Ein digitaler Fingerabdruck unter der Lupe

Es gilt: Vertraue niemandem! Was ist Zero Trust und wie gelingt Ihnen der Einstieg?

Was ist Zero Trust, warum ist es so wichtig für Unternehmen und wie schaffen Sie den Einstieg? Die wichtigsten Tipps für den Schutz Ihrer Daten!

Bisher zielte der Schutz von Unternehmens-Netzwerken darauf ab, diese mittels verschiedener Maßnahmen wirkungsvoll von außen her abzuschirmen. Doch bewährte Konzepte werden immer öfter ausgehebelt. Genau hier setzt Zero Trust an.

Das Konzept Zero Trust ist kein neuer Stern im IT-Security-Universum. Der Begriff wurde bereits 2010 von John Kindervag, Analyst bei Forrester, eingeführt. Doch jetzt erhält Zero Trust eine neue zentrale Rolle dank technologischer Entwicklungen und veränderter Rahmenbedingungen. Dazu gehören mobiles Arbeiten auch über Unternehmens-Netzwerke hinweg, die digitale Unternehmens-Transformation und die vermehrte Nutzung von Cloud-Anwendungen.

Als ein Konzept mit hohem Sicherheitslevel erweitert Zero Trust die Perimeter-Sicherheit. Warum das gut so ist und wie Unternehmen der Einstieg gelingt, zum Beispiel mit einer Administratoren-App für PIM (Privileged Identity Management), erfahren Sie von Mittelstand Heute.

 

Inhalt (per Klick auf die Links gelangen Sie direkt zum jeweiligen Kapitel):

 

Zero Trust: Mehr als nur eine Zwei-Faktor-Authentifizierung (2FA)

Bei Zero Trust geht es per Definition um mehr als Multi-Faktor-Authentifizierung. Es handelt sich um ein Modell, bei dem zuerst einmal nichts und niemandem, also weder einem Gerät noch einem Benutzer oder einem Dienst, vertraut wird. Stattdessen gilt bei Zero Trust der Grundsatz: „Vertrauen ist gut, Kontrolle ist besser“. Dies gilt für alle Anforderungen und Ressourcen, gleich, ob innerhalb oder außerhalb der Unternehmens-Netzwerk-Grenzen.

Vertrauen ist also im Zero-Trust-Zusammenhang eine dynamische Kategorie. Sie kann auch im eigenen Unternehmens-Netzwerk nicht automatisch gelten. Im Zero-Trust-Modell werden deshalb Sicherheitsabfragen so gestaltet, als hätte es bereits einen Angriff gegeben.

Microsoft beschreibt in seinem Position Paper „Evolving Zero Trust“ die Zero-Trust-Architektur so: Ein ganzheitliches Zero Trust erstreckt sich auf die gesamte digitale Umgebung einschließlich Identitäten, Endpunkten, Netzwerk, Daten, Anwendungen und Infrastruktur. Die Architektur bei Zero Trust erfordert es, alle Elemente zu integrieren.

Eine solche Integration bedeutet für Zero Trust:

  • Starke Authentifizierung zum Schutz der Identitäten
  • Geprüfter Compliance- und Integritätsstatus für alle Geräte im Netzwerk
  • Keine Schatten-IT; Echtzeit-Analysen und Absicherung von Nutzeraktivitäten in Anwendungen
  • Datengesteuerter statt perimeterbasierter Schutz der Daten durch Business Intelligence und klare Firmenrichtlinien
  • Infrastrukturschutz durch Erkennen von Risikoverhalten oder Anomalien, Least-Privilege-Prinzip, also Prinzip der geringstmöglichen Zugriffsrechte
  • Verschlüsselung der gesamten internen Kommunikation inklusive Echtzeit-Bedrohungserkennung im Netzwerk
Praxisnahe Tipps abholen
Zero Trust Wertvolle Tipps und Erfahrungsberichte im Zero-Trust-Wegweiser!
Interessiert an Zero Trust? Diese Empfehlungen und viele weitere Praxistipps und Erfahrungsberichte rund um Zero Trust finden Sie im Zero-Trust-Ratgeber des Business-IT-Spezialisten All for One Group! Hier geht es direkt zum Wegweiser.
Jetzt hier Tipps abholen!

