Suchen

Definition Zero Trust Was ist ein Zero-Trust-Modell?

| Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

Das Zero-Trust-Modell ist ein Sicherheitskonzept, das auf dem Grundsatz basiert, keinem Gerät, Nutzer oder Dienst innerhalb oder außerhalb des eigenen Netzwerks zu vertrauen. Es erfordert umfangreiche Maßnahmen zur Authentifizierung sämtlicher Anwender und Dienste sowie zur Prüfung des Netzwerkverkehrs.

Firmen zum Thema

Wichtigster Grundsatz des Zero-Trust-Modells ist es, niemandem innerhalb oder außerhalb des Netzwerks zu vertrauen.
Wichtigster Grundsatz des Zero-Trust-Modells ist es, niemandem innerhalb oder außerhalb des Netzwerks zu vertrauen.
(Bild: gemeinfrei / CC0 )

Beim Zero-Trust-Modell handelt es sich um ein Sicherheitskonzept, das grundsätzlich allen Diensten, Anwendern und Geräten misstraut. Es wird kein Unterschied zwischen Diensten, Anwendern und Geräten innerhalb oder außerhalb des eigenen Netzwerks gemacht. Sämtlicher Verkehr muss geprüft werden und alle Anwender oder Dienste müssen sich authentifizieren.

Ziel des Modells ist es, das Risiko für Firmennetze und -anwendungen zu minimieren und neben externen Bedrohungen auch interne Gefahrenpotentiale auszuschließen. Herkömmliche Sicherheitskonzepte stuften lediglich externen Datenverkehr als gefährlich ein und vertrauten sämtlichen internen Anwendern und Services.

Merkmale und Grundsätze des Zero-Trust-Modells

Wichtigster Grundsatz des Zero-Trust-Modells ist es, niemandem innerhalb oder außerhalb des Netzwerks zu vertrauen. Daraus ergibt sich die Forderung, sämtliche Anwender und Anwendungen zu authentifizieren und den Datenverkehr grundsätzlich zu verschlüsseln. Die Verschlüsselung ist bei der Speicherung und Übertragung von Daten auf Netzwerk- und Anwendungsebene erforderlich. Alle Assets des Unternehmens sind zu inventarisieren und benötigte Zugriffsrechte auf Anwendungen oder Geräte genau zu definieren. Sowohl an den Netzwerkgrenzen als auch innerhalb des eigenen Netzwerks sind Systeme vorzusehen, die den Verkehr analysieren, zulassen oder verbieten und sämtliche Aktionen in Log-Dateien aufzeichnen.

Abgrenzung zwischen dem Zero-Trust-Modell und herkömmlichen Sicherheitskonzepten

Herkömmliche Sicherheitskonzepte gehen davon aus, dass alle Dienste, Geräte und Anwender innerhalb des eigenen Netzwerks vertrauenswürdig sind. Nur Netzwerkverkehr und Zugriffe, die von außen erfolgen, sind potentiell gefährlich und müssen analysiert und beschränkt werden. Diese Konzepte haben den Nachteil, dass sobald jemand in das Firmennetz eingedrungen ist, kaum noch Sicherheitsvorkehrungen vorhanden sind, gefährliche Aktionen und Zugriffe zu verhindern. Zudem berücksichtigen diese Konzepte die Tatsache nicht, dass ein erhebliches Bedrohungspotential von den eigenen Mitarbeitern ausgeht. Das Zero-Trust-Modell stellt im Vergleich zu herkömmlichen Konzepten einen Paradigmenwechsel dar, indem es alle Geräte, Dienste und Anwender gleichbehandelt und ihnen grundsätzlich misstraut. Dieser Paradigmenwechsel hat erhebliche Auswirkungen auf die IT-Security-Architektur, da nicht mehr nur an den Netzwerkgrenzen, sondern im kompletten Netzwerk Sicherheitssysteme vorzusehen sind.

Praktische Umsetzung des Zero-Trust-Modells

Die praktische Umsetzung des Zero-Trust-Modells erfordert für ein Unternehmen großen Aufwand. Alle Bereiche der IT sind von dem Sicherheitskonzept betroffen und müssen kontrolliert werden. Sämtliche Dienste, Anwender und Geräte sind zu erfassen und Systeme zur Authentifizierung der User und Prüfung des internen oder externen Datenverkehrs bereitzustellen. Um dies zu realisieren, werden Netzwerke in der Regel segmentiert (beispielsweise in VLANs). Dies gestattet eine einfachere Kontrolle des Datenverkehrs durch interne Firewalls und Intrusion Detection Systeme (IDS). Im Ausgangsstatus sind keinerlei Zugriffe und Datenverkehre zwischen den verschiedenen Systemen erlaubt. Nur für authentifizierte Anwender und Dienste werden Policies definiert, die Zugriffe und Datenverkehre zulassen. Die Policies sind bei Veränderungen anzupassen und stets auf dem aktuellsten Stand zu halten.

(ID:45488651)

Über den Autor