Zero Trust Security, eine alternative Architektur für IT-Sicherheit, beruht auf dem Prinzip „vertraue niemals, verifiziere stets“. Seitdem hat Zero Trust Security einen langen Weg zurückgelegt.
Jedes Unternehmen und jeder Einzelne ist heute angesichts unserer großen Abhängigkeit vom Internet gefährdet. Wir sind dem Internet in hohem Maße ausgesetzt. Daher müssen Unternehmen, unabhängig von ihrer Größe, ihre Sicherheitsmaßnahmen erhöhen, um die Gefahren der Cyberkriminalität zu bewältigen.
In den vergangenen Jahren hat sich eine große Mehrheit dazu entschlossen das Zero-Trust-Sicherheitsmodell einzusetzen, um das Abgreifen von sensiblen Daten zu verhindern und um sich in einem Klima wachsender Cyber-Bedrohungen entsprechend zu wappnen.
Es besteht ein wachsender Bedarf an einer Zero-Trust-Strategie, um Verletzungen von Kundendaten, den unsicheren Austausch von E-Mails oder falsch konfigurierten und ungeschützten Cloud-Diensten zu verhindern und somit die Datenschutzrichtlinien ganzheitlich einzuhalten. Dieser Trend wird sich fortsetzen, da Cloud Computing und Integrationen wie das Internet of Things (IoT) immer weiter durchsetzen werden.
Mittlerweile verwaltet ein großer Anteil der Unternehmen oder der Privatpersonen ihre Daten in der Cloud, als auf privaten Unternehmensservern oder Verbrauchergeräten. Eine Zero Trust Security Strategie wird deshalb benötigt, da weniger als einer von zehn Cloud-Anbietern die Daten verschlüsselt, die in seinem Dienst ruhen. In ähnlicher Weise verhält es sich in etwa jedem dritten Netzwerk dessen Passwörter offengelegt sind, während drei von vier Netzwerken den Zugriff auf Konten nicht ausreichend genug kontrollieren.
Es wird immer deutlicher, dass Netzwerksicherheit zwar wertvoll ist, jedoch mehr Schutz für sensible Daten benötigt wird und auch interne Bedrohungen stärker berücksichtigt werden müssen. Weshalb Zero Trust Security bestens dafür geeignet ist solche Sicherheitslücken zu schließen, erläutern wir in den folgenden Kapiteln dieses Beitrags
Was ist Zero Trust?
Es gibt viele, manchmal widersprüchliche, Definitionen von Zero Trust. Vereinfacht ausgedrückt ist Zero Trust Sicherheit genau das, wonach es klingt: Es ist eine Richtlinie, die Null Vertrauen gegenüber allen Benutzern, Providern und dem Netzwerkverkehr aufrechterhält – auch innerhalb des Netzwerks.
Es handelt sich jedoch nicht um eine Reihe spezifischer Tools oder eine Art von Sicherheitstechnologie. Es handelt sich um eine Cybersicherheitsstrategie – eine Denkweise, die als Grundlage für moderne Sicherheit dient. Bei Zero Trust Richtlinien nehmen Unternehmen Netzwerkverletzungen als gegeben hin und gehen davon aus, dass alle Aktivitäten bösartig sind. Zero Trust stellt die Frage: Wie kann ich meine Assets am besten schützen, wenn ich dem Netzwerk selbst nicht vertrauen kann?
Traditionelle Netzwerksicherheit basiert auf einer sicheren Umgebung. Alles, was sich innerhalb der Umgebung befindet, ist vertrauenswürdig, alles, was sich außerhalb der Umgebung befindet, nicht. Ein Zero-Trust-Netzwerk behandelt den gesamten Datenverkehr als nicht vertrauenswürdig und schränkt den Zugriff auf sichere Geschäftsdaten und sensible Ressourcen so weit wie möglich ein, um das Risiko von Sicherheitsverletzungen zu reduzieren und den Schaden zu mindern.
Alle Benutzer, Plattformanbieter und der Netzwerkverkehr werden im Rahmen der Zero Trust Security als potenzielle Bedrohungen behandelt, sodass zusätzliche Maßnahmen zur Risikominderung erforderlich sind. Einfach ausgedrückt bedeutet Zero Trust, dass nur der Ersteller der Inhalte und der autorisierte Empfänger Zugriff auf die sensiblen Inhalte haben [1].
