Anzeige

Cyber Security

Zero Trust – Ein Konzept auf dem Prüfstand: Fragen an Dan Conrad, One Identity.

Wie funktioniert ein Zero-Trust Sicherheitsmodell und was ist darin enthalten?

Dan Conrad: Die Unternehmens-Perimeter haben sich drastisch verändert. Die komplette Belegschaft oder zumindest  der überwiegende Teil arbeitet zeitweise remote und im Home Office. Firewalls und VPNs reichen unter diesen Bedingungen nicht mehr aus. Anstatt sich weiterhin auf netzwerkbasierte Sicherheit als erste Verteidigungslinie zu verlassen, sollten Unternehmen die Identität zu ihrem neuen Perimeter machen. Zero Trust tut genau das und stellt Identitäten in den Mittelpunkt. Die Philosophie dahinter: Unternehmen sollten nicht automatisch allem und allen in ihrem Netzwerk vertrauen - vom Benutzer bis hin zu sämtlichen Anwendungen. Das Zero-Trust-Konzept verlangt, alle Benutzer innerhalb eines Unternehmens zu authentifizieren und zu autorisieren, bevor ein Zugriff gewährt wird. Ein Ansatz, den man über eine Vielzahl von Governance-Praktiken und Technologien umsetzen kann, z. B. durch Multi-Faktor-Authentifizierung, Verschlüsselung sowie Identity Access Management- oder Privileged Access Management-Lösungen. Diese Technologien ermöglichen einem Unternehmen die Mikrosegmentierung des Netzwerks. Dadurch stellt die IT sicher, dass jeder Rechner, Benutzer und jede Anwendung, die eine Zugriffsberechtigung anfordern, auch tatsächlich zum Unternehmen gehört.

Worin liegen die Vorteile der Zero Trust-Technologie gegenüber VPNs?

Dan Conrad: VPNs und Zero Trust-Modelle dienen unterschiedlichen Zwecken. VPNs bieten autorisierte Konnektivität für remote arbeitende Benutzer, während Zero Trust den Zugriff und die Autorisierung eines Benutzers verwaltet. Obwohl die Anwendungsfälle für beide Modelle unterschiedlich sind, kann man VPNs durchaus unterstützend in einer  Zero-Trust-Strategie einsetzen und den Datenverkehr auf dem Weg zum Netzwerk verschlüsseln. 

Im Gegensatz zu VPNs hat man mit Zero Trust die Option, den Zugriff innerhalb des Netzwerks besser nachzuverfolgen. Unternehmen gehen damit über ein klassisches netzwerkbasiertes Sicherheitsmodell hinaus, und sichern die Benutzeridentitäten. Man legt fest, dass jeder in einem Netzwerk solange als nicht vertrauenswürdig gilt, bis er, sie oder es autorisiert und authentifiziert ist. Dadurch verhindert Zero Trust, dass sich böswillige Akteure unbemerkt im Netzwerk bewegen. 

Und die Nachteile der Zero Trust-Technologie? 

Dan Conrad: Viele der derzeit auf dem Markt erhältlichen Technologielösungen erlauben keinen dynamischen Zero Trust-Ansatz. Stattdessen sind Unternehmen gezwungen, mehrere Lösungen im Sinne einer Zero Trust-Architektur zu kombinieren. Die Technologie ist allerdings nicht das größte Problem. 

Viele der bereits existierenden Netzwerke sind nicht für ein Zero Trust-Modell ausgelegt. Das macht die Integration in ältere Systeme zeitaufwendig und herausfordernd. Tatsächlich ist es für Unternehmen oft einfacher, Zero Trust in ein neu aufgesetztes Netzwerk zu implementieren. Nur ist das nicht immer möglich. Wenn man diese Hindernisse aus dem Weg räumen will, sollte man Zero Trust ganzheitlicher betrachten und zunächst in neue Strategien und Anwendungen integrieren. Das erleichtert den Prozess um einiges. 

Ist Zero Trust eine geeignete Technologie für die aktuellen Home Office-Szenarien?

Dan Conrad: Wenn man ein Zero Trust-Modell erfolgreich in einem Home Office oder Remote-Working-Szenario einsetzen will, sollten Unternehmen sich unbedingt auf das Konzept und nicht allein auf die Technologie fokussieren. Ein entscheidender Grundsatz von Zero Trust im Unternehmen ist, dass eine erstmalig erstellte Verbindung zum Netzwerk durch einen Remote Worker als unbekannt und daher als nicht vertrauenswürdig betrachtet wird. Remote Working kann ein Unternehmensnetz auf vielfältige Art und Weise gefährden. Deshalb ist es unbedingt nötig, Identität, Authentifizierung und Zugriffskontrolle während der gesamten Zeitdauer, die der Mitarbeiter im Netzwerk verbringt, aufrecht zu erhalten. Die Zugriffsberechtigungen werden nach Bedarf gewährt und folgen dem Least-Privilege-Modell. Benutzer und Administratoren sollten zum richtigen Zeitpunkt auf die richtigen Ressourcen zugreifen können. Dies sollte auditiert werden und nachvollziehbar sein. 

Im Kern geht es bei Zero Trust darum, sicherzustellen, dass Mitarbeiter nur auf die Ressourcen zugreifen, die sie tatsächlich benötigen. Wenn man den Zugriff von Mitarbeitern auf sensible Informationen beschränkt, haben Angreifer keine Möglichkeit mehr, Anmeldeinformationen zu missbrauchen, um sich im Netzwerk zu bewegen und eine Datenschutzverletzung zu verursachen. 

