:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Zero Trust entschlüsselt Kontrolle ist gut – noch mehr Kontrolle ist besser
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5e/af/5eaffc9135b35/se-insider-logo-2019.png "SE_Insider-Logo_2019.png (Vogel IT-Medien)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Jeder spricht aktuell in der Security-Welt über Zero Trust. Doch leider scheint auch nahezu jeder Anbieter ein anderes Verständnis davon zu haben, was Zero Trust ist. Aber was genau zeichnet Zero Trust denn nun aus?
Der Zero-Trust-Ansatz wurde 2010 von John Kindervag als Philosophie und entsprechende Architektur ins Leben gerufen. Es ist jedoch keinesfalls eine spezifische Technologie. Innerhalb eines Zero-Trust-Modells gibt es drei Hauptbestandteile:
- 1. Nutzer-/Anwendungsauthentifizierung: Sowohl Nutzer als auch Anwendung (in den Fällen, in denen die Anwendungen automatisiert Zugriff anfordern) müssen unzweifelhaft authentifiziert werden. Nur so kann die Identität der anfordernden Instanz sicher gewährleistet werden.
- 2. Geräteauthentifizierung: Es reicht nicht, Nutzer und Anwendung zu authentifizieren. Das anfordernde Gerät muss ebenfalls authentifiziert werden.
- 3. Vertrauen: Zugriff wird erst dann gewährt, wenn Nutzer/Anwendung UND Gerät zweifelsfrei authentifiziert wurden.
:quality(80)/images.vogel.de/vogelonline/bdb/1681400/1681404/original.jpg "Das neue eBook „Zero Trust – Sicherheit vor Vertrauen“ stellt das Konzept vor und zeigt, warum Zero Trust eine logische Konsequenz der fortschreitenden Digitalisierung ist. (Production Perig - stock.adobe.com)")
Neues eBook „Zero Trust“
Zero Trust wird in der Digitalisierung immer wichtiger
Dieses Gerüst definiert also, dass wir nichts und niemandem vertrauen können – weder inner- noch außerhalb der Sicherheitsmaßnahmen. Das Zero-Trust-Modell arbeitet nach dem Prinzip „Nie vertrauen, immer verifizieren“. Es nimmt also quasi an, dass die Sicherheitsmaßnahmen keinen Bestand mehr haben und man demnach auch nicht davon ausgehen sollte, dass innerhalb der Sicherheitsmaßnahmen ein niedrigeres Sicherheits-Level etabliert werden kann. Dies hat sich leider bereits im Rahmen zahlreicher Attacken bewahrheitet. So konnten Angreifer ganz einfach den Verteidigungsring überwinden, indem sie vertrauenswürdige Verbindungen ausnutzen – beispielsweise mit Hilfe von Phishing.
Authentifizierung und Zugriffskontrollen
Um Zero Trust entsprechend zuverlässig zu implementieren, ist eine dezentrale Richtliniendurchsetzung notwendig – und zwar so nahe ans Netzwerk-Edge wie möglich. Das bedeutet, dass eine granulare Authentifizierung und Autorisierung so weit wie möglich von den Daten entfernt stattfindet wie möglich, also in den meisten Fällen direkt an dem Gerät, mit dem der Anwender auf die Daten zugreifen möchte. Anwender und Gerät sind also so lange nicht vertrauenswürdig, bis beide authentifiziert sind. Danach werden extrem granulare, rollenbasierte Zugriffskontrollen durchgesetzt.
Um das durchzusetzen, muss eine Kontrollebene implementiert werden, die den Zugriff auf die Daten koordinieren und konfigurieren kann. Diese Ebene ist Technologie-agnostisch, muss also einfach nur die beschriebene Aufgabe erfüllen. Zugriffsanfragen auf geschützte Ressourcen werden dabei immer zuerst an diese Kontrollebene gestellt, dort werden Anwender und Gerät authentifiziert und autorisiert. Auf dieser Ebene kann eine relativ grobmaschige Policy eingesetzt werden, also beispielsweise basierend auf der Rolle im Unternehmen, der Tageszeit oder der Geräteart. Sobald der Zugriff auf stärker abgesicherte Ressourcen erfolgt, kann dann selbstverständlich eine stärkere Authentifizierung eingesetzt werden. Sobald die Kontrollebene entschieden hat, den Zugriff zu gestatten, konfiguriert sie die Datenebene dynamisch so, dass Traffic von diesem Client – und nur von diesem – zugelassen wird. Zusätzlich kann sie auch einen verschlüsselten Tunnel zwischen dem Anforderer und der Ressource aufbauen, um ein Abfangen des Traffics zu verhindern.