Zero Trust Netzwerksicherheit: Die Grundlagen
Unternehmen schützten Computer mit einer Art Umgebungssicherheit, lange bevor sie miteinander vernetzt wurden. Unternehmen mit Mainframes konnten diese schützen, indem sie einfach kontrollierten, wer Zugang zu dem Raum hatte, in dem sie installiert waren. Sobald sie einen Benutzer authentifiziert hatten (d. h. sichergestellt hatten, dass er das Recht hatte, dort zu sein), konnten sie ihm den Zugriff auf Daten, Programme usw. anvertrauen.
Als Unternehmen begannen, Netzwerke miteinander zu verbinden, setzten sie immer ausgefeiltere Techniken zur Zugriffskontrolle ein. Mit Logins und Passwörtern konnten Benutzer für ihre Handlungen in frühen Computernetzwerken, die Regierungen und akademische Forscher miteinander verbanden, zur Rechenschaft gezogen werden. Es wurde jedoch bald klar, dass die Computer anfällig für Angriffe waren. Ingenieure entwickelten Firewalls, um den Datenverkehr in und aus Netzwerken zu filtern, Multi-Faktor-Authentifizierung und andere Sicherheitsmaßnahmen in Unternehmen, um nicht autorisierte Benutzer fernzuhalten. In diesem Kontext spielt die Zero Trust Security eine essenzielle Rolle.
Denn im Cloud-Zeitalter reicht die Umgebungssicherheit oder Perimeter Sicherheit nicht mehr aus, da Netzwerke fließend sind. Wenn Sie sich beispielsweise mit Ihrem Telefon in ein Unternehmensnetzwerk einloggen, durchläuft Ihr Datenverkehr einen Mobilfunkmast oder WiFi und mehrere Server, bevor er das Netzwerk erreicht. Wenn einer dieser Server defekt ist, Ihr Telefon mit einem Virus oder einer bösartigen App infiziert ist oder ein Hacker Zugriff auf Ihr WLAN hat, gewährt man diesem Hacker Zugriff und gefährdet somit die Sicherheit. Ein Zero Trust-Netzwerk mindert dieses Risiko, indem es den gesamten Netzwerkverkehr als nicht vertrauenswürdig behandelt.
Warum Zero Trust Security einsetzen?
Wenn in der Vergangenheit ein Mitarbeiter sensible Daten ausspionierte, konnten Unternehmen die Bedrohung durch Zugangsbeschränkungen, Sperren von physischen Zugangspunkten für diejenigen, die mit dem Netzwerk verbunden waren, bewältigen. Aber im modernen Zeitalter der Cloud, des Internet of Things, der Smartphones und einer geografisch verteilten Belegschaft verschwimmen die Grenzen immer mehr und die Sicherheit ist ständig gefährdet. Die Systeme werden anfälliger und Angreifer erhalten mehrere Einstiegspunkte.
Das Zero-Trust-Sicherheitsframework geht die Bedrohung im großen Stil an, indem sie sich auf die so genannte laterale Bewegung fokussiert. Damit sind im Wesentlichen die Methoden gemeint, auf die Angreifer zurückgreifen, um sich auf der Suche nach wertvollen Assets und Daten, durch ein Netzwerk zu bewegen. Der Punkt der Infiltration ist nicht notwendigerweise das Ziel; das bedeutet, dass der Angreifer sich seitlich bewegen muss, um schließlich den Ort der Daten zu erreichen, die der Angreifer stehlen möchte. Unternehmen schränken den Datenzugriff ein, um die Bewegungsfreiheit einzuschränken.
So erhält das Vertriebsteam keinen Zugriff auf Finanzdaten, die Personalabteilung hat keinen Zugriff auf Vertriebs- und Kundendaten und so weiter. Allerdings können diese Beschränkungen die Cyber-Bedrohung nur einschränken, aber nicht vollständig stoppen. An dieser Stelle kommt die Zero Trust Architektur ins Spiel.
Implementierung des Zero Trust Sicherheitsmodells
Wie beginnen Sie also diesen Prozess und führen das Zero-Trust-Modell ein? Hier ist eine Aufschlüsselung der wichtigsten Schritte:
- Überprüfen Sie Ihre Datenbestände.
- Identifizieren Sie die Daten, die zusätzliche Sicherheit benötigen.
- Beschränken Sie den Benutzerzugriff, beginnend mit den Daten mit dem höchsten Risiko.
