:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Zero Trust entschlüsselt Kontrolle ist gut – noch mehr Kontrolle ist besser
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Jeder spricht aktuell in der Security-Welt über Zero Trust. Doch leider scheint auch nahezu jeder Anbieter ein anderes Verständnis davon zu haben, was Zero Trust ist. Aber was genau zeichnet Zero Trust denn nun aus?
Der Zero-Trust-Ansatz wurde 2010 von John Kindervag als Philosophie und entsprechende Architektur ins Leben gerufen. Es ist jedoch keinesfalls eine spezifische Technologie. Innerhalb eines Zero-Trust-Modells gibt es drei Hauptbestandteile:
- 1. Nutzer-/Anwendungsauthentifizierung: Sowohl Nutzer als auch Anwendung (in den Fällen, in denen die Anwendungen automatisiert Zugriff anfordern) müssen unzweifelhaft authentifiziert werden. Nur so kann die Identität der anfordernden Instanz sicher gewährleistet werden.
- 2. Geräteauthentifizierung: Es reicht nicht, Nutzer und Anwendung zu authentifizieren. Das anfordernde Gerät muss ebenfalls authentifiziert werden.
- 3. Vertrauen: Zugriff wird erst dann gewährt, wenn Nutzer/Anwendung UND Gerät zweifelsfrei authentifiziert wurden.
:quality(80)/images.vogel.de/vogelonline/bdb/1681400/1681404/original.jpg "Das neue eBook „Zero Trust – Sicherheit vor Vertrauen“ stellt das Konzept vor und zeigt, warum Zero Trust eine logische Konsequenz der fortschreitenden Digitalisierung ist. (Production Perig - stock.adobe.com)")
Neues eBook „Zero Trust“
Zero Trust wird in der Digitalisierung immer wichtiger
Dieses Gerüst definiert also, dass wir nichts und niemandem vertrauen können – weder inner- noch außerhalb der Sicherheitsmaßnahmen. Das Zero-Trust-Modell arbeitet nach dem Prinzip „Nie vertrauen, immer verifizieren“. Es nimmt also quasi an, dass die Sicherheitsmaßnahmen keinen Bestand mehr haben und man demnach auch nicht davon ausgehen sollte, dass innerhalb der Sicherheitsmaßnahmen ein niedrigeres Sicherheits-Level etabliert werden kann. Dies hat sich leider bereits im Rahmen zahlreicher Attacken bewahrheitet. So konnten Angreifer ganz einfach den Verteidigungsring überwinden, indem sie vertrauenswürdige Verbindungen ausnutzen – beispielsweise mit Hilfe von Phishing.
Authentifizierung und Zugriffskontrollen
Um Zero Trust entsprechend zuverlässig zu implementieren, ist eine dezentrale Richtliniendurchsetzung notwendig – und zwar so nahe ans Netzwerk-Edge wie möglich. Das bedeutet, dass eine granulare Authentifizierung und Autorisierung so weit wie möglich von den Daten entfernt stattfindet wie möglich, also in den meisten Fällen direkt an dem Gerät, mit dem der Anwender auf die Daten zugreifen möchte. Anwender und Gerät sind also so lange nicht vertrauenswürdig, bis beide authentifiziert sind. Danach werden extrem granulare, rollenbasierte Zugriffskontrollen durchgesetzt.
Um das durchzusetzen, muss eine Kontrollebene implementiert werden, die den Zugriff auf die Daten koordinieren und konfigurieren kann. Diese Ebene ist Technologie-agnostisch, muss also einfach nur die beschriebene Aufgabe erfüllen. Zugriffsanfragen auf geschützte Ressourcen werden dabei immer zuerst an diese Kontrollebene gestellt, dort werden Anwender und Gerät authentifiziert und autorisiert. Auf dieser Ebene kann eine relativ grobmaschige Policy eingesetzt werden, also beispielsweise basierend auf der Rolle im Unternehmen, der Tageszeit oder der Geräteart. Sobald der Zugriff auf stärker abgesicherte Ressourcen erfolgt, kann dann selbstverständlich eine stärkere Authentifizierung eingesetzt werden. Sobald die Kontrollebene entschieden hat, den Zugriff zu gestatten, konfiguriert sie die Datenebene dynamisch so, dass Traffic von diesem Client – und nur von diesem – zugelassen wird. Zusätzlich kann sie auch einen verschlüsselten Tunnel zwischen dem Anforderer und der Ressource aufbauen, um ein Abfangen des Traffics zu verhindern.
