5min. read

Der Begriff „Zero Trust“ wird häufig falsch verstanden und auch falsch verwendet. Richtig genutzt ist Zero Trust jedoch ein guter Ansatz zum Abbau systemischer Cyberrisiken und zur Verbesserung der Resilienz.

Die Migration in die Cloud bietet eine neue Chance für den Aufbau einer Zero-Trust-Architektur.

Was bedeutet Zero Trust eigentlich genau?

Einige Anbieter behaupten, Zero Trust beziehe sich ausschließlich auf das Identitäts- und Zugriffsmanagement, also darauf, wie Unternehmen autorisierten Benutzern Zugriff auf Ressourcen gewähren. Das ist zwar durchaus ein Aspekt des Zero-Trust-Ansatzes, aber es ist nur ein Teil einer größeren Strategie, bei der alle Risikobereiche eines Unternehmens für Identitäten, Infrastrukturen, Produkte, Prozesse und Lieferketten berücksichtigt werden.

Jeder Sicherheitsexperte wird bestätigen, dass es noch nie eine gute Idee war, Architekturen und Netzwerken blind zu vertrauen. Ein vertrauenswürdiges Netzwerk, das mit einem Rechenzentrum verbunden ist, könnte angegriffen werden, ein Endpunkt gehackt werden, ein vertrauenswürdiger Benutzer mit dem Schlüssel zu vertrauenswürdigen Daten böswillige Absichten entwickeln, ein vertrauenswürdiger Betriebssystemprozess von einem Trojaner übernommen werden, eine vertrauenswürdige Datei Schadcode enthalten usw.

Bei dem Zero-Trust-Ansatz werden daher alle impliziten Vertrauensbeziehungen zwischen den verschiedenen Instanzen aufgehoben. Oder stark vereinfacht gesagt: Damit platzieren Sie nicht nur Türsteher am Eingang Ihres Clubs, sondern auch im Club selbst und auf dem Parkplatz. Außerdem beschäftigen Sie noch einige Bodyguards, die Ihre Kunden außerhalb des Clubs begleiten. So einfach ist das Zero-Trust-Prinzip? Es dreht sich nur um mehr Sicherheit?

Seien wir mal ehrlich: Es ging noch nie darum, ob Unternehmen das Zero-Trust-Konzept einführen sollten oder nicht, sondern immer darum, ob es dieses Mal wirklich funktionieren würde und wie sich das Prinzip unter Berücksichtigung der hohen Kosten und geringen Veränderungsbereitschaft umsetzen ließe.

Zero-Trust-Strategie für Black Swans

Meiner Erfahrung nach haben Unternehmen, die eine Zero-Trust-Strategie erfolgreich eingeführt haben, sich in erster Linie auf das Risikomanagement konzentriert. Ich habe über zehn Jahre bei einem großen Finanzdienstleister gearbeitet und kenne mich daher mit Risikomanagement gut aus. Insbesondere weiß ich, dass manchmal relativ kleine Ereignisse massive Auswirkungen auf das ganze Unternehmen oder sogar die gesamte Branche haben können.

Solche Ereignisse werden „Black Swans“ genannt und treten seit einiger Zeit auch im Bereich der Cybersicherheit immer häufiger auf. Ransomware und Angriffe auf Lieferketten sind vermutlich die auffälligsten Symptome der Risiken, die jeden Tag Schlagzeilen machen. Dies ist ein guter Ansatzpunkt für eine Zero-Trust-Strategie.

Es gibt verschiedene Ursachen für diese technologischen Risiken, die im schlimmsten Fall sogar alle gleichzeitig zutreffen können:

  • Single Point of Failure:Dazu gehören grundlegende Infrastrukturkomponenten, die den Technologiestack zusammenhalten. Wird ein Active Directory, ein WebSSO oder eine DNS-Infrastruktur nicht richtig geschützt oder aufgesetzt, kann dies schnell zu einem wahren Albtraum werden.
  • Veraltete Softwaremonolithen: Das sind Betriebssysteme, Firmware und Software, die im gesamten Unternehmen genutzt, aber nicht regelmäßig gepatcht werden. Schon eine einzige Sicherheits - lücke wird dann zu einem gravierenden Ransomware- oder Sabotagerisiko.
  • Flache Netzwerke: Manche Unternehmen haben keine Segmentierung oder Netzwerkkontrollen für die IT (denken Sie dabei an all Ihre nicht verwalteten Geräte), die OT und das IoT eingerichtet. In diesen Fällen haben Hacker oder Viren und Ransomware leichtes Spiel.

Die Zero-Trust-Pyramide