Risikoanalyse – Bevor Sie sich entscheiden, die letzte Verteidigungslinie, d.h. den privilegierten Zugang, zu sichern, müssen Sie eine gründliche Risikoanalyse durchführen, um zu verstehen, warum Sie Zero Trust Security benötigen. Eine programmatische Risikobewertung der Art und Weise, wie Unternehmen den Zugriff kontrollieren, kann ein pragmatischer Ansatz zur erfolgreichen Implementierung des Zero Trust Modells sein.
Identifizieren Sie den Datenverkehr – Im Rahmen von Zero Trust sollten Sie den Datenfluss abbilden, verstehen, wer die Benutzer sind und die von ihnen verwendeten Anwendungen untersuchen. Sichern Sie den Datenzugriff auf Basis von Benutzer und Standort und setzen Sie den am wenigsten privilegierten Zugriff ein. Der Weg des privilegierten Zugriffs muss jederzeit überwacht werden, um Angreifer daran zu hindern, ihre Kontrolle und ihren Zugriff zu erweitern.
Sichern Sie Tier 0-Assets mit mehrstufiger Authentifizierung – Dies sind die sensibelsten Assets im Kontext von Zero Trust, da sie Identitäten, Domain-Controller und verwandte administrative Funktionen kontrollieren, die fatale Auswirkungen haben können, wenn sie in irgendeiner Weise kompromittiert werden. Der Zugriff auf kritische Assets und Ressourcen sollte über eine Genehmigung durch den Manager und eine mehrstufige Authentifizierung erfolgen. Tier-1-Ressourcen wie Server und Anwendungen sollten in ähnlicher Weise geschützt werden, auch wenn temporärer Zugriff auf Anwendungen von Drittanbietern oder externen Anbietern gewährt wird.
Sobald das Zero Trust Modell in Ihrem System verankert ist und von Ihrer IT-Abteilung vollständig übernommen wurde, können Sie damit beginnen, Ihre Sicherheit mit Identitäts- und Gerätetechnologien zu erweitern, die eine bessere Zugriffsentscheidung ermöglichen. Verschlüsselungsdienste auf Datenebene, die eine granulare Zugriffskontrolle beinhalten, sind der Höhepunkt der Zero Trust Sicherheit, da sie die Sicherheitsgrenzen bis auf die Mikroebene reduzieren und jedes Datenobjekt in seine eigene Sicherheit einhüllen.
Von dort aus können Sie beginnen, über Zero Trust hinauszugehen und Ihren Schutz auf die nächste Stufe zu heben: Zero Knowledge. Zero Knowledge entfernt das Vertrauen sogar von Ihren Sicherheits- oder Plattformanbietern, indem es Ihre Verschlüsselungsschlüssel von den verschlüsselten Daten trennt. Wenn z. B. Ihr E-Mail-Anbieter auf Ihre verschlüsselten E-Mail-Inhalte zugreifen kann, aber ein Dienst Ihre Verschlüsselungs-Keys verwaltet, kann keiner der beiden Anbieter Ihre Daten sehen. Sie profitieren von allen Vorteilen der Cloud-Technologie und haben gleichzeitig die Gewissheit, dass nur die richtigen Benutzer auf Ihre Daten zugreifen können.
Durch die Konzentration auf Zero Trust Security können Unternehmen die Unzulänglichkeiten von Perimeter-basierten Ansätzen überwinden und ihre Sicherheitslage mit einer Ende-zu-Ende-Verschlüsselung weiterentwickeln. Wenn sich die Vorteile der datenzentrierten Sicherheit durchsetzen, sind Unternehmen in der Lage, den Wechsel zu einer standardmäßig sicheren Zukunft zu vollziehen.
Vorteile von Zero Trust
Die überwiegende Mehrheit der Unternehmen ist sich des Bedarfs an erhöhter Sicherheit bewusst. Zero Trust bietet einen Rahmen für Sicherheitsupdates und Modernisierungsmaßnahmen und hilft Ihnen dabei, Prioritäten zu setzen, welche Schritte am wichtigsten sind, und einen datenzentrierten Schutz einzubauen.
Zero Trust erfordert eine granulare Sichtbarkeit. Die Implementierung eines Zero Trust Frameworks erhöht also nicht nur die Sicherheit, sondern unterstützt auch Ihre Bemühungen um Datenmanagement und -zugriff, indem es die Sichtbarkeit in verbundene Endpunkte und Netzwerke bietet.
