Mit dem Prinzip von Zero Trust erreichen Unternehmen ein Sicherheitslevel, das mit klassischen Berechtigungen und Policies in zunehmend verteilten IT-Umgebungen kaum zu erreichen ist.
Zero Trust bedeutet niemandem und keinem Netzwerk oder Gerät zu vertrauen. Das klingt beinahe etwas paranoid und wirkt in einer sonst so offenen Austauschkultur in Unternehmen und mit Geschäftspartnern irgendwie befremdlich. Tatsächlich handelt es sich dabei aber um eine höchst effektive Strategie zur Abwehr von Cyberangriffen, deren Vorteil es insbesondere ist, dass man nichts und niemanden vergessen oder übersehen kann, der im Unternehmensnetz nichts zu suchen hat. Immerhin geht es um den Schutz von wertvollen und vielfach geschäftskritischen Ressourcen, unabhängig davon, wo sie sich physisch oder digital im Unternehmen befinden.
Ständiger Wandel führt zu Zero Trust
Der erste Gedanke bei dem Thema Zero Trust dreht sich bei vielen sicherlich um das Thema Cybersicherheit und die Abwehr cyberkrimineller Machenschaften. Die Attacken der Kriminellen werden immer raffinierter und selbst kleinste Lücken in den Sicherheitskonfigurationen eines Unternehmens werden aufgespürt und gnadenlos ausgenutzt – im schlimmsten Fall um Daten zu entwenden oder um Unternehmen mit Ransomware ernsthaft zu schädigen oder lahmzulegen. Einmal drinnen, sind sie oft unsichtbar. Sich über das Netzwerk auszubreiten, auf wichtige Systeme zuzugreifen und mehr ist dabei trivial, da die Sicherheitskontrollen und Prüfungen meist nur den Außenbereich schützen.
Allerdings ist Cybersicherheit nur ein Teil der Wahrheit, auch wenn es den größten Teil ausmacht. So sollte auch Augenmerk auf weiteren Aspekten liegen wie etwa einer enorm veränderten Arbeitskultur mit einem hohen Maß an mobiler Arbeit, wo keine völlige Kontrolle über die im Einsatz befindlichen Geräte besteht, oder auch Mitarbeiterwechsel, wo Berechtigungen nicht rechtzeitig entzogen werden oder gar ganz in Vergessenheit geraten.
Das Zero-Trust-Prinzip „Traue nichts und niemandem und verifiziere alles“ wirkt genau diesen Gefahren entgegen.
>> Lesen Sie auch das Interview mit Herrn Janssen zur aktuellen Cyber-Gefahrenlage <<
Dynamisches Zero Trust
Zero Trust ist ein ganzheitlicher Sicherheitsansatz, der sich mit Bedrohungen und Veränderungen auseinandersetzt. Es geht darum, niemandem und keinem Gerät automatisch zu vertrauen, sei es innerhalb oder außerhalb des Unternehmensnetzwerks. Selbstverständlich müssen nach geeigneter Prüfung Geräte und Netzwerke als vertrauenswürdig eingestuft werden, allerdings ist dieses Vertrauen mit Zero Trust lediglich temporär. Das Vertrauen wird dynamisch und unter Einbeziehung diverser Datenquellen aufgebaut und kontinuierlich neu bewertet. Zu den Datenquellen gehören Informationen über die Zugriffsanfrage selbst, Anwenderinformationen, Systeminformationen, Zugriffsanforderungen und Informationen über Bedrohungen. Außerdem wird der Zugriff auf Daten und/oder Ressourcen nur bei Bedarf und auf Basis der jeweiligen Verbindung gewährt.
Der Zero-Trust-Technologie-Stack
Prinzipiell bedarf es einer Vielzahl von Technologien, um alle Ressourcen und Einrichtungen in einem Netzwerk zu schützen. Und derzeit gibt es keinen Technologieanbieter, der alle Aspekte von Zero Trust in einem integrierten Stack abbilden und anbieten kann. Daher gilt es für Unternehmen, die sich dem Null-Vertrauen-Prinzip annähern wollen, mit einem Zero-Trust-Technologie-Stack zwei Hauptbereiche abzudecken: die Verwaltung von Zero-Trust und die Sicherheit und Kontrolle der verschiedenen Ressourcen und Werte.
Die Verwaltung von Zero Trust gliedert sich in drei Teilbereiche: Erstens die Automatisierung und Orchestrierung. Sie ist für die Definition dynamischer Richtlinien, die Koordinierung der verschiedenen Technologien und die Umsetzung aller Maßnahmen essenziell. Zweitens die Sichtbarkeit und Analyse, die für die Überwachung des Netzwerks, die Sicherstellung der Funktionsfähigkeit sowie die Identifizierung von Bedrohungen und Verstößen zuständig ist. Drittens, und das ist ein entscheidender Punkt, sind es die technologischen Schnittstellen (APIs), durch die eine technologische Integration unterschiedlicher Systeme überhaupt erst möglich ist. Nur so können Informationen und Daten aus einem System in ein anderes zu übertragen werden.
Die Ressourcen und Werte lassen sich in fünf Unterbereiche unterteilen: An vorderster Front stehen natürlich die Menschen, also Mitarbeiter und Geschäftspartner. Ähnlich wichtig sind die Daten. Sie sind das Lebenselixier eines Unternehmens und vielleicht das wichtigste Vermögen. Erst an dritter Stelle kommen die Maschinen, womit die Server, Laptops und viele weitere im Netzwerk befindliche Geräte subsummiert sind, die aber wesentlich zur Abwicklung der Geschäftstätigkeiten beitragen. Die Workloads stehen an vierter Stelle und umfassen die Dienste und Anwendungen, mit denen Daten verarbeitet werden. Last but not least sind es die Netzwerke, also sämtliche Kommunikationskanäle, über welche die Daten fließen.
Management von Zero Trust
Wie bei allen IT-Konzepten und Technologien, ist auch Zero Trust nur so gut, wie es tatsächlich in der Praxis gemanagt wird. Ideal dafür ist eine zentrale Zero Trust und Cybersicherheitsplattform wie beispielsweise das Cloud-basierte Sophos Central, um die komplette Sicherheits- und Zero-Trust-Umgebung zu verwalten. Weshalb eine zentrale Plattform? Weil sie alle Technologien in einer einzigen Konsole bündelt, die Verwaltung erleichtert und vor allem Administrationsfehler, die bei der Nutzung vieler unterschiedlicher Konsolen leicht passieren können, verhindert. Sie erlaubt den Administratoren die Übersicht über alle Technologien an einem Ort inklusive der APIs zur Verknüpfung mit anderen Technologien von Drittanbietern.
Zusammengefasst besteht der große Vorteil von Zero Trust darin, eine durchgängige Sicherheit für die komplette interne IT inklusive der angebundenen Ressourcen zu gewährleisten – in jeder Art von Umgebung, auf jeder Plattform und für jeden Service.