Firmensicherheit

Vertraue niemals, verifiziere immer: Das Zero-Trust-Sicherheitsmodell

Was ist Zero-Trust und wieso ist es so lukrativ für moderne Unternehmen?

Sergey Golubev
28 Jul 2020

Das Zero-Trust-Modell hat in den letzten Jahren bei Organisationen und Unternehmen an Popularität gewonnen. Daten aus dem Jahr 2019 zufolge hatten 78% der Informationssicherheitsteams dieses Modell umgesetzt oder zumindest einen solchen Schritt geplant. In diesem Beitrag analysieren wir die Merkmale des Zero-Trust-Sicherheitskonzept, um zu verstehen, warum es so attraktiv für Unternehmen ist.

Perimeter-Schutz adé

Der Perimeter-Sicherheit ist ein weit verbreiteter Begriff im Bereich der Unternehmensinfrastruktursicherheit. Es handelt sich dabei um die Anwendung gründlicher Sicherheitschecks für alle Zugriffsversuche, die von außerhalb der Unternehmensinfrastruktur auf Unternehmensressourcen unternommen werden. Im Wesentlichen stellt es eine Grenze zwischen dem Unternehmensnetzwerk und dem Rest der Welt dar. Innerhalb des Perimeters, d. h. innerhalb des Unternehmensnetzwerks, handelt es sich jedoch um eine vertrauenswürdige Zone, in der Benutzer, Geräte und Anwendungen eine gewisse Freiheit genießen.

Perimetersicherheit funktionierte, solange die vertrauenswürdige Zone auf das lokale Zugangsnetz und die daran angeschlossenen stationären Geräte beschränkt war. Doch die Grenze des „Perimeter“-Konzept verschwamm, als die Zahl der von den Mitarbeitern genutzten mobilen Geräte und Cloud-Dienste wuchs. Heutzutage befindet sich zumindest ein Teil der Unternehmensressourcen außerhalb des Büros oder sogar im Ausland. Der Versuch, sie selbst hinter den höchsten Mauern zu verstecken, ist bestenfalls unpraktisch. Es ist viel einfacher geworden, in die vertrauenswürdige Zone einzudringen und sich dort ungehindert zu bewegen.

Bereits 2010 stellte der leitende Analyst von Forrester Research, John Kindervag, das Konzept des Null-Vertrauens als Alternative zur Perimetersicherheit vor. Er schlug vor, die Unterscheidung zwischen außen und innen aufzugeben und sich stattdessen auf Ressourcen zu konzentrieren. Bei Zero-Trust fehlen im Wesentlichen Vertrauenszonen jeglicher Art. In diesem Modell werden Benutzer, Geräte und Anwendungen jedes Mal überprüft, wenn sie Zugang zu einer Unternehmensressource beantragen.

Zero-Trust in der Praxis

Es gibt keinen einheitlichen Ansatz für den Einsatz eines auf Zero-Trust basierenden Sicherheitssystems. Trotzdem lassen sich einige Kernprinzipien identifizieren, die beim Aufbau eines solchen Systems helfen können.

Schutzfläche statt Angriffsfläche

Das Zero-Trust-Sicherheitskonzept beinhaltet typischerweise eine „Schutzfläche“, die alles umfasst, was die Organisation vor unberechtigtem Zugriff schützen muss: vertrauliche Daten, Infrastrukturkomponenten und so weiter. Die „Schutzfläche“ ist wesentlich kleiner als die „Angriffsfläche„, die alle potenziell verwundbaren Infrastrukturanlagen, Prozesse und Akteure umfasst. Es ist daher einfacher und effizienter, die Schutzfläche sichererer zu machen als die gesamte Angriffsfläche.