:quality(80)/images.vogel.de/vogelonline/bdb/1539400/1539412/original.jpg "Zero Trust ist ein interessantes Sicherheitskonzept, das keine komplett neue Security-Landschaft im Unternehmen erfordert, sondern nur eine große Portion Mißtrauen. (anyaberkut - stock.adobe.com)")
Zero Trust Konzepte und Identitäten
Zero Trust – Kein Vertrauen ist auch keine Lösung
Bestandteile von Zero Trust und Kontrollebene
Die Durchsetzung von Zero Trust samt begleitender Kontrollebene, um die Datenebene dazu zu instruieren, von einem authentifizierten Client Traffic zu akzeptieren, erfordert einige essenzielle Bestandteile. Der erste und wichtigste ist eine Mikrosegmentierung und granulare Perimeterabsicherung, basierend auf:
- Anwendern
- Deren Aufenthaltsort
- Deren Geräten und Sicherheitsvorkehrungen
- Ihrem Verhalten
- Ihrem Kontext und anderen Daten
Diese Punkte werden dafür genutzt, um zu entscheiden, ob einem Anwender, einem Gerät oder einer Anwendung dahingehend vertraut wird, auf einen bestimmten Teil eines Unternehmensnetzwerks zuzugreifen.
In diesem Fall übernimmt also die Mikrosegmentierung quasi die Aufgaben der Kontrollebene. Da jedoch bereits erklärt wurde, dass Verschlüsselung ebenfalls ein essenzieller Bestandteil von Zero Trust ist, muss jede Mikrosegmentierung, die eine effektive Kontrollebene darstellen will:
- Traffic-Verschlüsselung zwischen den Endpunkten durchsetzen
- Anwender und Gerät basierend auf deren Identität authentifizieren, nicht auf dem Netzwerksegment, aus dem sie kommen.
Zero-Trust-Technologien
Wie bereits erwähnt, ist Zero Trust eine Architektur. Zusätzlich zur Mikrosegmentierung sind die folgenden Schlüsseltechnologien und -prozesse für eine Zero-Trust-Implementierung notwendig:
- Multifaktor-Authentifizierung: Zur Sicherstellung einer starken Authentifizierung.
- Identity and Access Management: Zur zweifelsfreien Authentifizierung von Nutzer/Anwendung und Gerät.
- Anwender- und Netzwerkverhaltensanalysen: Zum Verständnis der relativen Verhalten der Anwender und der Netzwerke, aus denen sie kommen und um jedes untypische Verhalten herauszustellen, das im Vergleich mit vorher festgelegten Ausgangswerten auffällig ist und ein Indiz für eine kompromittierte Identität sein kann.
- Endpunkt-Sicherheit: Um sicherzustellen, dass die Endpunkte als solche „sauber“ sind und nicht als Kanal für Angreifer dienen, um unautorisiert auf Daten zuzugreifen.
- Verschlüsselung: Um zu vermeiden, dass Traffic im Rahmen der Übertragung abgefangen wird.
- Scoring: Zur Erstellung eines Bewertungsmaßstabs basierend auf den vorigen Parametern, nach dessen Kriterien dann entschieden wird, ob Zugriff gewährt wird.
Des Weiteren sind die folgenden Kriterien ebenfalls notwendig:
- Dateisystem-Berechtigungen: Notwendig, um rollenbasierte Zugriffskontrollen zu implementieren
- Auditierung und Protokollierung: Um Monitoringfunktionen bereitzustellen für den Fall, dass ein unautorisierter Zugriff erfolgt
- Granulare, rollenbasierte Zugriffskontrollen: Um sicherzustellen, dass der Zugriff auf „Need to know“-Basis erfolgt
- Unterstützende Prozesse: Die vorigen Punkte müssen von entsprechenden Betriebsprozessen sowie einem zuträglichen Sicherheits-Framework unterstützt werden, um den Betrieb wie beabsichtigt zu gewährleisten
- Denkweise und organisatorisches Change-Management: Nachdem Zero Trust eine Umwälzung bei der Sicherheitsdenkweise darstellt, muss ein entsprechendes Change-Management gewährleistet werden. Nur so kann die erfolgreiche unternehmensweite Implementierung garantiert werden.
:quality(80)/images.vogel.de/vogelonline/bdb/1628400/1628400/original.jpg "Ein dauerhaftes Vertrauen gibt es in der IT-Sicherheit nicht mehr. An seine Stelle tritt ein risikobasiertes und vor allem temporäres Vertrauen. (davstudio - stock.adobe.com)")
Security-Insider Zero-Trust-Umfrage
Kann Zero Trust für mehr Sicherheit sorgen?
Herausforderungen von Zero Trust
Doch warum haben sich bislang erst vergleichsweise wenige Unternehmen für eine konsequente Zero-Trust-Implementierung entschieden?
Wie bei jeder neuen Technologie oder Philosophie gibt es auch bei Zero Trust Herausforderungen in der Umsetzung. Die wohl größten sind:
- Widerstand gegen den Wandel: Zero Trust stellt eine fundamentale Umwälzung dar in Bezug auf die Implementierung von Sicherheitsmaßnahmen. Daher stellen sich vor allem diejenigen gegen Zero Trust, die den klassischen Verteidigungsring gewohnt sind.
