Zero-Trust-Sicherheit: Ein umfassender Leitfaden

Der ehemalige Forrester-Analyst John Kindervag entwickelte 2010 das Konzept der Zero-Trust-Sicherheit. Er definierte es als ein Rahmenwerk, das davon ausgeht, dass jede Verbindung, jedes Gerät und jeder Benutzer eine potenzielle Bedrohung darstellt und als solche behandelt werden sollte.

Im Gegensatz zu den meisten anderen Cybersicherheitsstrategien beseitigt es implizites Vertrauen und verlangt, dass alle Benutzer, ob innerhalb oder außerhalb des Unternehmens, kontinuierlich authentifiziert werden, bevor sie Zugang zum Netzwerk erhalten. Einfach ausgedrückt: Zero Trust ist genau so, wie es klingt: eine Sicherheitsrichtlinie, bei der niemand – unabhängig von seiner Rolle oder Verantwortung – von vornherein als sicher angesehen wird.

Außerdem lehnt das Zero-Trust-Modell die Annahme eines Netzwerkrandes ab. In der heutigen Post-Perimeter-Landschaft reichen Netzwerke weit über ihre traditionellen Grenzen hinaus und können lokal, in der Cloud oder in einer Kombination aus beidem sein. Außerdem kann man angesichts des zunehmenden Fernzugriffs kaum noch sagen, wo sich eine Ressource befinden könnte.

Der Zero-Trust-Ansatz wurde speziell für die Herausforderungen der modernen Datensicherheit entwickelt, um jederzeit und überall einen sicheren Zugang zu wichtigen Ressourcen zu gewährleisten. Im Großen und Ganzen wird ein Zero-Trust-Netzwerk Folgendes leisten:

• Protokollierung und Untersuchung des gesamten Datenverkehrs zur Ermittlung verdächtiger Aktivitäten und potenzieller Bedrohungsvektoren
• Beschränkung und Kontrolle des Benutzerzugriffs, indem Anfragen erst nach Bestätigung der Benutzeridentität genehmigt werden
• Überprüfung und Sicherung von Unternehmensressourcen zur Verhinderung von unbefugtem Zugriff und Offenlegung

Warum ist das Zero-Trust-Modell so wichtig?

Unternehmen sind mit einer noch nie dagewesenen Anzahl von Cyberbedrohungen konfrontiert, sowohl intern als auch extern. Cyberkriminelle haben ihre Bemühungen erheblich verstärkt und haben es nun unaufhaltsam auf sensible Daten abgesehen.

Tatsächlich gab es bis Ende 2021 jede Woche über 900 Angriffe pro Unternehmen. Schlimmer noch: Hacker griffen Unternehmensnetzwerke im Jahr 2022 50 % häufiger an als im Jahr zuvor.

Es überrascht nicht, dass die Cyberkriminellen kein bisschen nachgelassen haben. Nach Angaben von PwC sehen zwei Drittel der Führungskräfte in der Cyberkriminalität die größte Bedrohung für die nahe Zukunft. Fast die Hälfte (45 %) rechnet mit einem weiteren Anstieg der Ransomware-Angriffe in der Zukunft.

Erschwerend kommt hinzu, dass die Unternehmen in den letzten Jahren sehr schnell Richtlinien für Fernarbeit und hybride Arbeitsformen eingeführt haben. Dies hat zu einer explosionsartigen Zunahme persönlicher, nicht verwalteter Geräte geführt, die sich mit dem Unternehmensnetzwerk verbinden, wodurch sich die Angriffsfläche des Unternehmens vergrößert.

Ohne die Möglichkeit, sensible Daten, die auf diesen Endgeräten gespeichert sind und auf die zugegriffen wird, zu sichern oder zu überwachen, sind Unternehmen einem größeren Risiko von Datenverstößen ausgesetzt als je zuvor. Dies ist besonders wichtig, wenn man bedenkt, wie hoch der Preis für einen schlechten Schutz vor Bedrohungen ist. Wie IBM berichtet, belaufen sich die durchschnittlichen Kosten einer einzelnen Datenschutzverletzung auf 4,5 Millionen USD. Diejenigen, die ein Zero-Trust-Sicherheitsmodell implementieren, sparen jedoch über 1 Million USD pro Vorfall.

Unternehmen sollten auch die mit der digitalen Transformation verbundenen Risiken berücksichtigen. Mit der zunehmenden Abhängigkeit von externen, cloudbasierten Anwendungen müssen Unternehmen neue, ausgefeilte Strategien für die Zugriffskontrolle und die Durchsetzung von Sicherheitsrichtlinien implementieren.

Wie unterscheidet sich Zero Trust von herkömmlicher Cybersicherheit?

Traditionelle Strategien verfolgen den Ansatz „Vertrauen, aber überprüfen“. Mit anderen Worten: Sie gehen davon aus, dass alles, was sich hinter der Unternehmensfirewall befindet, von Natur aus sicher ist.

Zero-Trust-Sicherheit, wie der Name schon sagt, macht das Gegenteil. Die Zugriffsrichtlinien werden nach dem Prinzip „Niemals vertrauen, immer überprüfen“ gestaltet. Unabhängig davon, woher eine Anfrage kommt oder welche Ressource sie nutzen soll, werden Zero-Trust-Umgebungen vor der Gewährung des Netzwerkzugriffs vollständig authentifiziert, autorisiert und verschlüsselt – niemals danach.

Daher ist der Zugriff auf Unternehmensressourcen standardmäßig nicht möglich. Ihre Mitarbeiterinnen und Mitarbeiter können sie nur unter den richtigen Umständen nutzen, die von einer Reihe von Kontextfaktoren bestimmt werden. Dazu gehören die Identität des Benutzers, seine Rolle im Unternehmen, die Empfindlichkeit der angeforderten Ressource, das verwendete Gerät usw.

Wie vom National Institute of Standards and Technology (NIST) in der Sonderveröffentlichung 800-207 dargelegt, basiert der Zero-Trust-Ansatz auf mehreren Kernphilosophien. Im Grunde genommen sind drei Zero-Trust-Prinzipien Bestandteil dieser einzigartigen Sicherheitsrichtlinie:

• Kontinuierliche Authentifizierung: Dies bezieht sich auf die Mittel zur Gewährung eines sicheren Zugangs auf der Grundlage eines akzeptablen Risikoniveaus. Im Einklang mit dem Zero-Trust-Ansatz müssen Sie Benutzer auf der Grundlage von Identität, Standort, Gerät, Dienst, Arbeitslast, Datenklassifizierung usw. autorisieren. Nach dieser kontextbezogenen Analyse kann der Benutzer entweder einfach zugelassen werden oder aufgefordert werden, zusätzliche Informationen über eine weitere Authentifizierungsanforderung bereitzustellen, oder er wird gesperrt, wenn das Risiko sehr hoch ist.
• Begrenzung des Explosionsradius: Unternehmen sollten immer von einer Datenschutzverletzung ausgehen. Das bedeutet, dass sie das Netzwerk kontinuierlich auf einer granularen Ebene segmentieren müssen, um den End-to-End-Verkehr zu überprüfen und die Transparenz der Benutzeraktivitäten zu maximieren. Auf diese Weise können sie die Erkennung von Bedrohungen vorantreiben, Anomalien erkennen und ihre Abwehrmaßnahmen ständig verbessern.
• Geringster privilegierter Zugang: Der Benutzerzugang sollte auf der Grundlage von Just-in-time- und Just-enough-Zugangskontrollrichtlinien eingeschränkt werden. Mit anderen Worten: Benutzer sollten nur die Erlaubnis haben, die Ressourcen zu nutzen, die sie für ihre Arbeit und die Erledigung wichtiger Aufgaben benötigen.

Die 5 Säulen des Zero-Trust-Reifegradmodells

Im Jahr 2021 hat die Cybersecurity & Infrastructure Security Agency (CISA) einen Fahrplan für die Umsetzung von Zero Trust erstellt. Dieses Dokument ist unter dem Namen Zero Trust Maturity Model bekannt und beschreibt, wie Organisationen die Zero-Trust-Prinzipien am besten über fünf Kernsäulen hinweg anwenden können:

• Identität: In diesem Bereich geht es um die Überprüfung und Autorisierung von Benutzern und Geräten, bevor der Netzzugang gewährt wird. Dazu kann die Implementierung einer Identitäts- und Zugriffsverwaltungslösung (IAM) oder einer Multi-Faktor-Authentifizierung (MFA) gehören.
• Geräte: Alle IoT- und anderen Geräte, die mit dem Unternehmensnetzwerk verbunden sind, können ausgenutzt werden, um sensible Daten zu kompromittieren. Diese Säule umfasst die Erstellung eines Inventars aller Verbindungen und die Überwachung ihrer Integrität zur schnellen Erkennung von Bedrohungen.
• Netzwerke: Ein Zero-Trust-Netzwerk sichert den gesamten Datenverkehr unabhängig von Standort oder Ressource und segmentiert sich selbst, um laterale Bewegungen zu begrenzen.
• Anwendungen und Workloads: Diese Säule umfasst den Schutz von On-Premise- und cloudbasierten Workloads durch Zugriffsrichtlinien auf Anwendungsebene und andere Mechanismen.
• Daten: Alle ruhenden, verwendeten oder bewegten Daten werden verschlüsselt, überwacht und gesichert, um eine unbefugte Offenlegung zu verhindern.

Es ist wichtig zu wissen, dass es so etwas wie eine einmalige Zero-Trust-Lösung nicht gibt. Genauer gesagt benötigen Unternehmen eine Vielzahl von mehrschichtigen Tools und Technologien. In Kombination bilden diese Fähigkeiten eine Zero-Trust-Architektur (ZTA).

Zu den wichtigsten dieser Technologien gehören:

• Verhaltensbiometrik
• Risikobasierte adaptive Authentifizierung
• Mikrosegmentierung
• Kontextbewusstheit
• Single Sign-On (SSO)
• Passwortloser Login

Obwohl Zero Trust noch in den Kinderschuhen steckt, bereiten sich viele Organisationen darauf vor, sich kopfüber in seine Prinzipien zu stürzen. Tatsächlich geben 36 % der CISOs an, dass sie bereits mit der Implementierung von Zero Trust begonnen haben. Weitere 25 % planen dies für die nahe Zukunft. Außerdem prognostiziert Gartner, dass bis 2026 mindestens 10 % der großen Unternehmen eine ausgereifte und messbare Zero-Trust-Architektur haben werden.

Wenn man sich die Vorteile vor Augen führt, wird klar, warum dies der Fall ist. Eine solide Zero-Trust-Sicherheitsrichtlinie ermöglicht es Ihnen:

• Verringern Sie das Unternehmensrisiko, indem Sie das implizite Vertrauen minimieren und über die traditionelle Netzwerksicherheit hinausgehen
• Unterstützen Sie die Einhaltung von Vorschriften durch den Schutz sensibler Daten und die Eindämmung von Bedrohungsvektoren
• Schützen Sie Multi- und Hybrid-Cloud-Implementierungen mit Zugriffskontrolle auf Anwendungsebene
• Ersetzen oder ergänzen Sie ein VPN, um den Fernzugriff und die Verschlüsselung zu verbessern
• Binden Sie Mitarbeiter schnell ein und skalieren Sie Ihr Geschäft mit der Gewissheit, dass die Angriffsfläche gut geschützt ist

Im Allgemeinen lässt sich der Umsetzungsprozess in einige grundlegende Schritte unterteilen:

1. Identifizieren der Schutzoberfläche: Dies bedeutet mit anderen Worten: Bewerten Sie alle kritischen Ressourcen – einschließlich Endgeräte, Benutzer, Anwendungen, Server und Rechenzentren –, die von Hackern angegriffen werden könnten.
2. Erfassen der Verkehrsströme: Auf diese Weise können Sie Netzwerktransaktionen untersuchen und überprüfen, um sicherzustellen, dass nur die richtigen Benutzer und Anwendungen Zugriff auf die richtigen Ressourcen haben.
3. Investition in ein IAM-Portfolio: Die Benutzeridentität steht heute im Mittelpunkt der Datensicherheit. Daher sind Identitäts- und Zugriffsmanagementtechnologien der Schlüssel, um zu verhindern, dass Anmeldedaten in falsche Hände geraten.
4. Überwachen, pflegen und verbessern Die kontinuierliche Überwachung Ihrer Umgebung erleichtert nicht nur die Erkennung von Risiken, sondern ermöglicht es Ihnen auch, proaktiv Schwachstellen zu erkennen und diese in Echtzeit zu beseitigen.

Es sei darauf hingewiesen, dass Unternehmen, die sich auf den Weg zu Zero Trust machen wollen, zunächst eine Reihe von Hindernissen überwinden müssen. Da eine Vielzahl von Richtlinien, Verfahren und Technologien erforderlich sind, ist dieser Prozess oft ein mehrjähriges Unterfangen.

Darüber hinaus stellen Legacy-Systeme eine weitere große Herausforderung dar, da viele ältere Tools nicht funktionieren oder einige Zero-Trust-Prinzipien nicht unterstützen. Die Ersetzung bestehender Sicherheitskontrollen und die Modernisierung der Technik kann ein kostspieliger Prozess sein, und finanzielle Beschränkungen könnten zusätzliche Hindernisse darstellen.

Angesichts dieser Faktoren ist es am besten, schrittweise vorzugehen. Die schrittweise Einführung des Rahmenwerks kann die Belastung durch die Einführung neuer Tools (oder die mögliche Überholung alter Systeme) verringern. In diesem Leitfaden finden Sie weitere Details zur Implementierung von Zero Trust: .

Bei Entrust wissen wir, dass Zero Trust die nächste Evolution der Cybersicherheit für Unternehmen ist. Aus diesem Grund haben wir ein Portfolio von IAM-Lösungen entwickelt, die die Grundlage für Ihre Zero-Trust-Architektur bilden können.

Insgesamt ist unsere Lösung so konzipiert, dass sie alle Bereiche abdeckt und Sie in drei wichtigen Komponenten schützt:

• Phishing-resistente Identitäten: Gestohlene und kompromittierte Anmeldedaten sind zwei der häufigsten Ursachen für Datenschutzverletzungen. Wir kombinieren MFA, passwortlose Sicherheit, adaptive Kontrollrichtlinien, Biometrie und andere Tools, um das Risiko von identitätsbasierten Angriffen zu verringern.
• Sichere Verbindungen: Daten sind ständig in öffentlichen und privaten Netzwerken unterwegs, werden über nicht verwaltete Endgeräte übertragen und gelangen in die Hände von Benutzern, die möglicherweise keine Zugriffsberechtigung haben. Wir sichern diese Verbindungen mit digitalen Zertifikaten, um sicherzustellen, dass nur die richtigen Personen auf die richtigen Informationen zugreifen – nicht mehr und nicht weniger.
• Sichere Daten: Unser Portfolio verschlüsselt Daten im Ruhezustand, während der Nutzung und in Bewegung, während gleichzeitig eine dezentrale Schlüsselinfrastruktur aufrechterhalten wird. Dies gewährleistet Vertraulichkeit, Integrität und sicheren Zugriff und erfüllt gleichzeitig strenge Compliance-Anforderungen.

Wir sind mehr als nur ein Anbieter, wir sind Ihr Partner auf jedem Schritt des Weges.