Zero Trust | Was Manager wissen sollten
Was bedeutet „Zero Trust“ wirklich?
„Zero Trust“ wurde 2010 von Forrester Research ins Leben gerufenund ist ein Cybersicherheitsmodell, das Unternehmen zur Eliminierung riskanter und implizit als vertrauenswürdig eingestufter Interaktionen zwischen Benutzern, Maschinen und Daten nutzen können. Das Zero-Trust-Modell bietet Unternehmen die Möglichkeit, sich vor Bedrohungen zu schützen, ganz gleich, von welchem Vektor sie ausgehen – ob von der anderen Seite der Welt oder vom selben Bürogebäude. Zu den ursprünglichen Prinzipien eines erfolgreichen Zero-Trust-Modells zählten:
- Sichere, standortunabhängige Zugriffsmechanismen für sämtliche Ressourcen
- Eine Strategie der minimalen Zugriffsrechte und strenge Zugriffsbeschränkungen
- Kontrolle und Protokollierung des gesamten Datenverkehrs
Nach 11 Jahren haben sich diese Ideen und Prinzipien weiterentwickelt, um mit der voranschreitenden digitalen Transformation, dem mobilen Arbeiten und der zunehmenden Nutzung eigener Geräte (Bring Your Own Device, BYOD) Schritt zu halten. Neue Prinzipien wurden mit Blick auf die Zero-Trust-Anordnung der US-Bundesregierung entwickelt, festgelegt in der PublikationNIST 800-207,mit weiteren Details in der Zero Trust Architecture des NCCoE. Diese Prinzipien umfassen:
- einen Umstieg von Netzwerksegmentierung auf den gezielten Schutz von Assets, Services, Arbeitsabläufen, Netzwerkkonten und anderen Ressourcen,
- die Einführung getrennter Authentifizierungs- und Genehmigungsfunktionen, die jede Sitzung, jeden Benutzer und jedes Gerät mit starker Authentifizierung sichern, und
- die Unterstützung von kontinuierlichem Monitoring.
Warum ist das so wichtig für die Cybersicherheit?
Die Umstellung auf Zero Trust stellt eine der größten Veränderungen im Sicherheitsansatz von Unternehmen dar. Bevor Sie einen Zero-Trust-Ansatz verfolgen, versuchen die meisten Unternehmen, ihre Sicherheit als eine Art Tor zu verwalten: Sobald eine Transaktion im bewachten Bereich validiert wurde, wird ihr uneingeschränkt Vertrauen geschenkt.
Dieser Ansatz ist problematisch, da Angriffsvektoren nicht immer von außerhalb dieses Bereichs einfallen. Mit dem weltweiten Wachstum der digitalen Transformation und von hybriden Belegschaften sind Ressourcen zudem nicht mehr ausschließlich hinter „Sicherheitstoren“ zugänglich. Zero-Trust-Methoden setzen die kontinuierliche Validierung jedes Elements einer Interaktion voraus – unabhängig davon, wo sie stattfindet –, einschließlich aller Benutzer, Maschinen, Anwendungen und Daten. In diesem Modell existiert implizites Vertrauen nicht mehr.
„Zero Trust“: Was hat es mit diesem Modewort auf sich?
Viele Unternehmen machen Zero Trust heute zu einem Produkt. Sie betiteln ihre Angebote als „Zero-Trust-Lösungen“, ohne dabei zu bedenken oder darauf hinzuweisen, dass Zero Trust ein Modell und strategisches Framework ist und keine Produktlösung. Mit Blick auf den Cybersicherheitsmarkt gibt es Anbieter, die sich als „DEN Zero-Trust-Akteur" bezeichnen.
