Was ist Zero Trust und wie liefert es mehr Sicherheit im digitalen Zeitalter?

Digitales Business

Digitales Business

Datum 08.07.2022
Lesezeit 7 Min.

Was ist Zero Trust und wie liefert es mehr Sicherheit im digitalen Zeitalter?

Eine einfache Passwortüberprüfung – und schon besitzen Sie Zugang zu Ihren Daten oder Ihrem Online-Banking-Account? Das gehört häufig bereits der Vergangenheit an: Das Cybersecurity-Konzept „Zero Trust“ (wörtliche Übersetzung: Null Vertrauen) gestattet keinen pauschalen Zugang mehr zu Ressourcen oder Diensten. Stattdessen muss jeder Zugriff individuell authentifiziert werden, was für mehr Sicherheit sorgt. Daneben bringt Zero Trust auch mehr Kontrolle über die unternehmenseigene IT mit sich, weshalb viele Unternehmen bereits auf diese Lösung setzen.

Nach einer Studie von IDG planen immer mehr Unternehmen, ein Zero-Trust-Sicherheitsmodell zu nutzen: Rund 40 Prozent der befragten IT-Verantwortlichen haben Zero Trust bereits eingeführt. Insgesamt will mehr als die Hälfte aller Unternehmen künftig auf das Sicherheitsmodell setzen – zum Schutz gegenüber externen Cyberangriffen und auch als Maßnahme gegen interne Datenleaks (so genannter Zero Trust Network Access / ZTNA).

Was genau Zero Trust ist, welche Vorteile das Konzept mit sich bringt und wie Sie es am besten in Ihrem Unternehmen einführen können, erfahren Sie in diesem Artikel.

 

Was ist Zero Trust?

Der Login zu Ihrem Online-Banking-Account oder der Zugang zu Ihrem firmeneigenen Content-Management-System (CMS) erfordert beim Login möglicherweise bereits eine Multi-Faktor-Authentifizierung (MFA). Dies ist ein Beispiel für Zero Trust: User:innen müssen erst verifizieren, dass sie tatsächlich diejenigen sind, die sich einloggen wollen. Dazu kommt neben der Passworteingabe eine zusätzliche Methode zum Einsatz.

Ein Zero-Trust-Sicherheitssystem unterliegt also grundlegend der namensgebenden Prämisse „Vertraue niemandem“. Die Architektur von Netzwerkanwendungen ermöglicht keinem Akteur oder Dienst den pauschalen Zugriff auf Ressourcen. Selbst innerhalb des Systems erfordert jede Zugriffsanforderung eine separate Authentifizierung.

Dies steht im Gegensatz zum klassischen Sicherheitsansatz von (Unternehmens-)Netzwerken: Diese sahen früher lediglich die „Außengrenzen“, also die Barriere zu anderen Netzwerken, als sicherheitsrelevant an. Man spricht dabei vom „perimeterbasierten“ Ansatz der Cybersicherheit. Die Netzwerke bestehen zu diesem Zweck aus unterschiedlichen Bereichen: Auf der einen Seite Systeme, die Angriffe erkennen, zum Beispiel ein Intrusion-Detection-System; auf der anderen Seite Netzwerkschranken in Form einer Firewall.

Zero Trust hingegen bezeichnet man als „perimeterlos“, da dieses Prinzip keine einzelnen Grenzen definiert, an denen Sicherheitsvorkehrungen getroffen werden. Stattdessen überprüfen Security-Tools jeden einzelnen Datenstrom auf seine Vertrauenswürdigkeit – egal, wo er stattfindet. IT-Expert:innen nennen Zero Trust deshalb auch „datenzentrierten Ansatz“.