:quality(80)/images.vogel.de/vogelonline/bdb/1539400/1539412/original.jpg "Zero Trust ist ein interessantes Sicherheitskonzept, das keine komplett neue Security-Landschaft im Unternehmen erfordert, sondern nur eine große Portion Mißtrauen. (anyaberkut - stock.adobe.com)")
Zero Trust Konzepte und Identitäten
Zero Trust – Kein Vertrauen ist auch keine Lösung
Bestandteile von Zero Trust und Kontrollebene
Die Durchsetzung von Zero Trust samt begleitender Kontrollebene, um die Datenebene dazu zu instruieren, von einem authentifizierten Client Traffic zu akzeptieren, erfordert einige essenzielle Bestandteile. Der erste und wichtigste ist eine Mikrosegmentierung und granulare Perimeterabsicherung, basierend auf:
- Anwendern
- Deren Aufenthaltsort
- Deren Geräten und Sicherheitsvorkehrungen
- Ihrem Verhalten
- Ihrem Kontext und anderen Daten
Diese Punkte werden dafür genutzt, um zu entscheiden, ob einem Anwender, einem Gerät oder einer Anwendung dahingehend vertraut wird, auf einen bestimmten Teil eines Unternehmensnetzwerks zuzugreifen.
In diesem Fall übernimmt also die Mikrosegmentierung quasi die Aufgaben der Kontrollebene. Da jedoch bereits erklärt wurde, dass Verschlüsselung ebenfalls ein essenzieller Bestandteil von Zero Trust ist, muss jede Mikrosegmentierung, die eine effektive Kontrollebene darstellen will:
- Traffic-Verschlüsselung zwischen den Endpunkten durchsetzen
- Anwender und Gerät basierend auf deren Identität authentifizieren, nicht auf dem Netzwerksegment, aus dem sie kommen.
Zero-Trust-Technologien
Wie bereits erwähnt, ist Zero Trust eine Architektur. Zusätzlich zur Mikrosegmentierung sind die folgenden Schlüsseltechnologien und -prozesse für eine Zero-Trust-Implementierung notwendig:
- Multifaktor-Authentifizierung: Zur Sicherstellung einer starken Authentifizierung.
- Identity and Access Management: Zur zweifelsfreien Authentifizierung von Nutzer/Anwendung und Gerät.
- Anwender- und Netzwerkverhaltensanalysen: Zum Verständnis der relativen Verhalten der Anwender und der Netzwerke, aus denen sie kommen und um jedes untypische Verhalten herauszustellen, das im Vergleich mit vorher festgelegten Ausgangswerten auffällig ist und ein Indiz für eine kompromittierte Identität sein kann.
- Endpunkt-Sicherheit: Um sicherzustellen, dass die Endpunkte als solche „sauber“ sind und nicht als Kanal für Angreifer dienen, um unautorisiert auf Daten zuzugreifen.
- Verschlüsselung: Um zu vermeiden, dass Traffic im Rahmen der Übertragung abgefangen wird.
- Scoring: Zur Erstellung eines Bewertungsmaßstabs basierend auf den vorigen Parametern, nach dessen Kriterien dann entschieden wird, ob Zugriff gewährt wird.
Des Weiteren sind die folgenden Kriterien ebenfalls notwendig:
- Dateisystem-Berechtigungen: Notwendig, um rollenbasierte Zugriffskontrollen zu implementieren
- Auditierung und Protokollierung: Um Monitoringfunktionen bereitzustellen für den Fall, dass ein unautorisierter Zugriff erfolgt
- Granulare, rollenbasierte Zugriffskontrollen: Um sicherzustellen, dass der Zugriff auf „Need to know“-Basis erfolgt
- Unterstützende Prozesse: Die vorigen Punkte müssen von entsprechenden Betriebsprozessen sowie einem zuträglichen Sicherheits-Framework unterstützt werden, um den Betrieb wie beabsichtigt zu gewährleisten
- Denkweise und organisatorisches Change-Management: Nachdem Zero Trust eine Umwälzung bei der Sicherheitsdenkweise darstellt, muss ein entsprechendes Change-Management gewährleistet werden. Nur so kann die erfolgreiche unternehmensweite Implementierung garantiert werden.
:quality(80)/images.vogel.de/vogelonline/bdb/1628400/1628400/original.jpg "Ein dauerhaftes Vertrauen gibt es in der IT-Sicherheit nicht mehr. An seine Stelle tritt ein risikobasiertes und vor allem temporäres Vertrauen. (davstudio - stock.adobe.com)")
Security-Insider Zero-Trust-Umfrage
Kann Zero Trust für mehr Sicherheit sorgen?
Herausforderungen von Zero Trust
Doch warum haben sich bislang erst vergleichsweise wenige Unternehmen für eine konsequente Zero-Trust-Implementierung entschieden?
