5min. read

Was bedeutet „Zero Trust“ wirklich?

„Zero Trust“ wurde 2010 von Forrester Research ins Leben gerufenund ist ein Cybersicherheitsmodell, das Unternehmen zur Eliminierung riskanter und implizit als vertrauenswürdig eingestufter Interaktionen zwischen Benutzern, Maschinen und Daten nutzen können. Das Zero-Trust-Modell bietet Unternehmen die Möglichkeit, sich vor Bedrohungen zu schützen, ganz gleich, von welchem Vektor sie ausgehen – ob von der anderen Seite der Welt oder vom selben Bürogebäude. Zu den ursprünglichen Prinzipien eines erfolgreichen Zero-Trust-Modells zählten:

  • Sichere, standortunabhängige Zugriffsmechanismen für sämtliche Ressourcen
  • Eine Strategie der minimalen Zugriffsrechte und strenge Zugriffsbeschränkungen
  • Kontrolle und Protokollierung des gesamten Datenverkehrs

Nach 11 Jahren haben sich diese Ideen und Prinzipien weiterentwickelt, um mit der voranschreitenden digitalen Transformation, dem mobilen Arbeiten und der zunehmenden Nutzung eigener Geräte (Bring Your Own Device, BYOD) Schritt zu halten. Neue Prinzipien wurden mit Blick auf die Zero-Trust-Anordnung der US-Bundesregierung entwickelt, festgelegt in der PublikationNIST 800-207,mit weiteren Details in der Zero Trust Architecture des NCCoE. Diese Prinzipien umfassen:

  • einen Umstieg von Netzwerksegmentierung auf den gezielten Schutz von Assets, Services, Arbeitsabläufen, Netzwerkkonten und anderen Ressourcen,
  • die Einführung getrennter Authentifizierungs- und Genehmigungsfunktionen, die jede Sitzung, jeden Benutzer und jedes Gerät mit starker Authentifizierung sichern, und
  • die Unterstützung von kontinuierlichem Monitoring.

Warum ist das so wichtig für die Cybersicherheit?

Die Umstellung auf Zero Trust stellt eine der größten Veränderungen im Sicherheitsansatz von Unternehmen dar. Bevor Sie einen Zero-Trust-Ansatz verfolgen, versuchen die meisten Unternehmen, ihre Sicherheit als eine Art Tor zu verwalten: Sobald eine Transaktion im bewachten Bereich validiert wurde, wird ihr uneingeschränkt Vertrauen geschenkt.

Dieser Ansatz ist problematisch, da Angriffsvektoren nicht immer von außerhalb dieses Bereichs einfallen. Mit dem weltweiten Wachstum der digitalen Transformation und von hybriden Belegschaften sind Ressourcen zudem nicht mehr ausschließlich hinter „Sicherheitstoren“ zugänglich. Zero-Trust-Methoden setzen die kontinuierliche Validierung jedes Elements einer Interaktion voraus – unabhängig davon, wo sie stattfindet –, einschließlich aller Benutzer, Maschinen, Anwendungen und Daten. In diesem Modell existiert implizites Vertrauen nicht mehr.

„Zero Trust“: Was hat es mit diesem Modewort auf sich?

Viele Unternehmen machen Zero Trust heute zu einem Produkt. Sie betiteln ihre Angebote als „Zero-Trust-Lösungen“, ohne dabei zu bedenken oder darauf hinzuweisen, dass Zero Trust ein Modell und strategisches Framework ist und keine Produktlösung. Mit Blick auf den Cybersicherheitsmarkt gibt es Anbieter, die sich als „DEN Zero-Trust-Akteur" bezeichnen.

Bei genauerer Betrachtung decken diese Anbieter jedoch oft nur ein Zero-Trust-Prinzip ab – beispielsweise unterstützen sie Tunnelservices zwischen Benutzern und Anwendungen. Dies entspricht dem zweiten ursprünglichen Prinzip, eine Strategie der minimalen Zugriffsrechte zu implementieren und strenge Zugriffsbeschränkungen durchzusetzen. Gleichzeitig kann es derselbe Anbieter versäumen, auch das erste Prinzip zu erfüllen: sichere, standortunabhängige Zugriffsmechanismen für sämtliche Ressourcen bereitzustellen. Wenn sie implizit darauf vertrauen, dass der Benutzer keine Bedrohung darstellt, überprüfen sie die Tunnelverbindung auch nicht auf Malware oder Exploits.

Andere Anbieter decken nur einige Aspekte des ersten ursprünglichen Prinzips ab und behaupten, dass sich mit Identitäts- und Autorisierungsprüfungen Zero Trust erreichen ließe. Wiederum andere Anbieter sagen vielleicht, dass nur der webbasierte Datenverkehr gescannt werden muss. Wenn allerdings nur Teile des Zero-Trust-Modells implementiert werden, entstehen im Netzwerk Bereiche des impliziten Vertrauens, die das Unternehmen anfällig für Schwachstellen machen.

Unsere Empfehlung: Was sollten Führungskräfte bei der Zero-Trust-Implementierung beachten?

Der erste Schritt ist, Ihre Vorstellung effektiver Unternehmenssicherheit anzupassen und von einem „Gated“-Ansatz auf die kontinuierliche Validierung aller Interaktionen umzusteigen. Um diesen Wandel herbeizuführen, sollten Sie

  • ermitteln, welche Ressourcen Ihr Unternehmen schützen muss, wo sie sich befinden und welche Interaktionen in ihnen, um sie herum und über sie stattfinden;
  • bedenken, dass Benutzer, Anwendungen und Infrastruktur/Geräte für jede Interaktion, die sie einleiten, validiert werden müssen; und
  • verste