Interview

Zero Trust – Ein Konzept auf dem Prüfstand

Zero Trust – Ein Konzept auf dem Prüfstand: Fragen an Dan Conrad, One Identity.

Wie funktioniert ein Zero-Trust Sicherheitsmodell und was ist darin enthalten?

Anzeige

Dan Conrad: Die Unternehmens-Perimeter haben sich drastisch verändert. Die komplette Belegschaft oder zumindest  der überwiegende Teil arbeitet zeitweise remote und im Home Office. Firewalls und VPNs reichen unter diesen Bedingungen nicht mehr aus. Anstatt sich weiterhin auf netzwerkbasierte Sicherheit als erste Verteidigungslinie zu verlassen, sollten Unternehmen die Identität zu ihrem neuen Perimeter machen. Zero Trust tut genau das und stellt Identitäten in den Mittelpunkt. Die Philosophie dahinter: Unternehmen sollten nicht automatisch allem und allen in ihrem Netzwerk vertrauen – vom Benutzer bis hin zu sämtlichen Anwendungen. Das Zero-Trust-Konzept verlangt, alle Benutzer innerhalb eines Unternehmens zu authentifizieren und zu autorisieren, bevor ein Zugriff gewährt wird. Ein Ansatz, den man über eine Vielzahl von Governance-Praktiken und Technologien umsetzen kann, z. B. durch Multi-Faktor-Authentifizierung, Verschlüsselung sowie Identity Access Management- oder Privileged Access Management-Lösungen. Diese Technologien ermöglichen einem Unternehmen die Mikrosegmentierung des Netzwerks. Dadurch stellt die IT sicher, dass jeder Rechner, Benutzer und jede Anwendung, die eine Zugriffsberechtigung anfordern, auch tatsächlich zum Unternehmen gehört.

Worin liegen die Vorteile der Zero Trust-Technologie gegenüber VPNs?

Dan Conrad: VPNs und Zero Trust-Modelle dienen unterschiedlichen Zwecken. VPNs bieten autorisierte Konnektivität für remote arbeitende Benutzer, während Zero Trust den Zugriff und die Autorisierung eines Benutzers verwaltet. Obwohl die Anwendungsfälle für beide Modelle unterschiedlich sind, kann man VPNs durchaus unterstützend in einer  Zero-Trust-Strategie einsetzen und den Datenverkehr auf dem Weg zum Netzwerk verschlüsseln. 

Anzeige

Im Gegensatz zu VPNs hat man mit Zero Trust die Option, den Zugriff innerhalb des Netzwerks besser nachzuverfolgen. Unternehmen gehen damit über ein klassisches netzwerkbasiertes Sicherheitsmodell hinaus, und sichern die Benutzeridentitäten. Man legt fest, dass jeder in einem Netzwerk solange als nicht vertrauenswürdig gilt, bis er, sie oder es autorisiert und authentifiziert ist. Dadurch verhindert Zero Trust, dass sich böswillige Akteure unbemerkt im Netzwerk bewegen. 

Und die Nachteile der Zero Trust-Technologie? 

Dan Conrad: Viele der derzeit auf dem Markt erhältlichen Technologielösungen erlauben keinen dynamischen Zero Trust-Ansatz. Stattdessen sind Unternehmen gezwungen, mehrere Lösungen im Sinne einer Zero Trust-Architektur zu kombinieren. Die Technologie ist allerdings nicht das größte Problem. 

Viele der bereits existierenden Netzwerke sind nicht für ein Zero Trust-Modell ausgelegt. Das macht die Integration in ältere Systeme zeitaufwendig und herausfordernd. Tatsächlich ist es für Unternehmen oft einfacher, Zero Trust in ein neu aufgesetztes Netzwerk zu implementieren. Nur ist das nicht immer möglich. Wenn man diese Hindernisse aus dem Weg räumen will, sollte man Zero Trust ganzheitlicher betrachten und zunächst in neue Strategien und Anwendungen integrieren. Das erleichtert den Prozess um einiges. 

Ist Zero Trust eine geeignete Technologie für die aktuellen Home Office-Szenarien?

