wird die Implementierung von Zero Trust weiter vorantreiben. Organisationen, die also proaktiv handeln, werden nicht nur sicherer werden, sondern auch Compliance-Vorschriften einhalten können.
Fokussieren auf (Fort-)Bildung und Anreize:
Um intern auf breite Akzeptanz zu stoßen, müssen Organisationen und Unternehmen ihre Mitarbeiter und Entscheidungsträger kontinuierlich schulen und motivieren. Gamification-Ansätze oder Anreizsysteme, sogenannte Incentives, können hier innovative Methoden sein.

Zero Trust und insbesondere die Mikrosegmentierung sind keine vorübergehenden Trends, sondern längst unverzichtbare Bestandteile einer modernen Cybersicherheitsstrategie – das gilt branchenübergreifend, von der öffentlichen -Verwaltung über Finanzdienstleister bis hin zum Gesundheitswesen. Die zunehmende Zahl an Zero-Trust-Implementierungen zeigt, wie wirksam dieser Ansatz zur Abwehr moderner Cyberbedrohungen inzwischen ist. Und dank des schrittweisen Implementierungsmodells kann jede Organisation und jedes Unternehmen – unabhängig von Größe oder Komplexität – noch heute seine Zero-Trust-Reise starten [3].

John Kindervag,
Erfinder von Zero Trust
und Chief Evangelist
bei Illumio

[1] https://www.cisa.gov/sites/default/files/publications/Final Draft NSTAC Report to the President on Zero Trust and Trusted Identity Management.pdf

[2] https://www.illumio.com/de/resource-center/cost-of-ransomware

[3] https://www.illumio.com/solutions/zero-trust

Illustration: © Vs1489 | Dreamstime.com

1045 Artikel zu „Zero Trust „

News | IT-Security | Künstliche Intelligenz

Zero Trust gegen KI-basierte Cyberangriffe

12. August 2024

Das Thema künstliche Intelligenz ist weiterhin omnipräsent. KI wird ein ähnliches Potenzial nachgesagt wie der Dampfmaschine oder dem elektrischen Strom. Auch der Bereich der Cybersicherheit wird durch KI umgekrempelt. Insbesondere KI-basierte Angriffe und die beste Verteidigung dagegen stehen in vielen Diskussionen im Fokus. KI-basierte Angriffe sind sehr wahrscheinlich noch raffinierter, zielgerichteter und hartnäckiger als…

John Kindervag, Erfinder von Zero Trust und Chief Evangelist bei Illumio

[1] https://www.cisa.gov/sites/default/files/publications/Final Draft NSTAC Report to the President on Zero Trust and Trusted Identity Management.pdf

[2] https://www.illumio.com/de/resource-center/cost-of-ransomware

[3] https://www.illumio.com/solutions/zero-trust

1045 Artikel zu „Zero Trust „

John Kindervag,
Erfinder von Zero Trust
und Chief Evangelist
bei Illumio