Moderne Unternehmen werden zunehmend mobil: Die Mitarbeitenden greifen über die unterschiedlichsten Geräte von außerhalb des Firmennetzwerks auf Anwendungen und Cloud-Services zu. Nach wie vor verfolgen die meisten Organisationen jedoch das Prinzip „Erst bestätigen, dann vertrauen“. Das heißt, wenn jemand die richtigen Nutzeranmeldedaten hat, darf er auf die Website, die App oder das Gerät zugreifen. Dies führt allerdings zu erhöhten Sicherheitsrisiken durch Datendiebstahl, Malware- und Ransomware-Angriffe.
Heutzutage muss der Schutz innerhalb digitaler Infrastrukturen dort ansetzen, wo sich Anwendungen, Daten, Nutzer und Geräte befinden. Hier kommt das Zero-Trust-Konzept ins Spiel. Sebastian Ganschow, Director of Cybersecurity Solutions beim IT-Dienstleister NTT erklärt, was darunter zu verstehen ist und wie sich die neue Architektur am besten umgesetzen lässt.
Was unterscheidet Zero Trust von herkömmlichen Sicherheitsarchitekturen?
Bei Zero Trust handelt es sich nicht um ein Produkt oder eine Dienstleistung von der Stange, sondern um einen Ansatz beim Entwerfen und Implementieren der folgenden Sicherheitsprinzipien: explizite Verifizierung, Beschränkung der Zugriffsrechte inklusive risikobasierter, adaptiver Richtlinien sowie Minimierung der Auswirkungen, wenn es dann doch zu einem Sicherheitsvorfall kommt.
Anstatt zu glauben, dass alles hinter der Firewall sicher ist, wird beim Zero-Trust-Modell standardmäßig von einer Sicherheitsverletzung ausgegangen und jede Anforderung so überprüft, als stamme sie von einem nicht kontrollierten Endgerät. Bei der Implementierung eines entsprechenden Frameworks kommen Technologien wie risikobasierte Multi-Faktor-Authentifizierung, Identitätsschutz, Endgerätesicherheit der nächsten Generation sowie robuste Cloud-Workload-Technologie zum Einsatz, um die Benutzer- oder Systemidentität zu überprüfen, den Zugriff zum jeweiligen Zeitpunkt abzuwägen und so die Sicherheit aufrechtzuerhalten.
Darüber hinaus werden auch Überlegungen hinsichtlich der Verschlüsselung von Daten sowie der Kontrolle der IT-Hygiene von Assets und Endgeräten angestellt, bevor eine Verbindung zugelassen wird.
Worauf müssen Unternehmen bei der Umsetzung achten?
Die Implementierung einer Zero-Trust-Architektur lässt sich nicht an einem Tag realisieren. Zero Trust ist ein Framework, dass viele Formen annehmen kann und dessen erfolgreiche Umsetzung etwas Zeit in Anspruch nimmt.
Entscheidend ist eine gute Planung: Bei der Entwicklung müssen Sicherheits- und IT-Teams strategisch denken. Was soll geschützt werden und vor wem soll es geschützt werden? Die konkrete Gestaltung der Architektur hängt von den Antworten auf diese beiden Fragen ab. Entsprechend hat sich der Ansatz am effektivsten erwiesen, die gewählte Zero-Trust-Strategie – und nicht etwa die Technologien und Prozesse – als Grundlage zu betrachten, auf der die Sicherheitsarchitektur aufbaut.
Sind die bisherigen Investitionen damit umsonst gewesen?
Unternehmen haben im Laufe der Jahre teils erhebliche Summen in IT-Sicherheit investiert. Für die Implementierung einer Zero-Trust-Architektur ist es keineswegs erforderlich, vorhandene Technologien vollständig zu ersetzen oder enorme Investitionen in neue Technologien vorzunehmen. Stattdessen sollten sie bei der Planung bereits vorhandene Sicherheitspraktiken und -tools einbeziehen. Viele Organisationen verfügen bereits über die notwendige Basis für eine Zero-Trust-Architektur.
Das umfasst unter anderem Identitäts- und Zugriffsmanagement, Autorisierung, automatisierte Richtlinienentscheidungen, Patching von Ressourcen, kontinuierliches Monitoring durch Protokollierung und Analyse von Transaktionen, weitestgehende Automatisierung von wiederholbaren, fehleranfälligen Aufgaben sowie Verhaltensanalysen und Threat Intelligence für einen besseren Schutz von Assets. Darauf aufbauend wird eine umfassende Zero-Trust-Architektur realisiert.
„Eine hundertprozentige Sicherheitsstrategie gibt es nicht und Datenpannen werden sich nie vollkommen verhindern lassen. In der Praxis hat sich Zero Trust deshalb als eine der effektivsten verfügbaren Strategien bewährt“, erklärt Sebastian Ganschow.
„Zwar ist der Aufbau einer Zero-Trust-Architektur sicherlich kein Projekt, dass sich nebenher umsetzen lässt. Es lohnt sich aber. Bei korrekter Implementierung können Eindringlinge effizienter erkannt sowie abgewehrt werden. Im Kampf gegen aktuelle Bedrohungen, bei denen herkömmliche IT-Sicherheitskonzepte inzwischen massiv an ihre Grenzen stoßen, ist das ein entscheidender Pluspunkt.“