Das US-amerikanische National Institute of Standards and Technology (NIST) hat für Zero Trust drei wesentliche Prinzipien definiert:

 

Video: YouTube / Alex D

 

Zero Trust: So funktioniert das perimeterlose Sicherheitskonzept

Zero-Trust-Konzepte vertrauen keinem pauschalen Zugriff auf eine Ressource. Dadurch stehen sie im Gegensatz zu der weit verbreiteten Sicherheitslösung Virtual Private Network (VPN). Stattdessen ist das Sicherheitsmodell präzise auf die Verhaltensmuster und Rahmendaten abgestimmt, die ein Unternehmensnetzwerk erfordert.

Darunter fallen unter anderem folgende Kriterien beziehungsweise Datenpunkte:

  • Identität der Benutzer:innen
  • Art der Anmeldung (natürliche Person oder Anwendung)
  • Geographischer Standort
  • Uhrzeit
  • Gerätesicherheit
  • Art des Endgeräts
  • Betriebssystem

Die Abfrage dieser Kriterien erfolgt hochgradig automatisiert. Administrator:innen stellen die Zero-Trust-Architektur gewöhnlich im Rechenzentrum oder der Cloud eines Unternehmens bereit. Die zentralen Elemente sind dabei die Identitätsüberprüfung und Zugriffsverwaltung, deren wichtigste Elemente die folgenden darstellen:

  • Multi-Faktor-Authentifizierung: Ergänzend zu einem sicheren Passwort gibt es Geräte oder Einmalcodes zur Verifizierung der Identität der Nutzer:innen.
  • Adaptive Authentifizierung: Das Netzwerk stellt den Typ der Authentifizierung und den Zugriff auf Basis der Auswertung der oben angeführten Kriterien (Identität, Standort usw.) zur Verfügung.
  • Wiederholte Verifizierung und Validierung: Zero Trust überprüft die Datenpunkte der Nutzer:innen in Echtzeit und wiederholt diese Authentifizierung, Autorisierung und Validierung permanent.
  • Least-Privilege-Zugriff: Zero Trust gewährt einer Identität immer nur die niedrigste Zugangsstufe. Im Zusammenspiel mit anderen Sicherheitsmaßnahmen wie Netzwerk-Mikrosegmentierung und der adaptiven Authentifizierung begrenzt das Modell somit die Bewegungen einer Identität innerhalb des Netzwerks erheblich.
  • Single-Sign-On: Der Zugriff auf mehrere Anwendungen erfolgt zwar auf Basis eines gemeinsamen Satzes an Zugangsdaten, kann aber gezielt verwaltet und jederzeit verweigert werden.
  • Lifecycle-Management: Identitätsverzeichnisse optimieren den Workflow des On- und Offboardings von Mitarbeiter:innen durch Beurteilung und Verknüpfung.

 

Vodafone mobile Security

Vodafone mobile Security

Ransomware, Phishing, Smishing oder APT-Angriffe: Die möglichen Bedrohungen im IT-Umfeld sind sowohl was mobile als auch stationäre Geräte angeht, nicht zu unterschätzen.

Unser vierteljährlich erscheinendes eBook „Cyber Insights” liefert Ihnen alle neuesten Erkenntnisse und Innovationen zum Thema mobile Sicherheit.

 

Die Einführung der Zero-Trust-Architektur in Unternehmen

Zero Trust ist für Unternehmen und ihre digitale Geschäftsprozesse eine zeitgemäße Sicherheitsarchitektur, da sie auf externe und interne Bedrohungen für deren Daten reagiert. Sie wollen das perimeterbasierte Konzept innerhalb der IT-Struktur Ihres Unternehmens in eine Zero-Trust-Architektur umwandeln? Dazu sollten sie zunächst die nötigen Grundlagen schaffen. Denn eine einzelne Maßnahme reicht in der Regel nicht aus, da Zero Trust aus einer effektiven Kombination verschiedener Abwehrmechanismen besteht.

Ihr Unternehmens braucht eine Person, die die Richtlinien für Netzwerksicherheit regelmäßig auf Aktualität, Wirksamkeit und vor allem auf Schwachstellen überprüft. Daneben sollten Sie ohne Ausnahme auf eine Multi-Faktor-Authentifizierung (MFA) zurückgreifen – für sämtliche Geräte, die sich mit dem Netzwerk verbinden wollen. Zugriff dürfen nur diejenigen Geräte und Personen erlangen, die den definierten Sicherheitsstandards Ihres Unternehmens genügen.