Bei genauerer Betrachtung decken diese Anbieter jedoch oft nur ein Zero-Trust-Prinzip ab – beispielsweise unterstützen sie Tunnelservices zwischen Benutzern und Anwendungen. Dies entspricht dem zweiten ursprünglichen Prinzip, eine Strategie der minimalen Zugriffsrechte zu implementieren und strenge Zugriffsbeschränkungen durchzusetzen. Gleichzeitig kann es derselbe Anbieter versäumen, auch das erste Prinzip zu erfüllen: sichere, standortunabhängige Zugriffsmechanismen für sämtliche Ressourcen bereitzustellen. Wenn sie implizit darauf vertrauen, dass der Benutzer keine Bedrohung darstellt, überprüfen sie die Tunnelverbindung auch nicht auf Malware oder Exploits.
Andere Anbieter decken nur einige Aspekte des ersten ursprünglichen Prinzips ab und behaupten, dass sich mit Identitäts- und Autorisierungsprüfungen Zero Trust erreichen ließe. Wiederum andere Anbieter sagen vielleicht, dass nur der webbasierte Datenverkehr gescannt werden muss. Wenn allerdings nur Teile des Zero-Trust-Modells implementiert werden, entstehen im Netzwerk Bereiche des impliziten Vertrauens, die das Unternehmen anfällig für Schwachstellen machen.
Unsere Empfehlung: Was sollten Führungskräfte bei der Zero-Trust-Implementierung beachten?
Der erste Schritt ist, Ihre Vorstellung effektiver Unternehmenssicherheit anzupassen und von einem „Gated“-Ansatz auf die kontinuierliche Validierung aller Interaktionen umzusteigen. Um diesen Wandel herbeizuführen, sollten Sie
- ermitteln, welche Ressourcen Ihr Unternehmen schützen muss, wo sie sich befinden und welche Interaktionen in ihnen, um sie herum und über sie stattfinden;
- bedenken, dass Benutzer, Anwendungen und Infrastruktur/Geräte für jede Interaktion, die sie einleiten, validiert werden müssen; und
- verstehen, dass Interaktionen aus Identität, Zugriff, Gerät/Workload und Transaktionen bestehen.
Als Nächstes benötigen Sie einen Plan, der sämtliche Bereiche der Neuausrichtung umfasst, beginnend mit den wichtigsten Benutzern, Ressourcen und Interaktionen im Unternehmen. Das sind Ihre „Kronjuwelen“, die sich möglicherweise auf Finanzen und geistiges Eigentum beziehen. Nach und nach können Sie die Reichweite dann auf alle Interaktionen ausdehnen. Ihr Plan sollte für Benutzer, Anwendungen und Infrastrukturen gelten und bei der Ressourcenanforderung jeden der vier Schritte einer Interaktion abdecken.
Beim letzten Schritt dieser Transformation geht es um Kontinuität: sämtliche Maßnahmen aufrechtzuerhalten und Elemente kontinuierlich zu überwachen
- Dabei lassen sich Ereignisse zuverlässiger erfassen als bei periodischen Prüfungen.
- Suchen Sie nach Verbesserungsmöglichkeiten für Ihr aktuelles Modell, da sich Standards stetig weiterentwickeln und immer mehr Interaktionen umfassen.
Fragen an Ihr Team zur erfolgreichen Zero-Trust Implementierun
- Welche sind unsere systemkritischen Datensätze, Anwendungen und Funktionen?
- Wie können wir die vier Schritte jeder Interaktion mit diesen Ressourcen sichern, unabhängig davon, wer oder was sie anfordert?
- Wie planen wir, wichtige Ereignisse wie Protokolle kontinuierlich zu überwachen, um Basisfunktionen zu unterstützen und Verhaltensanomalien aufzudecken?
- Wie sieht unsere Strategie zur Auswahl von Anbietern aus, die uns beim Erreichen unserer Zero-Trust-Ziele unterstützen, und wie können wir Bereiche abdecken, die nicht von Produkten umfasst werden?
- Wie sieht unsere Strategie für den Umstieg vom Schutz und Monitoring einzelner Ressourcen auf die flächendeckende Sicherung aller Ressourcen aus und welche Skalierbarkeit benötigen wir dafür von Produkten und Personal?