Trust Modell und Zero Trust Trust oder Zero Trust? – Das ist hier die Frage

Anbieter zum Thema

Arvato Systems

TXOne Networks

Keeper Security EMEA Ltd.

Infosys Ltd.

Der Kontrollverlust in der aktuellen COVID-19 Krise weckt das Bedürfnis nach mehr Kontrolle, nicht nur im Gesundheitswesen, sondern in allen Bereichen der Gesellschaft und Wirtschaft. Auch in der Cybersecurity wird über das „Zero-Trust“-Modell nachgedacht, das für verstärkte Kontrollmechanismen und ständige Überprüfung steht. Aber ist das der richtige Weg oder wären Unternehmen mit einem „Trust“-Modell besser bedient?

In den vergangenen Jahren haben zahlreiche Studien gezeigt, dass die meisten Menschen darauf vertrauen, dass das Schicksal es gut mit ihnen meint und sie positive Erfahrungen machen. Selbst wenn sie mit potenziellen Wahrscheinlichkeiten oder Ergebnissen konfrontiert werden, tendiert ein Großteil der Menschen noch immer zu der Überzeugung, mehr „Schwein zu haben“ als etwa der Durchschnittsbürger. Die aktuelle COVID-19-Krise hat uns von einem Augenblick zum nächsten aus unserer kollektiven Selbstgefälligkeit gerissen und dabei das Bedürfnis in uns geweckt, uns vor weiteren Risiken zu schützen und vor allem die Kontrolle zurückzugewinnen. Dieses Bedürfnis hat unter anderem dazu geführt, über ein sogenanntes „Zero Trust“-Modell in der Cybersecurity nachzudenken.

Das Zero-Trust-Konzept wurde ursprünglich vom Marktforschungsunternehmen Forrester Research entwickelt und später von zahlreichen Unternehmen aufgegriffen. Das Modell gibt vor, dass Organisationen Abschied vom traditionellen, auf Perimetern basierten Security-Modell nehmen. Stattdessen sollten Kontrollmechanismen implementiert werden, die alle Parameter kontrollieren: Menschen ebenso wie Endgeräte, Daten, Netzwerke und Workloads. Auch die Security-Annahmen ändern sich. Anstatt davon auszugehen, dass Personen und Geräte generell vertrauenswürdig sind und dies durch Eingabe von Passwörtern und Zwei-Faktoren-Authentifizierung bestätigen, liegt dem Zero-Trust-Modell dieses Vertrauen nicht zugrunde. Alle Geräte, Sensoren und Personen werden zunächst einmal als nicht vertrauenswürdig eingestuft.

Zero Trust bedeutet darüber hinaus, dass Unternehmen stets davon ausgehen müssen, angegriffen oder kompromittiert zu werden. Daher schützt nur eine Kombination verschiedener Maßnahmen wie etwa leistungsstarke Möglichkeiten zur Identifizierung, Authentifizierung und Autorisierung sowie Isolation, Verschlüsselung und Automatisierung vor einem erfolgreichen Angriff. Strikte Kontrollen werden dann basierend auf dieser Annahme sowie einer datenzentrischen Security-Architektur entwickelt. Eine weitere Interpretation von Zero Trust geht davon aus, dass Unternehmen sich – trotz umfassender Schutz- und Verteidigungsstrategie – nicht in Sicherheit wiegen können und alle eingesetzten Maßnahmen bei jeder Betriebskontrolle überprüfen sollten.

Für viele Chief Information Security Officer (CISOs) stellt dies eine große Herausforderung dar, denn einerseits müssen sie den eingesetzten Maßnahmen vertrauen, andererseits ist ein umfassendes Risikomanagement genauso wichtig. Prinzipiell wägen CISOs kontinuierlich Risiken gegen Akzeptanz und gegen Schadensbegrenzung ab – nur so können sie eine vertrauenswürdige Basis schaffen.

Tatsächlich sind wir als Menschen auf Vertrauen angewiesen – auch wenn wir uns nicht in jeder Situation darauf verlassen können. Vertrauen ist ein wichtiger und notwendiger Überlebensinstinkt. Beispielsweise hat sich soziales Engagement (ein Indikator für Vertrauen) in der Menschheitsgeschichte als Vorteil im Überlebenskampf erwiesen. Vertrauen kann uns aber auch in Schwierigkeiten bringen. Auf einer kollektiven Ebene spielt es keine große Rolle, solange die Mehrheit der Menschen vertrauenswürdig ist. Auf der individuellen Ebene kann es jedoch zu Problemen führen. Um als Individuen bestehen zu können, müssen wir lernen, vernünftig zu vertrauen und vorsichtiger zu sein.

Wäre diese Kombination aus Vertrauen und Vorsicht auch im Kontext der Cybersecurity möglich? Und wie lässt sich dies umsetzen?

Banken und Einzelhändler nutzen beispielsweise bereits das sogenannte „Trust Modell“, um Zahlungen zu autorisieren. Ein Geldautomat wechselt täglich zwischen Millionen Transaktionsprozessen hin und her – alle Autorisierungen basieren dabei auf dem Trust Modell. Identitäts- und Authentifizierungsföderationsmodelle werden bereits seit mehreren Jahren eingesetzt, um funktions- und unternehmensübergreifend eine Vertrauensbasis zu schaffen. Zahlungskarten mit Sicherheitscode sind ein weiteres Beispiel dafür, wie durch Authentifizierung und Autorisierung Vertrauen aufgebaut werden kann. Damit all dies zuverlässig funktioniert – auf einer kollektiven Ebene – benötigt es technische Kontrollen, die zuverlässig und fallbasiert den Zugriff erlauben oder ablehnen. Dies wiederum bedeutet, dass ein robustes Modell eingeführt werden muss, bei dem der (virtuelle) Handschlag die höchste Integrität aufweist, gefolgt von der Autorisierung. Die Einführung eines solchen Modells ist eine Aufgabe für CISOs und ihre Teams.

Hat sich das Trust Modell erst einmal etabliert, kann es durch Zero Trust noch verbessert und verstärkt werden, unter anderem durch folgende Maßnahmen:

• Durchdachte Kontrollen und Reaktionen, die auf der Annahme basieren, dass das Unternehmen kontinuierlich angegriffen wird.

• Kontinuierliche Weiterentwicklung und Verbesserung der Security für Anwender, Geräte, Netzwerke, Daten und die Cloud innerhalb und außerhalb des Unternehmens.

• Ohne davon auszugehen, dass jede Kontrolle autark ist, wird jede Transaktion leistungsstarken mehrdimensionalen und umfassenden Kontrollen unterzogen – dies muss im Rahmen der eingesetzten Verteidigungsstrategie durchgeführt werden.

Zurück zur Frage „Trust oder Zero Trust“? – Die Antwort liegt wahrscheinlich darin, dass Zero Trust zum Ziel hat, Vertrauen aufzubauen.

Über den Autor: Vishal Salvi ist Chief Information Security Officer & Head of Cyber Security Practice bei Infosys.

(ID:46799303)