Ihre Administrator:innen sollten außerdem die einzelnen Bereiche Ihres Unternehmensnetzwerks absichern: Netzwerksegmentierung, Mikrosegmentierung und Perimetersegmentierung sind dabei obligatorisch. Diese Abgeschlossenheit erfordern allerdings eine transparente Dokumentation, um bei einem Sicherheitsverstoß einen widerrechtlichen Zugriff auf Daten einzuschränken oder zu verhindern.

 

Enterprise Mobility Management

Enterprise Mobility Management

Verlorene oder gestohlene Geräte ganz einfach aus der Ferne löschen, Daten und Apps aus der Ferne aufspielen und alles von zentraler Stelle aus verwalten: Das und mehr bietet Enterprise Mobility Management. 

  • Zentrale Geräteverwaltung
  • Besserer Datenschutz
  • Individuelle Konfiguration

 

MFA – Multi-Faktor-Authentifizierung für höchste Sicherheitskontrolle

Eine Sicherheitsarchitektur nach Zero-Trust-Prinzip beinhaltet als einen der wichtigsten Bausteine eine Multi-Faktor-Authentifizierung. Erst dadurch gewährt Ihr Unternehmensnetzwerk bestimmten Benutzer:innen und Geräten Zugang – bei ständiger Wiederholung der Abfragekriterien an bestimmten Punkten innerhalb der Netzwerkstruktur.

Definieren Sie die Authentifizierungsfaktoren am besten danach, wie kritisch Ihre zu schützenden Unternehmensdaten sind. Neben den dabei üblichen Faktorenwie etwa Standort und Gerät können Sie weitere integrieren, zum Beispiel besondere Merkmale, Smart Cards oder Token.

 

IAM – Identity Access Management für mehr Rechtsstruktur

Zero Trust erfordert ein umfangreiches Identity Access Management (IAM): Damit Ihr Netzwerk Identitäten authentifizieren kann, müssen diese bekannt sein. Je mehr Authentifizierungsfaktoren es gibt, desto wichtiger ist eine transparente Plattform für das Identitätsmanagement. Gleichzeitig sollten Sie das IAM so flexibel und robust wie möglich anlegen, um komplexen IT-Umgebungen mit wechselndem Workload gerecht zu werden.

IAM-Systeme ermöglichen es Ihren Administrator:innen, die Rollen von Benutzer:innen nach Bedarf zu ändern. Sie können damit Zugriffsberechtigungen für Ihr gesamtes Unternehmen abbilden. Darunter fallen unter anderem Tools für das Passwort-Management, Apps zur Durchsetzung von Sicherheitsrichtlinien, Reporting- und Monitoring-Apps sowie Identity Repository (übersetzt: Speicher für Identitätsdaten).

IAM-Systeme sind neben On-Premise-Lösungen auch für cloud-basierte Anwendungen wie Microsoft 365 erhältlich.

 

PAM – Privileged Access Management für mehr Flexibilität

Privileged Access Management (PAM) reduziert für Ihr Unternehmen das Sicherheitsrisiko beim Datenzugriff durch Mitarbeiter:innen, Geschäftspartner:innen, Systeme und Dritte. PAM definiert, wer welchen Zugriff auf spezifische Ressourcen und Daten erhält. Damit stellt es einen sehr effektives Präventivsystem gegenüber Cybergefahren dar und gewährt darüber hinaus volle Kontrolle über und Flexibilität bei dessen Zugriffsauthentifizierungen.

PAM besteht nicht aus einem singulären Tool, sondern aus einer Kombination von Software, festgelegten Prozessen und deren Durchsetzung innerhalb der Authentifizierungsstruktur Ihres Unternehmens. Ausschließlich Personen mit privilegierten Accounts erhalten Zugriff auf die kritischsten Geschäftsdaten. Diese können Sie zudem permanent überwachen, um einen zusätzlichen Schutz für Ihre IT-Ressourcen zu garantieren.