Dan Conrad: Wenn man ein Zero Trust-Modell erfolgreich in einem Home Office oder Remote-Working-Szenario einsetzen will, sollten Unternehmen sich unbedingt auf das Konzept und nicht allein auf die Technologie fokussieren. Ein entscheidender Grundsatz von Zero Trust im Unternehmen ist, dass eine erstmalig erstellte Verbindung zum Netzwerk durch einen Remote Worker als unbekannt und daher als nicht vertrauenswürdig betrachtet wird. Remote Working kann ein Unternehmensnetz auf vielfältige Art und Weise gefährden. Deshalb ist es unbedingt nötig, Identität, Authentifizierung und Zugriffskontrolle während der gesamten Zeitdauer, die der Mitarbeiter im Netzwerk verbringt, aufrecht zu erhalten. Die Zugriffsberechtigungen werden nach Bedarf gewährt und folgen dem Least-Privilege-Modell. Benutzer und Administratoren sollten zum richtigen Zeitpunkt auf die richtigen Ressourcen zugreifen können. Dies sollte auditiert werden und nachvollziehbar sein. 

Im Kern geht es bei Zero Trust darum, sicherzustellen, dass Mitarbeiter nur auf die Ressourcen zugreifen, die sie tatsächlich benötigen. Wenn man den Zugriff von Mitarbeitern auf sensible Informationen beschränkt, haben Angreifer keine Möglichkeit mehr, Anmeldeinformationen zu missbrauchen, um sich im Netzwerk zu bewegen und eine Datenschutzverletzung zu verursachen. 

Wo sollte man anfangen? 

Dan Conrad: Unternehmen müssen  in Bezug auf Zero Trust erst einmal entscheiden, was Zero Trust für sie  konkret bedeutet. Dazu gilt es zunächst, eine Denkweise rund um Zero Trust zu entwickeln. Sie betrifft Systeme, Anwendungen, Netzwerke und sogar die physische Sicherheit eines Unternehmens. Bevor man ein neues Produkt oder eine neue Strategie integriert, sollte man Zero Trust immer als Teil dieser Architektur betrachten. Durch die Einbindung von Zero Trust in zukünftige Produktimplementierungen rücken Unternehmen starke Authentifizierung und Zugriffsmanagement in den Mittelpunkt ihrer Strategie. Meist ist es nicht ganz einfach, Zero Trust-Netzwerke in eine bereits vorhandene Infrastruktur zu implementieren, denn diese muss entsprechend nachgerüstet werden. IT-Manager müssen entscheiden, wie Zero Trust überhaupt für ihre bestehenden Systeme, Anwendungen und Netzwerke umgesetzt werden kann.  Der Schlüssel ist, Zero Trust als langfristiges Projekt zu betrachten, insbesondere in komplexen IT-Umgebungen. 

Welche Fallstricke sollte man insbesondere umgehen?

Dan Conrad: Es gibt keinen „magischen Zero Trust-Knopf“, den man einfach drücken kann. Viele Unternehmen verstricken sich in den Definitionen einzelner Anbieter. Diese Definitionen sind aber an deren Produkte gebunden, was Unternehmen nicht selten auf eine falsche Fährte lockt. Unternehmen sollten  das Zero Trust-Konzept am besten aus der Perspektive von Dritten wie dem National Institute of Standards and Technology (NIST) im Auge behalten. Standards wie diese konzentrieren sich auf das übergreifende Konzept und nicht auf ein konkretes Produkt. Nur so ist es Unternehmen möglich, Zero Trust-Modelle in ihre Gesamtstrategie einzubinden.

Woran sollte man beim Thema Zero Trust sonst noch denken? 

Dan Conrad: Das Zero Trust-Konzept findet allmählich Eingang in viele Best Practices zur Cybersicherheit. Die Grundlagen sind inzwischen sogar Teil der NIST-Richtlinien. Dennoch tun Unternehmen sich nach wie vor schwer damit, das Konzept in ihre Sicherheitsstrategie aufzunehmen. Dazu sollte man über das reine Schlagwort hinausdenken und Zero Trust-Konzepte in die Verfahren einbeziehen, die sich an der Arbeitsweise eines Unternehmens orientieren. Das Konzept wirklich zu verstehen, bedeutet, dass ein Unternehmen über Protokolle verfügt, mit denen die richtigen Benutzer, Systeme, Anwendungen und Netzwerke Zugriff auf genau die Systeme haben, die sie brauchen, um ihre Aufgaben zu erledigen und nichts sonst. 

Dan Conrad, One Identity, https://www.oneidentity.com/de-de

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.