Zero Trust: Gesundes Misstrauen oder paranoide Überwachung?
Immer mehr Organisationen setzen auf eine Zero-Trust-Architektur (ZTA), um die Risiken von Cyber-Angriffen zu minimieren. Wir fassen für dich die wichtigsten Prinzipien des Sicherheitskonzepts zusammen und gehen der Frage nach, warum der Ansatz so populär ist.
Zero Trust Security (auch bezeichnet als „Perimeterless Security“) ist ein wichtiger Ansatz der Cybersicherheit, der bei der Absicherung von Unternehmensnetzwerken zunehmend an Bedeutung gewinnt. Die Kernidee ist einfach: Niemals vertrauen. Immer prüfen. Und zwar unabhängig davon, ob es sich um Benutzer, Geräte oder Anwendungen handelt. Ein ausgeprägtes Misstrauen soll dabei helfen, die Sicherheit nachhaltig zu erhöhen.
Dezentralisierung von IT-Umgebungen als Treiber für Zero Trust
Der Aufschwung von Zero-Trust-Architekturen hängt eng damit zusammen, dass die Komplexität von IT-Umgebungen in den letzten Jahren drastisch zugenommen hat. Während klassische Umgebungen eher einen zentralen und homogenen Charakter hatten, sind heutige IT-Umgebungen wesentlich dezentraler und heterogener strukturiert. Sie bestehen aus mehreren miteinander verbundenen Netzwerk-Zonen sowie Cloud-Diensten und -Infrastrukturen. Allein der Trend zu mobilem Arbeiten und Home Office hat zu großen Veränderungen geführt.
Traditionelle Sicherheitsansätze reichen daher oft nicht mehr aus. Klassischerweise konzentriert man sich bei der Netzwerk-Sicherheit darauf, den Zugang von außen nach innen zu kontrollieren. Du kannst dir das vorstellen wie einen großen Zaun, der um ein Festival-Gelände gespannt ist. Wer die Einlasskontrolle passiert hat, kann sich frei auf dem Gelände bewegen und ohne weitere Kontrollen die verschiedenen Bühnen besuchen.
Der Zero-Trust-Ansatz hingegen verzichtet vollständig auf die Idee eines vertraulichen Bereichs, in dem sich die Nutzer bewegen. Vor jeder Bühne erfolgt eine Einlasskontrolle. So wird zum Beispiel verhindert, dass Personen, die über den Zaun geklettert sind und das Festivalgelände nicht über die reguläre Einlasskontrolle betreten haben, unbefugt Zugang zum Bühnengeschehen erhalten.
Die wichtigsten Zero Trust-Prinzipien
Zero-Trust-Architekturen bieten viele Vorteile gegenüber herkömmlichen Netzwerk- und Sicherheitsarchitekturen. Sie erhöhen die Sicherheit und Transparenz, schützen vor Insider-Bedrohungen, und helfen durch die Zugriffsprotokollierung dabei, regulatorische Anforderungen zu erfüllen. Der Ansatz erfordert in vielen Bereichen der IT-Security aber auch ein Umdenken.
Ausgehend von der Grundidee ist das Sicherheitskonzept von folgenden wesentlichen Prinzipien geleitet:
Kontrolle statt Vertrauen
Sämtliche Benutzer, Geräte und Anwendungen werden als potenzielle Sicherheitsrisiken betrachtet und behandelt.
Minimale Berechtigungen
Benutzer bekommen die geringstmöglichen Zugriffsrechte, um ihre Aufgaben ausführen zu können.
Kontinuierliches Monitoring
Die Identität und der Status von Benutzern und Geräten wird ständig überwacht – auch nach bereits erfolgreicher Authentifizierung.
Netzwerk-Segmentierung
Das Unternehmensnetzwerk wird in kleine isolierte Bereiche unterteilt, auch bezeichnet als Mikrosegmentierung. Ein kompromittiertes Segment gefährdet dadurch nicht gleich das ganze Netzwerk.
Zugriffskontrolle auf Ressourcenebene
Mit strenger Authentifizierung und Autorisierung wird der Zugriff feingranularer geregelt – und zwar auf Ebene einzelner Ressourcen.
Wie die Umsetzung von Zero Trust gelingt
Die Einführung von Zero Trust erfordert technische und organisatorische Veränderungen auf mehreren Ebenen. Mittlerweile gibt es eine Reihe von Standards, die als Leitplanken dienen und eine strukturierte Einführung erleichtern. Die NIST-Richtlinie zu ZTA enthält beispielsweise detaillierte Beschreibungen der Prinzipien und fasst Empfehlungen für die Umsetzung zusammen. Das CISA-Reifegradmodell für Zero Trust hilft Organisationen dabei, den Stand ihrer Umsetzung zu bewerten.
In der Praxis sind in der Regel folgende Umsetzungsschritte nötig:
Bestandsaufnahme
Im Rahmen einer Inventarisierung wird geprüft, welche Benutzer, Geräte, Anwendungen und Daten zu berücksichtigen sind. Eine Risikobewertung hilft dabei, Schwachstellen zu identifizieren, die im Rahmen der Umstellung adressiert werden können.
Identitäts- und Zugriffsmanagement (IAM)
Ein starkes Identitäts- und Zugriffsmanagement ist eine Schlüsselkomponente des Zero Trust-Ansatzes. Eine wichtige Aufgabe in diesem Bereich ist die Konfiguration minimaler Berechtigungen. Auch die Einführung von Multifaktor-Authentifizierung zahlt auf die Ziele von Zero Trust ein.
Netzwerksegmentierung
Die Aufteilung des Netzwerks in kleine isolierte Segmente erleichtert es, den Datenverkehr zu kontrollieren und zu überwachen. Außerdem wird dadurch die Angriffsfläche verringert.
Automatisiertes Monitoring
Mit Hilfe spezieller Tools lassen sich der Netzwerkverkehr überwachen und Anomalien erkennen. Dazu gehören beispielsweise auch Tools rund um Endpoint Detection and Response (EDR), die Endgeräte kontinuierlich überwachen und Bedrohungen erkennen. Mittlerweile bietet der Markt zudem spezielle Zero Trust Network Access (ZTNA) Lösungen, die jeweils verschiedene Funktionalitäten zur Umsetzung eines Zero Trust-Netzwerks bündeln.
Mitarbeiterschulungen
Zero Trust bringt einen Paradigmenwechsel mit sich, der in der Organisation verankert werden muss. Neben der Erstellung neuer Sicherheitsrichtlinien sind Schulungen nötig, um Mitarbeiter zu sensibilisieren und mit den neuen Sicherheitspraktiken vertraut zu machen.
Fazit
Je stärker die IT-Landschaft eines Unternehmens auf dezentrale und cloudbasierte Strukturen setzt, desto wichtiger wird der Einsatz von Zero-Trust-Architekturen. Das Sicherheitskonzept erschwert es Angreifern deutlich, ein Netzwerk vollständig zu kompromittieren und erhöht damit die Cyberresilienz der Organisation. Die Umsetzung von Zero Trust erfordert technische und organisatorische Maßnahmen, die individuell auf die Ausgangssituation des Unternehmens abgestimmt sein müssen.
Weiter Infos zum Thema Cybersecurity:
IT-Sicherheit für Unternehmen
Cyber Secutity Operations Center – die Sicherheitszentrale für mittelständische Unternehmen
Wir beantworten gerne alle Fragen.
Kontaktiere uns über das untenstehende Formular oder auch unter +43 5 9555
und office@techbold.at. Unsere vollständigen Adressdaten findest du hier
Wir benötigen deine Zustimmung, um das Formular laden zu können.
Mehr Informationen
Evelyn Heinrich
Head of Account Management
oder ein Account Manager aus ihrem Team melden sich umgehend.