Was müssen Unternehmer über „Zero Trust“ in der Firmen-IT wissen?

B4BSCHWABEN.de fragte unseren Experten für Cyber Security Andreas Metz

„Zero Trust: Was ist darunter zu verstehen, was bedeutet das für die Unternehmens-IT und wie geht man als IT-Verantwortlicher konkret damit um?“

Zero Trust ist kein installierbares Produkt oder kaufbarer Service. Zero Trust ist ein Sicherheitsmodell mit passender IT-Architektur, um Unternehmens-IT-Infrastrukturen zu schützen, unabhängig von deren Speicher- oder Betriebsorten. Zero Trust wird als der neue „Gold-Standard“ für den sicheren IT-Betrieb der Zukunft angesehen. Es gelten dabei diverse - mitunter neue - Grundpfeiler und Anforderungen für die Umsetzung.

Klassische IT-Absicherungssysteme sind bereits überholt

Bei den aus der „Pre-Cloud Ära“ bekannten und geltenden Methoden der „klassischen Absicherung“ von IT-Infrastrukturen, wird davon ausgegangen, dass alle Geräte, Server, Dienste und Benutzer innerhalb des eigenen Netzwerks vertrauenswürdig sind. Dies basiert auf der Annahme, dass alles, was zum IT-Inventar der Firma gehört, auch sicher ist. Die Folge daraus ist: im LAN, also „drinnen“ sein, ermöglicht Vollzugriff auf interne Systeme. Dieses bisher vorherrschende Perimeter-Schutz-Modell - „drinnen gut, draußen böse“ hat allerdings zum Nachteil, dass sich unberechtigt eingedrungene Hacker, Trojaner oder allgemein Schadcode relativ schnell im Netzwerk ausbreiten können. Zumal bei diesem Prinzip auch oftmals innerhalb des eigenen Netzwerks ein relativ niedriges Sicherheitsniveau praktiziert wird, welches es Angreifern ermöglicht, sich unbemerkt schrittweise auszubreiten (sog. „Lateral Movements“). Auch das Thema „Innentäter“ und potenzielle Systemschwachstellen sollte nicht vernachlässigt werden. Diese stellen ebenso eine Bedrohung dar, da es keine Barrieren oder Zonen gibt, die bei einer möglichen Kompromittierung von Systemen als virtuelle Grenze dienen könnten.

Wie sieht zeitgemäße Cyber-Security aus?

Warum gilt nun dieser Perimeter-Ansatz nicht mehr? Die Antwort darauf ist omnipräsent: ein fortschreitender IT-, Technologie- und Anwendungs-Shift in Richtung SaaS, Cloud oder Private Cloud. Kurz: die klassische IT mit eigenen Servern im eigenen Haus bzw. im Keller (OnPremise RZ) wird mehr und mehr abgelöst. Hybride RZ- und Workplace-Modelle haben sich etabliert, SaaS-Lösungen, externe Dienstleister, aber auch das Nutzerverhalten der User hat sich gewandelt. Das Konsumieren der Corp-Dienste und Anwendungen unabhängig vom Standort, mobil, aus dem Home-Office, mit BYOD (Bring Your Own Device), multiplen Endgeräten, auf Smartphones, alles erfordert ein Höchstmaß an flexiblen Lösungen. Denn weiterhin gilt: alle Benutzer und Entitäten benötigen Zugriff auf Unternehmens-Ressourcen und Daten. Damit reißen diese Anforderungen zwangsweise Löcher in die altbekannte Abwehrmethodik.  Die Zeit ist also reif für ein neues Sicherheitsmodell, das sich nahtlos in komplexe moderne Umgebungen einfügt, den hybriden Arbeitsplatz einbezieht sowie Nutzer, Geräte, Anwendungen und Daten an praktisch jedem Ort schützt: Zero Trust.

Zero Trust folgt dabei konkreten Prinzipien:

• „Verify Explicitly“ - Explizite Kontrollen beim Zugriff auf Ressourcen, ständig, wiederkehrend, nicht nur einmalig beim Netzzugang oder der Anmeldung am PC. Beziehen Sie alle verfügbaren Datenpunkte in die Authentifizierung und Autorisierung ein – Identität, Standort, Geräteintegrität (zum Beispiel den Sicherheits- und/oder Compliance-Status), Datenklassifizierung, Anomalien, Dienst oder Workload.
• „Least Privilege“ Access, also das Prinzip der geringstmöglichen Berechtigungen. Schränken Sie den Nutzerzugriff mit JIT/JEA (Just-in-Time/Just-Enough-Access), risikobasierten adaptiven Richtlinien ein, um Ihre Anwendungen und Daten zu schützen und produktiv zu bleiben.
• „Assume Breach“, also die Annahme, dass ein Cyber Angriff Sie (oder besser ihre IT-Infrastruktur) definitiv treffen wird oder sogar (unwissentlich) schon erwischt hat. Es geht bei allen Sicherheitsmaßnahmen also nicht mehr um das reine Verhindern, sondern das frühzeitige Erkennen und Minimierung des potenziellen Schadens.

Wir empfehlen Ihnen, frühzeitig eine Zero Trust Strategie in Angriff zu nehmen konkrete Planungen einzuleiten. Sprechen Sie dazu am besten Ihren IT-Partner an.

Sie haben Rückfragen an unseren Experten Andreas Metz oder wünschen eine tiefergehende Beratung? Dann nehmen Sie jetzt direkt Kontakt auf.