Wie bei jeder neuen Technologie oder Philosophie gibt es auch bei Zero Trust Herausforderungen in der Umsetzung. Die wohl größten sind:
- Widerstand gegen den Wandel: Zero Trust stellt eine fundamentale Umwälzung dar in Bezug auf die Implementierung von Sicherheitsmaßnahmen. Daher stellen sich vor allem diejenigen gegen Zero Trust, die den klassischen Verteidigungsring gewohnt sind.
- Technologie- statt Strategiefokus: Nachdem Zero Trust ein Modell ist, das das gesamte Unternehmen betrifft, benötigt es eine sorgfältige Planung und vor allem eine durchdachte Implementierungsstrategie. Viele betrachten IT-Sicherheit nach wie vor vor dem Hintergrund, dass es reicht, einfach genügend Technologie hineinzustopfen. Dieser Ansatz ist jedoch im Bezug auf Zero Trust katastrophal.
- Altsysteme und -umgebungen: Viele Altsysteme und -umgebungen, die nach wie vor in Unternehmen benötigt werden, sind noch um das klassische Verteidigungsring-System aufgebaut. Das bedeutet, dass Änderungen hier in vielen Fällen als problematisch vermutet und daher aufgeschoben oder gar nicht umgesetzt werden.
- Zeit und Kosten: Zero Trust muss stets unternehmensweit implementiert werden. Das heißt, dass es definitiv einen nicht unerheblichen Zeit- und Kostenbedarf verursacht – beides Ressourcen, die in Unternehmen nicht unbedingt im Überfluss vorhanden sind.
Umsetzung von Zero Trust
Aber wie lässt sich nun Zero Trust erfolgreich im Unternehmen implementieren?
1. Planung über mehrere Jahre und Phasen: Zero Trust benötigt für eine Implementierung vor allem Zeit. Unternehmen sollten sich daher auch die Zeit nehmen und das Projekt über eine längere Zeitspanne und mehrere Phasen ausdehnen, um die Kosten auf mehrere Finanzjahre zu verteilen.
2. Festlegung einer übergreifenden Strategie: Zero Trust betrifft das gesamte Unternehmen. Daher ist eine gut durchdachte Strategie für eine erfolgreiche Implementierung essenziell. Hier ein Vorschlag für eine entsprechende Herangehensweise:
- Cloud-Umgebungen, neue Systeme und Projekte im Bereich digitale Transformation sind gute Ausgangspunkte: Entsprechende Projekte beginnen meist mit einem sprichwörtlichen weißen Blatt Papier und eignen sich daher gut für ein neues Sicherheitsmodell.
- Sichergehen, dass Zero Trust von Beginn an in neue Systeme, Upgrades und Änderungen eingepasst wird: Zero Trust sollte immer von Anfang an mit eingebaut werden, nicht erst nachträglich. Gerade wenn Altsysteme ausgewechselt oder eingemottet werden, sollte ein Zero-Trust-Modell Teil der neuen Einführungsstrategie sein.
- Ein zuverlässiges Change-Management-Programm einführen: Mittels eines entsprechenden Change-Managements kann das Denken im Unternehmen für Zero Trust angepasst werden.
3. Fokus auf Risiken und Business: So können Unternehmen sich auf den Schutz kritischer Informationen konzentrieren und die Investitionen in Zero Trust basierend auf ROI und Risikominimierung rechtfertigen.
4. Sicherstellen, dass die neue Umgebung entsprechend gewartet und verwaltet wird: Unternehmen müssen, wie bei allem, sicherstellen, dass ihr Zero-Trust-Modell stets gewartet und verwaltet wird und nicht im Laufe der Zeit erodiert.
Zusammengefasst lässt sich sagen, dass Zero Trust eine Sicherheitsphilosophie und -architektur ist, die die Herangehensweise an IT-Sicherheit in Unternehmen fundamental verändern wird. Ein Hauptbestandteil ist die Kontrollebene, die die Datenebene zur Bereitstellung der Daten anweist. Zero Trust legt dabei fest, dass der Zugang erst gewährt werden kann, wenn Nutzer/Anwendung zweifelsfrei authentifiziert sind – und selbst dann wird der Zugang lediglich auf „Need to know“-Basis gewährt.
Über den Autor: Dr. Uwe Heckert ist Vice President Client Management Public Sector für EMEA und Geschäftsführer der Unisys Deutschland GmbH.
(ID:46667392)
:quality(80)/images.vogel.de/vogelonline/bdb/1915400/1915463/original.jpg "„...dass Zero Trust so wichtig und effektiv ist, liegt in seiner Einfachheit als Modell begründet. “ Philipp Merth, Regional Vice President CER, Akamai Technologies (sdecoret - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1929600/1929690/original.jpg "ZTNA unterteilt das Netzwerk in Mikrosegmente. Um Zugriff auf ein Segment zu erhalten, müssen Nutzer sich erfolgreich authentifizieren. (alex - stock.adobe.com)")