Wo sollte man anfangen? 

Dan Conrad: Unternehmen müssen  in Bezug auf Zero Trust erst einmal entscheiden, was Zero Trust für sie  konkret bedeutet. Dazu gilt es zunächst, eine Denkweise rund um Zero Trust zu entwickeln. Sie betrifft Systeme, Anwendungen, Netzwerke und sogar die physische Sicherheit eines Unternehmens. Bevor man ein neues Produkt oder eine neue Strategie integriert, sollte man Zero Trust immer als Teil dieser Architektur betrachten. Durch die Einbindung von Zero Trust in zukünftige Produktimplementierungen rücken Unternehmen starke Authentifizierung und Zugriffsmanagement in den Mittelpunkt ihrer Strategie. Meist ist es nicht ganz einfach, Zero Trust-Netzwerke in eine bereits vorhandene Infrastruktur zu implementieren, denn diese muss entsprechend nachgerüstet werden. IT-Manager müssen entscheiden, wie Zero Trust überhaupt für ihre bestehenden Systeme, Anwendungen und Netzwerke umgesetzt werden kann.  Der Schlüssel ist, Zero Trust als langfristiges Projekt zu betrachten, insbesondere in komplexen IT-Umgebungen. 

Welche Fallstricke sollte man insbesondere umgehen?

Dan Conrad: Es gibt keinen „magischen Zero Trust-Knopf“, den man einfach drücken kann. Viele Unternehmen verstricken sich in den Definitionen einzelner Anbieter. Diese Definitionen sind aber an deren Produkte gebunden, was Unternehmen nicht selten auf eine falsche Fährte lockt. Unternehmen sollten  das Zero Trust-Konzept am besten aus der Perspektive von Dritten wie dem National Institute of Standards and Technology (NIST) im Auge behalten. Standards wie diese konzentrieren sich auf das übergreifende Konzept und nicht auf ein konkretes Produkt. Nur so ist es Unternehmen möglich, Zero Trust-Modelle in ihre Gesamtstrategie einzubinden.

Woran sollte man beim Thema Zero Trust sonst noch denken? 

Dan Conrad: Das Zero Trust-Konzept findet allmählich Eingang in viele Best Practices zur Cybersicherheit. Die Grundlagen sind inzwischen sogar Teil der NIST-Richtlinien. Dennoch tun Unternehmen sich nach wie vor schwer damit, das Konzept in ihre Sicherheitsstrategie aufzunehmen. Dazu sollte man über das reine Schlagwort hinausdenken und Zero Trust-Konzepte in die Verfahren einbeziehen, die sich an der Arbeitsweise eines Unternehmens orientieren. Das Konzept wirklich zu verstehen, bedeutet, dass ein Unternehmen über Protokolle verfügt, mit denen die richtigen Benutzer, Systeme, Anwendungen und Netzwerke Zugriff auf genau die Systeme haben, die sie brauchen, um ihre Aufgaben zu erledigen und nichts sonst. 

Dan Conrad, One Identity, https://www.oneidentity.com/de-de


Artikel zu diesem Thema

Netzwerksicherheit
Mär 20, 2021

Netzwerksicherheit: Verbindungswege ohne Risiko

Das mit der Pandemie verschärfte mobile Arbeiten stellt auch die Netzwerksicherheit vor…
VPN
Mär 15, 2021

VPN-Nutzung - Unternehmen legen in Sachen Sicherheit zu

Es ist ein Jahr her, dass COVID-19 die Arbeitswelt zum ersten Mal erschütterte. Seitdem…
Cyber Security
Feb 19, 2021

Vertraue niemandem - Das Zero-Trust-Security-Modell

Mit der steigenden Bedrohungslandschaft und erhöhten Anforderungen an die Datensicherheit…

Weitere Artikel

Cyber Security

SASE etabliert sich als zentraler Trend der IT-Sicherheit

Unternehmen müssen die Sicherheit ihrer IT-Infrastruktur neu definieren, weil immer mehr Mitarbeiter im Homeoffice arbeiten.
Olympische Spiele

Cybersicherheit bei den Olympischen Spielen in Tokio

Seit den Olympischen Spielen 2004 in Athen ist Cybersicherheit ein immer wichtigeres Thema sowohl für Gastgeberländer als auch das Internationale Olympische Komitee (IOC). Die wachsende Abhängigkeit der Abläufe von der IT-Infrastruktur hat zu erhöhten…
rote Ampel

Wenn die Software-Ampel auf Rot springt

Fast jedes Unternehmen hat Software im Einsatz, die in die Jahre gekommen ist. Das kann ein Problem sein – muss es aber nicht. Ein Ampelprinzip hilft bei der Einschätzung, ob Handlungsbedarf besteht, erläutert der IT-Dienstleister Avision.
Smart City

Inwieweit können wir die Smart City von morgen schützen?

Die Stadt von morgen birgt viele Versprechen für Bürger und Unternehmen, angefangen bei der leichteren Nutzung von Onlinediensten der Stadtverwaltungen bis hin zum flüssigeren Verkehr. Doch jeder neue digitale Dienst ist auch eine zusätzliche Chance für…
Cloud Computing

Multi-Cloud-Umgebungen bringen größere Sicherheitsherausforderungen mit sich

Tripwire, Anbieter von Sicherheits- und Compliance-Lösungen für Unternehmen und Industrie, stellt die Ergebnisse seiner neuen Umfrage vor. Sie bewertet Cloud-Sicherheitspraktiken in Unternehmensumgebungen für das laufende Jahr 2021.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.