Vertrauen als Grundlage für den Erfolg? Nicht in der Cyber Security! Denn Vertrauen nutzen häufig auch Angreifer aus und tarnen sich so als «vertrauenswürdige» Benutzer. Aber wem können Sie dann intern noch trauen? Wie sinnvoll ist Vertrauen gegenüber den Mitmenschen überhaupt in der Security? Warum ist Zero Trust wichtig in Bezug auf IT Security und noch viel wichtiger: Was ist Zero Trust überhaupt?
Vor fast zehn Jahren stellte der frühere Forrester-Analyst John Kindervag der IT-Welt das «Zero Trust Network» vor – ein Konzept, das Unternehmen nie als hundert Prozent sicher einstuft. Sicherheitsexperten erkennen heute neue Möglichkeiten im Zero Trust-Ansatz zur IT-Sicherheit: Seit der GDPR drohen Unternehmen, die ihre Kundendaten nicht richtig schützen, schwere Strafen. Mit Zero Trust lässt sich somit auch der Datenschutz verbessern.
Zero Trust – die Cyber Security-Revolution in der Sicherheitsarchitektur
In der Cyber Security ist Vertrauen weitgehend fehl am Platz. Der Grund ist naheliegend: Cyberkriminelle nutzen das Vertrauen zu ihrem eigenen Vorteil aus. Vertrauen ist menschlich, doch darf Vertrauen in Menschen nicht mit der Vertrauenswürdigkeit von Datenpaketen in Systemen verwechselt werden. Vertrauen in einem Netzwerk ist eine Schwachstelle. Denn ein Paket, welches vertrauenswürdig wirkt, muss nicht zwingend verlässlich sein.
Darum werden oft Zugriffskontrollmethoden angewendet. Das Paket wird entpersonalisiert und inspiziert. So kann verhindert werden, dass im falschen Moment auf nicht genehmigte Daten zugegriffen wird. Weiter wird alles protokolliert und analysiert. Das wiederum lässt die Beurteilung zu, ob ein digitales Verhalten tatsächlich stattgefunden hat oder nicht. Geht es nach Zero Trust ist Vertrauen die Schwachstelle, die es zu verhindern gilt. Und genau hier setzt das Zero Trust-Konzept an, da es…
- datenzentrisch ist,
- zur Verhinderung von Datenschutzverletzungen sowie
- eine Ebene der Agilität für moderne Netzwerke bietet, die mit dem traditionellen Netzwerkdesign nicht möglich war.
Absoluter Zero Trust als Lösung für alle Cyber-Probleme?
Das Problem am Zero Trust-Modell von Forrester Research ist: Wenn niemandem vertraut werden kann, dürfen auch keine Daten ausgetauscht werden – und zwar mit niemanden! Das Wort Vertrauen kann und sollte also gar nicht komplett aus dem Wortschatz der Cyber Security verbannt werden. Der Rest Vertrauen, der übrigbleibt, muss laufend auf die Probe gestellt werden. Wurde ein Benutzer einmal als vertrauenswürdig eingestuft, muss das nicht automatisch heissen, dass er das auch bleibt. Bei einem nächsten Check kann es durchaus sein, dass er anders klassifiziert wird.
Nutzen Sie Zero Trust in Ihrer Cyber Security, um Transparenz und Kontext für den gesamten Datenverkehr zu schaffen ‒ und zwar über Benutzer, Geräte, Standort und Anwendungen hinweg. Zusammengefasst lässt sich also sagen:
- Identifikation: Wenn Sie wissen, wer Ihre User sind, welche Applikationen sie verwenden und wie sie mit dem Netzwerk verbunden sind, können Sie Richtlinien festlegen, die einen sicheren Zugriff auf Ihre Daten gewährleisten.
- Wählen Sie eine Zugriffsstrategie mit den niedrigsten Zugriffsrechten: Setzen Sie Zugriffskontrollen strikt durch. So verkürzen Sie die Wege für Angreifer und Malware deutlich.
- «Always verify»: Überprüfen und protokollieren Sie den gesamten Datenverkehr an geeigneten Knotenpunkten in Ihrem Netzwerk. Dies ermöglicht die Segmentierung sensibler Ressourcen und legt Vertrauensgrenzen fest, um zu verhindern, dass sensible Daten in die falschen Hände geraten.
- Fügen Sie weitere Authentifizierungs-Methoden hinzu: So können Sie Angriffen mit Anmeldeinformationen entgegenwirken.
So erreichen Sie eine sinnvolle Zero Trust-Architektur
Für Zero Trust gibt es eine Reihe von Anbietern und Lösungen auf dem Markt wie beispielsweise von unserem Partner Palo Alto Networks. Eine Zero Trust-Architektur hilft bei der Identifikation, Transparenz und Verwaltung von Geräten, Nutzern, Apps und weiteren Diensten. Bei der Errichtung gibt es keine Unterscheidung zwischen intern und extern.
Um die Transparenz des Datenverkehrs zu verbessern, muss dieser durch eine Next-Generation-Firewall mit Entschlüsselungsfunktionen geprüft werden. Diese Firewall ermöglicht die Mikrosegmentierung von Perimetern und funktioniert als Grenzkontrolle innerhalb Ihres Unternehmens. Es ist nach wie vor unumgänglich, dass die Aussengrenzen so sicher wie nur möglich sind. Umso wichtiger ist es, dass Daten beim Übergang zwischen verschiedenen Funktionen innerhalb des Netzwerkes überprüft werden.
Identity & Access Management, Privileged Access Management und Multi-Faktor-Authentifizierung spielen dabei eine zentrale Rolle, denn die Identität von Nutzern, Geräten, Apps und Clouds wird zum temporären Vertrauensanker. Aber auch Lösungen für Device Management, Data Loss Prevention, Verschlüsselung, Web Application Firewalls, Cloud Access Security Broker, Endpoint Protection, SIEM sowie User & Entity Behavior Analytics (UEBA) gehören zu einer Umsetzung. Nutzen Sie einen Zero Trust-Ansatz, um Ihre Geschäftsprozesse, Benutzer, Daten, Datenflüsse und damit verbundenen Risiken zu identifizieren und Richtlinien festzulegen, die bei jeder Wiederholung automatisch aktualisiert werden können, basierend auf den damit verbundenen Risiken.
Spielend einfach zur Zero Trust-Architektur mit dem richtigen Partner
Es ist also keine komplett neue Security-Landschaft für ein Zero Trust-Konzept erforderlich – das meiste ist in der Regel bereits vorhanden. Entscheidend ist dabei, dass die Policies grundsätzlich die aktuellen Risiken berücksichtigen, blindes Vertrauen ein Fremdwort ist und die Berechtigungen minimal gehalten sowie dynamisch angepasst werden.
Haben Sie Fragen zum Zero Trust-Ansatz oder benötigen Sie Unterstützung? Gerne zeigen wir Ihnen dies mit unserem Partner Palo Alto Network persönlich auf.