- Technologie- statt Strategiefokus: Nachdem Zero Trust ein Modell ist, das das gesamte Unternehmen betrifft, benötigt es eine sorgfältige Planung und vor allem eine durchdachte Implementierungsstrategie. Viele betrachten IT-Sicherheit nach wie vor vor dem Hintergrund, dass es reicht, einfach genügend Technologie hineinzustopfen. Dieser Ansatz ist jedoch im Bezug auf Zero Trust katastrophal.
- Altsysteme und -umgebungen: Viele Altsysteme und -umgebungen, die nach wie vor in Unternehmen benötigt werden, sind noch um das klassische Verteidigungsring-System aufgebaut. Das bedeutet, dass Änderungen hier in vielen Fällen als problematisch vermutet und daher aufgeschoben oder gar nicht umgesetzt werden.
- Zeit und Kosten: Zero Trust muss stets unternehmensweit implementiert werden. Das heißt, dass es definitiv einen nicht unerheblichen Zeit- und Kostenbedarf verursacht – beides Ressourcen, die in Unternehmen nicht unbedingt im Überfluss vorhanden sind.
Umsetzung von Zero Trust
Aber wie lässt sich nun Zero Trust erfolgreich im Unternehmen implementieren?
1. Planung über mehrere Jahre und Phasen: Zero Trust benötigt für eine Implementierung vor allem Zeit. Unternehmen sollten sich daher auch die Zeit nehmen und das Projekt über eine längere Zeitspanne und mehrere Phasen ausdehnen, um die Kosten auf mehrere Finanzjahre zu verteilen.
2. Festlegung einer übergreifenden Strategie: Zero Trust betrifft das gesamte Unternehmen. Daher ist eine gut durchdachte Strategie für eine erfolgreiche Implementierung essenziell. Hier ein Vorschlag für eine entsprechende Herangehensweise:
- Cloud-Umgebungen, neue Systeme und Projekte im Bereich digitale Transformation sind gute Ausgangspunkte: Entsprechende Projekte beginnen meist mit einem sprichwörtlichen weißen Blatt Papier und eignen sich daher gut für ein neues Sicherheitsmodell.
- Sichergehen, dass Zero Trust von Beginn an in neue Systeme, Upgrades und Änderungen eingepasst wird: Zero Trust sollte immer von Anfang an mit eingebaut werden, nicht erst nachträglich. Gerade wenn Altsysteme ausgewechselt oder eingemottet werden, sollte ein Zero-Trust-Modell Teil der neuen Einführungsstrategie sein.
- Ein zuverlässiges Change-Management-Programm einführen: Mittels eines entsprechenden Change-Managements kann das Denken im Unternehmen für Zero Trust angepasst werden.
3. Fokus auf Risiken und Business: So können Unternehmen sich auf den Schutz kritischer Informationen konzentrieren und die Investitionen in Zero Trust basierend auf ROI und Risikominimierung rechtfertigen.
4. Sicherstellen, dass die neue Umgebung entsprechend gewartet und verwaltet wird: Unternehmen müssen, wie bei allem, sicherstellen, dass ihr Zero-Trust-Modell stets gewartet und verwaltet wird und nicht im Laufe der Zeit erodiert.
Zusammengefasst lässt sich sagen, dass Zero Trust eine Sicherheitsphilosophie und -architektur ist, die die Herangehensweise an IT-Sicherheit in Unternehmen fundamental verändern wird. Ein Hauptbestandteil ist die Kontrollebene, die die Datenebene zur Bereitstellung der Daten anweist. Zero Trust legt dabei fest, dass der Zugang erst gewährt werden kann, wenn Nutzer/Anwendung zweifelsfrei authentifiziert sind – und selbst dann wird der Zugang lediglich auf „Need to know“-Basis gewährt.
Über den Autor: Dr. Uwe Heckert ist Vice President Client Management Public Sector für EMEA und Geschäftsführer der Unisys Deutschland GmbH.
(ID:46667392)
:quality(80)/p7i.vogel.de/wcms/0a/b0/0ab0966d6ddd6967a12ad4e873668fc4/0110808011.jpeg "Gegen Phishing ist die Mitarbeiter-Awareness eine elementare Maßnahme zur Gefahrenabwehr, ebenso wichtig sind aber technische und prozessuale Unterstützung. (Bild: tippapatt - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/1d/981de771a525a8f44b1b752531caed81/0111098213.jpeg "Einer Studie zufolge sind 56 Prozent der befragten Unternehmen bereits einer Insider-Attacke zum Opfer gefallen. Dabei legen die Mitarbeitenden zumeist keinerlei kriminelle Absichten an den Tag, sondern werden Opfer von Social Engineering. (Bild: oz - stock.adobe.com)")