Das Prinzip wird auch auf Anwendungen, Systeme und vernetzte Geräte angewendet: Das so genannte „Least-Privilege-Prinzip“ ermöglicht diesen ausschließlich den spezifischen Zugriff, um eine Ausgabe auszuführen – und nicht mehr als das.

 

Lookout: Die Sicherheitslösung für mobile Endgeräte

Lookout: Die Sicherheitslösung für mobile Endgeräte

Schützen Sie Ihre gemeinschaftlich genutzten mobilen Endgeräte ganz einfach mit der Lookout-App vor Cyber-Angriffen.

Installieren Sie einfach die Lookout-App auf allen mobilen Geräten Ihres Unternehmens. Oder integrierten Sie Lookout Advanced in Ihre bestehende Mobile Device Management Lösungen (EMM) und steuern somit den einfache Roll-Out in Ihre mobile Flotte.

 

Die Vorteile von Zero Trust

Zero Trust erhöht die Sicherheitsarchitektur eines Unternehmens enorm. Die perimeterlose Infrastruktur bietet Ihnen unter anderem folgende Vorteile:

  • nahezu vollständige Kontrolle über die Zuweisung und Definition von Berechtigungen Ihrer Firmen-Accounts
  • mehrstufige, redundante Gateways für den Zugang zu Daten
  • Kontrolle der Bewegungen im Netzwerk: Reduzierung des Risikos eines unbefugten Zugriffs auf Unternehmensressourcen
  • bessere Verteidigung gegenüber Ransomware, Malware, Phishing und anderen Bedrohungen
  • flexiblen Support für lokal, mobil und remote tätige Mitarbeiter:innen

 

Zero Trust: Das Wichtigste auf einen Blick

Zero Trust hat die perimeterbasierte Sicherheit von IT-Strukturen in Unternehmen bereits zum Teil abgelöst. Anstatt eines pauschalen Zugangs überprüfen Zero-Trust-Systeme die Authentifizierungen von User:innen permanent anhand unterschiedlicher Parameter, die Sie nach den Bedürfnissen des Unternehmens definieren können. Dabei spielt es keine Rolle, ob Ihre Daten und Ressourcen den Nutzer:innen on-premise oder in der Cloud zur Verfügung stehen.

Für die Umsetzung von Zero Trust sind eine Multi-Faktor-Authentifizierung (MFA) und das Identity Access Management (IAM) unabdingbar: Erst durch diese Techniken können Sie ein perimeterbasiertes Sicherheitskonzept in ein perimeterloses Zero-Trust-Modell umwandeln. Diese Veränderung geht nicht mit einer einzelnen Maßnahme einher; stattdessen sollten Sie die Sicherheit in Ihrem Unternehmen besser schrittweise erhöhen.

Wenn Sie Zero Trust erfolgreich etabliert haben, ist Ihre Unternehmens-IT besser vor Angriffen aus dem Internet geschützt. Gleichzeitig besitzen Sie deutlich mehr Kontrolle zur Begrenzung von Zugangsberechtigungen. Außerdem haben Sie vielfältige Möglichkeiten zur Schadensbegrenzung, falls es doch einmal zu einem unbefugten Zugriff kommt.

 

 

Planen Sie die Umstellung von einer traditionellen Sicherheitsarchitektur auf ein Zero-Trust-Modell? Lassen Sie es uns in den Kommentaren wissen.


Ihre Digitalisierungs-Berater:innen für den Mittelstand

Sie haben Fragen zur Digitalisierung? Unser Expert:innen-Team hilft Ihnen kostenlos
und unverbindlich im Chat (Mo.-Fr. 8-20 Uhr). Oder am Telefon unter 0800 5054512

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Facebook Twitter WhatsApp LinkedIn Xing E-Mail