- Wo sich alle Ihre Daten derzeit befinden.
- Wie ihr aktueller Schutz aussieht.
- Wer Zugriffsrechte für diese Daten hat – und ob sie es sollten.
- Welche Geräte die Daten sehen können.
- Wer tatsächlich auf diese Daten zugreift.
Von dort aus können Sie eine Risikobewertung für Ihre Daten erstellen und die Sicherheit bei Bedarf erhöhen. Mit anderen Worten: Durch die Einführung von Zero Trust Sicherheitsmethoden werden Sie standardmäßig Ihre aktuellen Datenpraktiken überprüfen und die wichtigsten nächsten Schritte festlegen. Sie werden auch die Benutzeraktivitäten im Zusammenhang mit diesen Daten identifizieren und sie bei Bedarf einschränken. Dieses erhöhte Bewusstsein und bessere Verwaltungsrichtlinien sind ein unschätzbarer Vorteil des Zero Trust Ansatzes.
Trotz der Risiken ist die Cloud weitaus effizienter für die Zusammenarbeit und dynamische Benutzerbasen. Zero Trust hilft Ihnen, die Vorteile der Cloud zu nutzen, ohne Ihr Unternehmen einem zusätzlichen Risiko auszusetzen. Wenn beispielsweise Verschlüsselung in Cloud-Umgebungen verwendet wird, greifen Angreifer verschlüsselte Daten häufig über den Schlüsselzugriff an und nicht durch das Brechen der Verschlüsselung, weshalb die Schlüsselverwaltung von größter Bedeutung ist.
Selbst wenn ein Cloud-Anbieter beispielsweise eine Ende-zu-Ende-Verschlüsselung anbietet, kann er auch die Schlüssel verwalten und Zugriff darauf haben, was immer noch ein gewisses Maß an externem Vertrauen erfordert. Ein Zero Trust Ansatz für die Schlüsselverwaltung würde stattdessen erfordern, dass eine Organisation ihre eigenen Schlüssel verwaltet und den Zugriff von Drittanbietern auf die Cloud verhindert.
Es ist ein Irrglaube, dass eine Umstellung auf Zero Trust eine erhebliche Belastung für Ihre Ressourcen darstellt, da sie die Entfernung älterer Infrastruktur erfordert. Daher ist es kein Wunder, dass die meisten Unternehmen diese Strategie aufgrund der vermeintlichen Kosten nicht übernehmen. Zero Trust trägt jedoch dazu bei, Ihr Risiko – und Ihre Sorgen – zu verringern, ohne dass dafür erhebliche Technologiekosten anfallen. Dies ist besonders für Unternehmen relevant, die mit veralteten IT-Systemen zu kämpfen haben, die ohne viel Sicherheit und granulare Zugriffskontrolle innerhalb des Netzwerks aufgebaut wurden.
Indem Sie mit Ihren sensibelsten Daten beginnen, können Sie Ihre Sicherheitsupdates mit einfachen Schritten wie der Segmentierung Ihrer wertvollen Informationen und Anwendungen priorisieren. Der Fokus auf den Schutz Ihrer kritischsten Daten hilft dabei, den Wechsel zu Zero Trust leichter zu vollziehen – sowohl in Bezug auf die Kosten als auch auf den Zeitaufwand.
Dieser Ansatz – der „Crawl, Walk, Run“-Stil der Zero Trust Security – bedeutet, dass Sie in der Lage sind, Ihre Investitionen in neue Technologien zu begrenzen oder zu strecken. Anstatt ein komplett neues Sicherheitssystem für alle Ihre Daten zu kaufen, können Sie Ihre alten Systeme mit neuen Prozessen und Tools erweitern.
Zero Trust Security zusammengefasst
Eine Zero Trust-Sicherheitsarchitektur erfordert eine neue Denkweise. Sie müssen jede Aktivität – sowohl von Menschen als auch von Maschinen – im Auge behalten, um Risiken zu erkennen und zu mindern.
Die von Ihnen platzierten Kontrollen können Isolationsebenen zwischen den Endpunkten schaffen und anschließend sichere Verbindungen innerhalb des Unternehmens ermöglichen. Zero Trust sollte von allen als Ethik und Geschäftspraxis angenommen und in allen Funktionen und Netzwerken implementiert werden.
