Mit dem Modell \u201eZero Trust\u201c kann es gelingen, die Sicherheit ma\u00dfgeblich zu steigern: Das Sicherheitskonzept basiert auf dem Grundsatz, weder Ger\u00e4ten noch Nutzenden oder Diensten innerhalb sowie au\u00dferhalb des eigenen Netzwerks zu vertrauen. Im heutigen Beitrag werfen wir einen Blick auf die Funktionsweise des Zero Trust-Modells und stellen die Vorteile den Nachteilen gegen\u00fcber. Danach k\u00f6nnen Sie entscheiden, ob sich der Zero Trust-Ansatz f\u00fcr den Schutz Ihrer Unternehmensassets eignet.<\/p>\n
<\/p>\n
Das Zero Trust-Prinzip ist nicht neu, sondern der Begriff wurde 2010 von John Kindervag, seinerzeit Forrester-Analyst, gepr\u00e4gt. Bei Zero Trust handelt es sich keineswegs um ein Produkt, sondern vielmehr um eine Technologiephilosophie, eine Framework-Idee, die von Unternehmen implementiert werden kann. Das Credo von Zero Trust: \u201eVertraue niemandem blind\u201c \u2013 erst Verifikation kann Vertrauen schaffen.<\/p>\n
Unternehmen haben in dieser Welt voller Cyber-Sicherheitsbedrohungen viel zu stemmen: Mobile Arbeitspl\u00e4tze wie das Home-Office wollen genauso abgesichert sein wie die unternehmenseigenen Arbeitspl\u00e4tze und in beiden F\u00e4llen werden unz\u00e4hlige Ger\u00e4te und Anwendungen genutzt. Das Zero Trust-Modell setzt hier damit an, dass Anfragen selbst dann nicht automatisch als vertrauensw\u00fcrdig eingestuft werden, wenn sie aus dem Unternehmensnetzwerk kommen.<\/p>\n
Es werden also grunds\u00e4tzlich s\u00e4mtliche Elemente \u2013 alle Ger\u00e4te, Dienste, Anwendenden usw. \u2013 genauso behandelt, als k\u00e4men sie aus offenen und unsicheren Netzwerken: Man vertraut ihnen zun\u00e4chst nicht. Dem Zero Trust-Prinzip folgend, wird weder authentifizierten Nutzenden sowie Endger\u00e4ten noch VPN-Verbindungen getraut \u2013 auch wenn sie grunds\u00e4tzlich als sicher eingestuft werden. Denn automatisches Vertrauen w\u00fcrde das Risiko f\u00fcr Datenlecks immens erh\u00f6hen \u2013 eventuell ausgel\u00f6st von Unternehmensinternen, die sich ungepr\u00fcft und absolut uneingeschr\u00e4nkt durchs Netzwerk bewegen.<\/p>\n
Konkret bedeutet der Zero Trust-Ansatz:<\/p>\n
Um das Zero Trust-Modell erfolgreich umzusetzen, ist also das Zusammenspiel verschiedener Sicherheitsanwendungen notwendig: Neben den eben genannten drei Punkten sind auch Multi-Faktor-Authentifizierung, die Netzwerk- und Ger\u00e4te\u00fcberwachung sowie die Verhaltensanalyse und Automatisierung zu bedenken. Dennoch muss auch die User Experience stimmen, um Nutzende nicht dazu zu verf\u00fchren, die Sicherheit zu kompromittieren. Mittels IAM-L\u00f6sungen (Identity and Access Management) kann diese Gratwanderung gelingen.<\/p>\n
Korrekt implementierte Zero Trust-Modelle sind auf s\u00e4mtliche Verhaltensmuster sowie Datenpunkte abgestimmt, die den Alltag im Unternehmensnetzwerk darstellen. So gew\u00e4hren bzw. verweigern Zero Trust-L\u00f6sungen Zugriffsrechte auf Basis unterschiedlicher Parameter, etwa Uhrzeit, Standort, Betriebssystem, Endger\u00e4tetyp oder Firmware-Version. Spezielle Zero Trust-Tools erlauben fortgeschrittene Schutzma\u00dfnahmen.<\/p>\n
Um im Zero Trust-Modell Vertrauen zu erhalten, ist immer eine Risikoanalyse notwendig \u2013 bevor also Zugriffe auf IT-Ressourcen gew\u00e4hrt werden, muss vollst\u00e4ndig authentifiziert und autorisiert sein, weiter erfolgen Sicherheits\u00fcberpr\u00fcfungen bei Ger\u00e4ten und Anwendungen. Die Risikoanalyse muss Standorte, den Kontext von Verarbeitungen und Nutzende einbeziehen. Fallen beim Monitoring Anomalien auf, werden diese grunds\u00e4tzlich als Risiko eingestuft und mit vorher definierten Sicherheitsma\u00dfnahmen beantwortet.<\/p>\n
<\/p>\n
Der Hauptvorteil des Zero Trust-Prinzips liegt auf der Hand: Durch die Risikoreduktion f\u00fcr Angriffe verbessert sich die Cybersicherheit immens. Damit verbessern sich gleichzeitig der Datenschutz und die Datensicherheit.<\/p>\n
Allerdings zeigt die Praxis, in die wir oben lediglich kurz mit einigen Punkten zur \u00dcberlegung eingef\u00fchrt haben, dass Zero Trust derzeit leider noch eher Sicherheitsphilosophie ist als ein neuer Ma\u00dfstab in der Cybersicherheit. Etwaige Risiken und Funktionalit\u00e4ten lassen sich im Vorfeld nur schwer absch\u00e4tzen, was das Unternehmen vor unerwartete Herausforderungen stellen kann. M\u00f6glicherweise steigern sich damit die Kosten f\u00fcr die IT-Sicherheit und auch die Tatsache, dass die Systeme stetig \u00fcberwacht und gewartet werden m\u00fcssen, wird keine Kosten- und Aufwandsreduktion mit sich bringen.<\/p>\n
Interessant ist der Zero Trust-Ansatz allemal: Alles im und au\u00dferhalb des unternehmenseigenen Netzwerks hat sich vor dem Vertrauen zu verifizieren; gegebenenfalls auch wiederholt. Dass das unn\u00f6tige Netzwerkbewegungen eind\u00e4mmt und damit die Sicherheit immens verbessern kann, versteht sich. Jedoch ist der Aufwand zum erfolgreichen Implementieren des Zero Trust-Prinzips f\u00fcr die Mehrheit aller Unternehmen (noch) nicht umsetzbar, sodass es derzeit sinnvoll ist, sich mit dem Schutz von Identit\u00e4ten<\/a> zu befassen. Existieren in der Zukunft Zero Trust-L\u00f6sungen, die neben dem Schutz der Unternehmensassets auch Anwenderfreundlichkeit bieten k\u00f6nnen, lohnt sich ein n\u00e4herer Blick definitiv.<\/p>\n