Mikrosegmentierung

Im Gegensatz zum klassischen Ansatz, der einen Schutz des externen Perimeters vorsieht, unterteilt das Zero-Trust-Modell die Unternehmensinfrastruktur und andere Ressourcen in kleine Knotenpunkte, die aus nur einem Gerät oder einer Anwendung bestehen können. Das Ergebnis sind viele mikroskopisch kleine Perimeter mit jeweils eigenen Sicherheitsrichtlinien und Zugriffsberechtigungen, die Flexibilität bei der Verwaltung des Zugriffs ermöglichen und Unternehmen in die Lage versetzen, die unkontrollierbare Ausbreitung einer Bedrohung innerhalb des Netzwerks zu blockieren.

Prinzip der geringstmöglichen Privilegien

Jeder Benutzer erhält nur die Privilegien, die zur Durchführung seiner eigenen Aufgaben erforderlich sind. Wenn also ein einzelnes Benutzerkonto gehackt wird, wird nur ein Teil der Infrastruktur kompromittiert.

Authentisierung

Die Zero-Trust-Doktrin besagt, dass man jeden Zugriffsversuch auf Unternehmensinformationen als potenzielle Bedrohung behandeln muss, bis das Gegenteil bewiesen wird. Bei jeder Sitzung muss also jeder Benutzer, jedes Gerät und jede Anwendung das Authentifizierungsverfahren durchlaufen und beweisen, dass er das Recht hat, auf die vorliegenden Daten zuzugreifen.

Absolute Kontrolle

Damit eine Zero-Trust-Implementierung effektiv sein kann, muss das IT-Team in der Lage sein, jedes Arbeitsgerät und jede Anwendung zu kontrollieren. Wesentlich ist auch die Aufzeichnung und Analyse von Informationen über jedes Ereignis auf Endgeräten und anderen Infrastrukturkomponenten.

Die Vorteile von Zero-Trust

Neben dem Wegfall der Notwendigkeit, den Perimeter schützen zu müssen, der mit zunehmender Mobilität des Unternehmens immer durchlässiger wird, löst Zero-Trust noch einige andere Probleme. Da jeder Prozessakteur ständig kontrolliert und wiederholt überprüft wird, können sich Unternehmen leichter an Veränderungen anpassen, z.B. durch die Aufhebung der Zugangsprivilegien von ehemaligen Mitarbeitern oder die Anpassung der Zugangsprivilegien der Mitarbeiter, deren Verantwortungsbereich sich geändert hat.

Herausvorderungen bei der Implementierung von Zero-Trust

Der Übergang zu Zero-Trust kann sich für einige Organisationen und Unternehmen als langwierig und schwierig erweisen. Wenn Ihre Mitarbeiter sowohl Bürogeräte als auch persönliche Geräte auf der Arbeit benutzen, müssen alle Geräte inventarisiert werden; Unternehmensrichtlinien müssen auf den für die Arbeit erforderlichen Geräten eingerichtet werden; und andere müssen für den Zugriff auf Unternehmensressourcen gesperrt werden. Bei großen Unternehmen mit Niederlassungen in mehreren Städten und Ländern wird dieser Prozess einige Zeit in Anspruch nehmen.

Nicht alle Systeme sind für einen Zero-Trust-Übergang gleich gut geeignet. Wenn Ihr Unternehmen beispielsweise eine komplexe Infrastruktur hat, kann diese veraltete Geräte oder Software enthalten, die die aktuellen Sicherheitsstandards nicht gerecht werden können. Das Ersetzen dieser Systeme kostet Zeit und Geld.

Ihre Mitarbeiter, einschließlich der Mitglieder Ihres IT- und Infosec-Teams, sind möglicherweise noch nicht bereit für die Änderung des Frameworks. Schließlich sind sie diejenigen, die für die Zugangskontrolle und das Management Ihrer Infrastruktur verantwortlich sein werden.

Das bedeutet, dass Unternehmen in vielen Fällen einen schrittweisen Zero-Trust-Übergangsplan benötigen. Beispielsweise benötigte Google sieben Jahre, um das BeyondCorp-Framework auf der Grundlage von Zero-Trust aufzubauen. Die Implementierungszeit kann für weniger verzweigte Unternehmen wesentlich kürzer sein, aber Sie sollten nicht erwarten, den Prozess in ein paar Wochen oder gar Monate bewältigen zu können.

Zero-Trust, die Sicherheit von Morgen

Daher kann der Übergang von der traditionellen Perimetersicherheit zur Gewährleistung einer „Schutzfläche“ unter dem Zero-Trust-Framework, auch wenn man den Einsatz verfügbarer Technologie voraussetzt, immer noch ein schwieriges oder langwieriges Projekt sein, sowohl in technischer Hinsicht als auch im Hinblick auf die sich zu ändernde Denkweise der Mitarbeiter. Die Nutzung des Zero-Trust-Sicherheitsprinzip hilft Unternehmen jedoch, von geringeren Ausgaben für IT-Sicherheit sowie einer geringeren Anzahl von Zwischenfällen und den damit verbundenen Schäden zu profitieren.

MATA: Ein Multi-Plattform-Malware-Framework

Unsere Experten haben ein Malware-Framework aufgedeckt, welches von Cyberkriminellen für Angriffe auf verschiedene Betriebssysteme verwendet wird.

Tipps

Gleich kommt das (verifizierte) Vögelchen – Fake oder Wirklichkeit?

So unterscheidest du echte Fotos und Videos von Fakes und stellst ihre Herkunft fest

Zu Kaspersky wechseln: Schritt-für-Schritt-Anleitung für die Migration

So stellst du den Cyberschutz deines Computers oder Smartphones auf die am häufigsten ausgezeichnete Kaspersky-Sicherheitslösung um.

Boss oder Betrüger? Betrug, getarnt als Auftrag deines Chefs

Du hast eine Nachricht von deinem Chef oder einem Kollegen erhalten, in der du auf unerwartete Weise aufgefordert wirst, ein Problem zu beheben? Achtung vor Betrügern! Wie schützt du dich und dein Unternehmen vor einem möglichen Angriff?

Mehr Sicherheit für Privatanwender

Sicherheitsunternehmen bieten intelligente Technologien – in erster Linie Kameras – an, um dein Zuhause vor Einbruch, Feuer und anderen Zwischenfällen zu schützen. Aber wie wäre es, diese Sicherheitssysteme selbst vor Eindringlingen zu schützen? Das ist eine Lücke, die wir füllen.

KOSTENLOSE TOOLS

TARGETED SECURITY-LÖSUNGEN

ENTERPRISE SOLUTIONS

Vertraue niemals, verifiziere immer: Das Zero-Trust-Sicherheitsmodell

Perimeter-Schutz adé

Zero-Trust in der Praxis

Schutzfläche statt Angriffsfläche

Mikrosegmentierung

Prinzip der geringstmöglichen Privilegien

Authentisierung

Absolute Kontrolle

Die Vorteile von Zero-Trust

Herausvorderungen bei der Implementierung von Zero-Trust

Zero-Trust, die Sicherheit von Morgen

Bösartiger Code in Linux-Distributionen entdeckt

Hochschulbildung und Cybersicherheit

MATA: Ein Multi-Plattform-Malware-Framework

Tipps

Gleich kommt das (verifizierte) Vögelchen – Fake oder Wirklichkeit?

Zu Kaspersky wechseln: Schritt-für-Schritt-Anleitung für die Migration

Boss oder Betrüger? Betrug, getarnt als Auftrag deines Chefs

Mehr Sicherheit für Privatanwender

Abonnieren Sie uns und bleiben Sie auf dem neuesten Stand mit unseren Beiträgen

LÖSUNGEN FÜR HEIMANWENDER

KLEINE UNTERNEHMEN

MITTLERE UNTERNEHMEN

GROSSE UNTERNEHMEN

Securelist

Eugene Personal Blog

Enzyklopädie