Alle 14 Tage aktuelle News aus der IT-Szene >
Vertraue niemandem, nicht einmal dir selbst! Das Zero Trust-Konzept stellt traditionelle Sicherheitsstrukturen auf den Kopf.
Foto: energepic.com/Pexels
Der Zero Trust-Ansatz basiert auf dem Grundsatz, keinem Nutzer, Gerät oder Service zu vertrauen – sowohl innerhalb als auch außerhalb des eigenen Netzwerks.
Moderne Unternehmen werden zunehmend mobil: Die Mitarbeitenden greifen über die unterschiedlichsten Geräte von außerhalb des Firmennetzwerks auf Anwendungen und Cloud-Services zu. Nach wie vor verfolgen die meisten Organisationen das Prinzip „Erst bestätigen, dann vertrauen“. Das heißt, wenn jemand die richtigen Nutzeranmeldedaten hat, darf er auf Website, App oder Gerät zugreifen. Dies führt allerdings zu erhöhten Sicherheitsrisiken durch Datendiebstahl, Malware- und Ransomware-Angriffe. Heutzutage muss der Schutz innerhalb digitaler Infrastrukturen jedoch dort ansetzen, wo sich Anwendungen, Daten, Nutzer und Geräte befinden.
Hier kommt das Zero-Trust-Konzept ins Spiel. Im Gegensatz zu traditionellen IT-Security-Ansätzen wird hier bereits vor dem Zugriff auf eine Ressource überprüft, ob die notwendigen Berechtigungen vorhanden sind. Diese „Vertraue-niemandem-Philosophie“ stellt die Daten selbst in den Fokus, setzt auf ein kontinuierliches Monitoring der Zugriffe und hat sich so zum Königsweg moderner Sicherheitsarchitekturen gemausert.
Das bestätigt auch Roman Oberauer, Country Managing Director für Österreich beim IT-Dienstleister NTT: „Eine hundertprozentige Sicherheit gibt es nie, aber der Zero-Trust-Ansatz hat sich als eine der effektivsten Strategien im Bereich der Cybersecurity etabliert.“ Das Konzept bricht dabei mit vielen tradierten Annahmen und die Implementierung sei sicher kein Projekt, das sich nebenbei umsetzen lässt, so Oberauer weiter, „aber es zahlt sich auf alle Fälle aus, hier Zeit und Ressourcen zu investieren. Wird Zero Trust professionell implementiert, können Eindringlinge effizient erkannt und abgewehrt werden. Im Kampf gegen professionelle Cyberangriffe, bei denen herkömmliche IT-Sicherheitskonzepte inzwischen versagen, lohnt sich die Investition in Zero-Trust-Maßnahmen, um langfristig Kosten zu sparen und den Betrieb des Unternehmens aufrechtzuerhalten.“
Was unterscheidet Zero Trust von herkömmlichen Sicherheitsarchitekturen? Bei Zero Trust handelt es sich nicht um eine Lösung von der Stange, sondern um einen Ansatz beim Entwerfen und Implementieren der folgenden Sicherheitsprinzipien: Explizite Verifizierung, Beschränkung der Zugriffsrechte inklusive risikobasierter, adaptiver Richtlinien sowie Minimierung der Auswirkungen, wenn es dann doch mal zu einem Sicherheitsvorfall kommt. Anstatt zu glauben, dass alles hinter der Firewall sicher ist, wird beim Zero-Trust-Modell standardmäßig von einer Sicherheitsverletzung ausgegangen und jede Anforderung so überprüft, als stamme sie von einem nicht kontrollierten Endgerät.
Bei der Implementierung eines entsprechenden Frameworks kommen Technologien wie risikobasierte Multi-Faktor-Authentifizierung, Identitätsschutz, Endgerätesicherheit der nächsten Generation sowie robuste Cloud-Workload-Technologie zum Einsatz, um die Benutzer- oder Systemidentität zu überprüfen, den Zugriff zum jeweiligen Zeitpunkt abzuwägen und so die Sicherheit aufrechtzuerhalten. Darüber hinaus werden auch Überlegungen hinsichtlich der Verschlüsselung von Daten sowie der Kontrolle der IT-Hygiene von Assets und Endgeräten angestellt, bevor eine Verbindung zugelassen wird.
Worauf müssen Unternehmen bei der Umsetzung achten? Zero Trust ist ein Framework, das viele Formen annehmen kann und dessen erfolgreiche Umsetzung etwas Zeit in Anspruch nimmt. Entscheidend ist eine gute Planung: Bei der Entwicklung müssen Sicherheits- und IT-Teams strategisch denken. Was soll geschützt werden und vor wem soll es geschützt werden? Die konkrete Gestaltung der Architektur hängt von den Antworten auf diese beiden Fragen ab. Entsprechend hat sich der Ansatz am effektivsten erwiesen, die gewählte Zero-Trust-Strategie – und nicht etwa die Technologien und Prozesse – als Grundlage zu betrachten, auf der die Sicherheitsarchitektur aufbaut.
Sind die bisherigen Investitionen vergeblich gewesen? Unternehmen haben im Laufe der Jahre teils erhebliche Summen in IT-Sicherheit investiert. Für die Implementierung einer Zero-Trust-Architektur ist es keineswegs erforderlich, vorhandene Technologien vollständig zu ersetzen oder enorme Investitionen in neue Technologien vorzunehmen. Stattdessen sollten bei der Planung bereits vorhandene Sicherheitspraktiken und -tools einbeziehen.
Viele Organisationen verfügen bereits über die notwendige Basis für eine Zero-Trust-Architektur. Das umfasst unter anderem Identitäts- und Zugriffsmanagement, Autorisierung, automatisierte Richtlinienentscheidungen, Patching von Ressourcen, kontinuierliches Monitoring durch Protokollierung und Analyse von Transaktionen, weitestgehende Automatisierung von wiederholbaren, fehleranfälligen Aufgaben sowie Verhaltensanalysen und Threat Intelligence für einen besseren Schutz von Assets. Darauf aufbauend wird eine umfassende Zero-Trust-Architektur realisiert.
Link: