Das Zero-Trust-Modell ist ein leistungsfähiges Authentifizierungsverfahren für das digitale Zeitalter von heute, in dem so gut wie überall Gefahren lauern. Bei diesem Modell sind sämtliche menschlichen Benutzer, Endgeräte, Mobilgeräte, Server, Netzwerkkomponenten, Netzwerkverbindungen, Anwendungs-Workloads, Geschäftsprozesse und Datenströme naturgemäß nicht vertrauenswürdig.
Sie müssen bei jeder durchgeführten Transaktion durchgehend authentifiziert und autorisiert werden, wobei alle diese Maßnahmen sowohl in Echtzeit als auch im Nachhinein überprüfbar sein müssen. Bei Zero-Trust handelt es sich um ein lebendiges System, in dem alle Zugriffsregeln ständig überprüft und korrigiert werden und alle erlaubten Transaktionen einer ständigen Überprüfung unterzogen werden. Gartner, Inc. prognostiziert, dass bis 2026 gute 10 % der Großunternehmen über ein ausgereiftes und messbares Zero-Trust-Programm verfügen werden. Heute sind es weniger als 1 %. Warum scheint die Einführung von Zero-Trust also so lange zu dauern? Weil es schwierig ist, es unternehmensweit und skalierbar zu integrieren.
Zero-Trust ist nicht nur eine Idee der Zukunft – vielmehr ist es eine notwendige und grundlegende Änderung der Art und Weise, wie ein Unternehmen die Themen Zugriff, Authentifizierung, Autorisierung, Audit und kontinuierliche Überwachung handhabt. Ein solides Programm für das Identity and Access Management (IAM) gehört zu den Grundvoraussetzungen für jedes Sicherheitsunternehmen, das böswilligen Akteuren einen Schritt voraus sein will.
Auch wenn Sie Zero-Trust nicht von heute auf morgen einführen werden, können Sie sich schon heute mit dem Wissen auf den Weg machen, dass Sie so Ihr Unternehmen vor allen möglichen aktuellen und zukünftigen Bedrohungen schützen können.
Zero Trust unterstützt Sicherheitsorganisationen dabei, die Möglichkeiten des LPA (Least Privileged Access) zu nutzen – das Konzept, dass Einzelpersonen und Komponenten nur so viel Zugriff haben sollten, wie für die Durchführung einer bestimmten Aktion erforderlich ist. Dabei wird zunächst ein zweiter Authentifizierungsfaktor auf einen Benutzer angewandt, der bereits durch Zugangsdaten verifiziert wurde.
Die gesamte Authentifizierung wird in Echtzeit überprüft, um festzustellen, ob sich die Verbindung der Person in einem zulässigen Geofence befindet, ob der Zugriff innerhalb des üblichen Arbeitszeitraums der betreffenden Person erfolgt und ob die Person nicht bereits eine bestehende Session nutzt.
Selbst wenn ein Angreifer Multi-Faktor-Codes herausbekommt (zum Beispiel über eine schwächere 2-Faktor-Authentifizierung (2FA) per SMS, die alles war, was sich ein Unternehmen leisten konnte), könnte er zwar eine erfolgreiche Verbindung herstellen, hätte aber keinen allgemeinen Zugriff auf alle Intranet-Systeme und -Dienste. Die VPN-Verbindung würde ihm nämlich nur Zugriff auf eine bestimmte Anzahl von Anwendungen oder Services gewähren. Wenn der Angreifer einen Netzwerk-Scan oder andere verhaltensbasierte Netzwerk-Aktionen durchführen will, werden die Monitoring-Systeme alarmiert und die fragliche Person und Verbindung werden zur Untersuchung unter Quarantäne gestellt.
Jede Transaktion unterliegt einer Reihe festgelegter Regeln zur Authentifizierung, Autorisierung und Verhaltensprüfung, die es dem übergreifenden Zero-Trust-System ermöglichen, die Sicherheit der Interaktionen zu gewährleisten.
Die Zero-Trust-Sicherheitsmethodik kann im Grunde auf alle Geräte, Anwendungen oder Menschen angewendet werden, die eine Verbindung zum Internet oder zu verbundenen Systemen herstellen. Die Authentifizierung erfolgt immer – insbesondere in sensiblen Fällen –, um das Unternehmen bestmöglich zu schützen. Schauen wir uns einige spezifische Anwendungsfälle an:
IoT-Geräte (Internet of Things) übertragen und empfangen ständig Daten von zahlreichen Anwendungen im Netzwerk eines Unternehmens. Bei traditionelleren Sicherheitsmodellen wurde den IoT-Geräten auf Grundlage verschiedener Faktoren ein gewisses Vertrauen geschenkt. Angesichts der wachsenden Zahl dieser Geräte – und der Angriffsfläche ihrer Benutzer – muss dringend ein Zero-Trust-Ansatz verfolgt werden, um die Sicherheit zu erhöhen und eine Authentifizierung zu gewährleisten.
Die Pandemie war ein Geschenk für die Angreifer, da Unternehmen auf der ganzen Welt verstärkt auf die Remote-Arbeit setzten, um Produktivitätseinbußen aufzufangen. Damit einher ging die Ausweitung der Angriffsbereiche quasi über Nacht, da eine solide Sicherheit der Aufrechterhaltung des Betriebs untergeordnet wurde.
Auch nach der Pandemie arbeitet ein großer Teil der globalen Belegschaft hybrid und verbringt einen Teil der Arbeitszeit im Büro und einen anderen Teil zu Hause. Daher sollten Lösungen wie Zero Trust weiterhin eingesetzt werden, um Unternehmen in dieser neuen Realität zu schützen. Das bedeutet, dass sich jeder Mitarbeiter täglich für den Zugriff auf die Netzwerkanwendungen des Unternehmens authentifizieren muss.
Die Zusammenarbeit mit externen Lieferanten und Anbietern ist in der heutigen Wirtschaft das A und O. Es gibt kein Unternehmen und keine Sicherheitsorganisation, die völlig unabhängig ist und trotzdem floriert. Stakeholder müssen davon ausgehen, dass jeglicher Zugriff auf ihr Netzwerk durch einen Dritten eine Schwachstelle darstellt. Deshalb müssen diese externen Anbieter ihre Anwesenheit im Netzwerk ständig bestätigen und authentifizieren, um Cyber-Bedrohungen, die von der eigenen Umgebung des Anbieters ausgehen könnten, zu mindern.
Ransomware ist auf eine Vielzahl von Fehlern zurückzuführen: Fehlkonfigurationen, menschliche Fehler, schwache Authentifizierungsprotokolle und ein generell mangelndes Bewusstsein für Cybersicherheit. Viele sind also dem Menschen zuzuschreiben. Deshalb ist eine Zero-Trust-Architektur ein wichtiges Mittel zur Abwehr von Ransomware. Sie erfordert die Authentifizierung des Zugriffs, wobei nur auf die Bereiche zugegriffen werden darf, auf die ein Mensch oder eine Anwendung tatsächlich zugreifen muss.
Auch wenn dieser Abschnitt ein ganzes Buch füllen könnte, werden wir uns hier auf den Anfang einer Zero-Trust-Implementierung konzentrieren. Dazu müssen Sie mindestens einen Geschäftsprozess oder einen Service-Zugriff auswählen, den Sie auf dieses neue Modell umstellen möchten.
Jede Komponente und jede Person, die für die Bereitstellung eines Geschäftsprozesses oder -services verantwortlich ist, muss identifiziert und die Architektur vollständig dokumentiert werden. An dieser Stelle werden Sie vielleicht feststellen, dass Sie die Architektur neu konzipieren müssen, damit Sie über die erforderlichen Kontroll- und Audit-Möglichkeiten verfügen.
Dann benötigen Sie Lösungen für die Authentifizierung, Autorisierung, Überprüfung, Risikobewertung und Durchsetzung, um die Zugriffsentscheidungen an jeder Verbindungsstelle im Prozess oder Service zu unterstützen. Nicht zuletzt benötigen Sie das Personal für die Erstellung und Pflege der durchgesetzten Regeln sowie für die üblichen Maßnahmen wie Patching, Schadensbegrenzung und Konfigurationsmanagement.
Wiederholen Sie diesen Vorgang dann für alle anderen Prozesse und Services. Es ist also mit einem erheblichen Aufwand verbunden, ein skalierbares Zero-Trust-System auf die Beine zu stellen.
Sie sollten jedoch nicht alle Geschäftsprozesse und Services auf einmal auf Zero-Trust umstellen – was in der Realität auch gar nicht möglich ist. Nachdem Sie Ihren ersten Service beurteilt haben, können Sie mit der Beschaffung der notwendigen Tools und der Einstellung der erforderlichen Mitarbeiter beginnen. Dann können Sie, sofern die finanziellen und zeitlichen Möglichkeiten es zulassen, den anfänglichen Dienst auf Zero Trust umstellen und ihn eine Zeit lang beibehalten. Gleichzeitig evaluieren Sie, was zur Erhaltung der Sicherheit und Resilienz erforderlich ist. Sobald Sie Ihre Tool- und Personalpläne entsprechend angepasst haben, können Sie sich den anderen Prozessen oder Services zuwenden.
Glücklicherweise sind viele dieser Komponenten und Arbeitskräfte bereits Bestandteil Ihrer bestehenden Sicherheits- und Compliance-Lösungen und -Prozesse. Dadurch können Sie Ihre vorhandenen Investitionen endlich zu mehr als den 5-15 % nutzen, die die meisten Unternehmen in der Regel in Anspruch nehmen.
Eine der größten Herausforderungen bei der Einführung von Zero-Trust in Ihrem Unternehmen ist die Befürchtung, dass die mit diesem Modell verbundenen Einschränkungen die Produktivität verringern und die Kreativität beeinträchtigen werden. Diese Ängste können durch das richtige Zero-Trust-Framework überwunden werden: