Hinsichtlich der Sicherheit von Unternehmen galt jahrelang – und gilt vielfach bis heute – das Prinzip, die grundsätzlich sichere Innenwelt vor Bedrohungen von außen zu schützen.
Basis dafür ist die Trennung von Innen- und Außenwelt: physisch durch Zugangskontrollen in die Firmengebäude und virtuell durch Zugänge in das Netzwerk, die nur nach einer Authentifizierung der Benutzer:innen möglich sind, VPN und Firewalls. Innerhalb der physischen und digitalen Unternehmensgrenzen wiederum werden Aktivitäten mittels eines klassischen Berechtigungsmanagements zugelassen oder beschränkt.
Traditionelles Sicherheitsmanagement nicht mehr angemessen
Ein solches IT-Sicherheitsmanagement ist heute jedoch meist zu statisch. Es reicht angesichts der zunehmenden Digitalisierung und Cloud-Nutzung, dem Arbeiten von überall, der Integration von Kund:innen, Lieferant:innen und Geschäftspartner:innen sowie neuen Cyberbedrohungen nicht mehr aus.
Ein Beispiel soll dies verdeutlichen: Was ist, wenn vom Laptop einer Mitarbeiterin mitten in der Nacht auf Daten im Netzwerk zugegriffen wird, für die die Mitarbeiterin grundsätzlich eine Zugangsberechtigung hat? Ist die Zugriffszeit verdächtig und sollte daher zumindest ein Alarm ausgelöst oder automatisiert die Berechtigung zum Zugriff auf die Ressourcen vorübergehend aufgehoben werden? Ein klassisches Berechtigungsmanagement umfasst solche detaillierten Aspekte häufig nicht.
Zero Trust: Berechtigungen werden laufend verifiziert
Daher wird seit einiger Zeit das Konzept Zero Trust favorisiert. Es sieht einmal definierte und verifizierte Berechtigungen für Benutzer:innen nicht als dauerhaft an, sondern überprüft und verifiziert diese kontinuierlich mit Blick auf den Kontext erneut, bevor sie (teils zeitlich oder im Umfang limitiert) wieder gewährt werden. Dabei werden lediglich minimale Zugriffsrechte – also nur die unbedingt erforderlichen – erteilt.
Dies zeigt, dass die Bezeichnung „Zero Trust“ irreführend ist. Es geht nicht darum, jedem/ jeder Benutzer:in oder jedem technischen Device im Netzwerk stets zu misstrauen und grundsätzlich Böses zu unterstellen. Stattdessen wird implizites Vertrauen reduziert und jeder Zugriffswunsch einer sogenannten Identität (Benutzer:in, Gerät oder Anwendung) aktiv bewertet. Entsprechend dem Kontext und dem potenziellen Risiko wird der Zugriffswunsch gewährt, eingeschränkt oder abgelehnt. Also eher „Check and trust“ statt „Zero Trust“.
Kontext spielt eine wichtige Rolle bei Zero-Trust-Sicherheit
Der kontextbedingte Zugriff („conditional access“) ist ein entscheidendes Zero-Trust-Prinzip. Beispielsweise kann einem Benutzer, der grundsätzlich auf bestimmte vertrauliche Daten zugreifen kann, dieser Zugriff verweigert werden, wenn er sich aus einem Internet-Café heraus ins Netzwerk der Firma einwählt. Auf diese Weise kann ein Unternehmen den sicherheitstechnischen Herausforderungen der neuen hybriden Arbeitswelt und neuen Technologien gerecht werden.
Auch im Hinblick auf das obige Beispiel schafft eine Zero-Trust-Architektur zusätzlichen Schutz. Mögliche Hacker, die den Laptop der Mitarbeiterin gekapert haben, hätten sonst Zugang zu allem, was deren Zugriffsberechtigungen zulassen.
So macht Zero Trust eine bessere Überwachung der Bedrohungslage, die proaktive Identifizierung von Anomalitäten und dynamische Anpassungen in den Security-Prozessen möglich.
Zero Trust ist nicht mal eben umzusetzen
Die Beispiele decken zugleich die Herausforderungen bei der Einführung von Zero Trust auf. Es ist notwendig, alle unternehmenseigenen Systeme, Netzwerke, Applikationen, genutzte Dienste, die damit verbundenen Benutzer:innen mit ihren jeweiligen Rollen im Unternehmen sowie alle zu schützenden Ressourcen und Daten mit dem jeweiligem Grad der Kritikalität (Risikoklassifikation) zu kennen.
Für eine erfolgreiche Einführung ist somit eine penible und detaillierte Planung erforderlich. Außerdem ist Zero-Trust-Sicherheit kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Allerdings erfordert das Konzept keine komplette Neuausrichtung, sondern kann auf bestehenden Cyber-Security-Lösungen und Prozessen etwa im Bereich Identity & Access Management (IAM) aufbauen.
Cloud-Strategie nicht ohne Zero Trust
Zero Trust sollte Bestandteil jeder Cloud-Strategie sein. Dies gilt insbesondere bei der Nutzung der Public Cloud und bei einem Multi-Cloud-Ansatz. Denn die Verantwortung, die Unternehmens-Assets in einem Cloud-Netzwerk angemessen zu schützen, obliegt dem Kunden, nicht dem Cloud-Anbieter.
Wenn daher ein Unternehmen seine Anwendungen, Workloads und Daten von internen Rechenzentren in Hybrid- und/oder Public-Cloud-Umgebungen migriert, sollte die Zero-Trust-Sicherheit unbedingt mitbedacht werden.
Zunächst sind die zu schützenden Cloud-Assets zu definieren (z. B. CRM-Systeme, HR-Systeme). Dabei ist es wichtig, sich einen Überblick zu verschaffen über sämtliche cloudbasierten Anwendungen und die in der Cloud gespeicherten Ressourcen sowie die Benutzer:innen und Geräte, die darauf Zugriff haben.
Anschließend sollten die großen Themen durchdacht werden:
- Welche Möglichkeiten bestehen, das Ökosystem aufzuteilen? Die Mikrosegmentierung, also die granulare Unterteilung des Netzwerks in kleinere Sicherheitszonen mit strengen Zugangskontrollen, ist ein wesentliches Merkmal effektiver Zero-Trust-Architekturen.
- Inwiefern lässt sich das Prinzip der minimalen Zugriffsrechte auf möglichst einfache Weise verankern?
- Wie lässt sich die nahtlose Integration von privaten und öffentlichen Cloud-Umgebungen und deren Kontrolle sicherstellen?
Essenziell ist außerdem, dass die Cloud-Betreiber lediglich auf die Metadaten der Datenbanken zugreifen, nicht aber die eigentlichen Daten einsehen können.
Zero-Trust-Strategie lässt sich an Ressourcen und Erfordernisse anpassen
Die Zero-Trust-Strategie lässt sich passgenau an den Unternehmensanforderungen, der Netzwerkarchitektur und den vorhandenen Ressourcen ausrichten. So ist es nicht zwingend, das Konzept in allen Unternehmensbereichen zeitgleich vollständig einzuführen. Entscheidend ist nur, mit der Implementierung loszulegen. Das Konzept ist flexibel genug, um Umfang und Geschwindigkeit an den Reifegrad der Organisation anzupassen, also Zero Trust auf bereits implementierte Instrumente – zum Beispiel Multi-Faktor-Identifikation und weitere Cyber-Security-Maßnahmen – aufzusetzen.