So lief IT Security bisher: Die Firewall als Burgmauer


Bei der Absicherung der IT-Infrastruktur in Unternehmen wurde bisher die Vertrauensfrage kaum gestellt. Ganz selbstverständlich ging man davon aus, dass allen Endgeräten, Benutzern und Anwendungen innerhalb der Unternehmensgrenzen vertraut werden kann. So wurde ein unbegrenzter Zugang gewährt und es konnten eigene Geräte genutzt werden – Stichwort BYOD, Bring Your Own Device. Daten wurden frei übertragen und fließend ausgetauscht.

Diese verbreitete und geübte Praxis war für das Funktionieren des Unternehmens notwendig und erwünscht. Schließlich schützen Sicherheitsmaßnahmen wie beispielsweise Firewalls das Unternehmensnetzwerk vor Eindringlingen und Zugriffen von außen.

Also alles gut oder nicht? Trotzdem gelingt es Cyber-Kriminellen immer wieder, mit neuen Methoden und Ansätzen unberechtigt einzudringen und sich im Netzwerk auszubreiten. Nach einer Studie des Ponemon Institute dauert es durchschnittlich 207 Tage, bis ein Datenvorfall entdeckt wird. Lange genug, um genügend Schaden anzurichten, und das ist zu verhindern. Deshalb gilt es die Vertrauensfrage neu zu stellen.

 

Zero Trust Experte

„Der Preis für Datenverluste, Geschäftsausfälle, Daten-Wiederherstellungen und nicht zuletzt auch für einen Reputations- und Vertrauensverlust ist hoch. Mit Einführung von Zero Trust lässt sich hier der bestmögliche Schutz aufbauen.“ - Stefan Schnaus, Sales Manager Cybersecurity, All for One Group SE (Bild: All for One Group)

Warum sich Zero Trust für komplexe, moderne Arbeitsumgebungen eignet


Das Sicherheitsmodell Zero Trust fügt sich nahtlos in die komplexer gewordenen Unternehmens- und Arbeitswelten ein. Es sichert hybrides Arbeiten ab, bietet Schutz bei der Migration in die Cloud ab und hilft Unternehmen, die wachsende Zahl von Cyber-Angriffen abzuwehren.

  • Zero Trust für hybrides Arbeiten: Mobiles Arbeiten unabhängig von Ort und Zeit und auf dem bevorzugten Endgerät ist zum vielfachen Arbeitsmodell der Gegenwart geworden. Dies zeichnete sich schon vor der Pandemie mit angeordneten Homeoffice-Regelungen ab. Mobile Endgeräte sind gefragt und werden eingesetzt wie nie zuvor. Leider bieten sich auch für Hacker neue Möglichkeiten, denn die meisten Sicherheitsmaßnahmen schützen nur innerhalb der Unternehmens­-Umgebung. Die bisherigen Konzepte sind nicht mehr schlagkräftig. Hier kommt Zero Trust ins Spiel, um hybrides, mobiles Arbeiten besser abzusichern.

  • Zero Trust für die Migration in die Cloud: Die digitale Transformation in Unternehmen führt dazu, dass komplexe, moderne Arbeitsumgebungen entstehen. Sie benötigen ein ganzheitliches Zero Trust, um die geänderten Anforderungen an die Daten-Sicherheit zu erfüllen. Cloud-First-Strategien, IoT-Technologien oder Big Data können auch die Zahl der Angriffspunkte steigen lassen.

  • Risikominimierung durch Zero Trust: Die Zahl der Cyber-Angriffe steigt. Damit es nicht zu einem sicherheitsrelevanten Vorfall kommt, brauchen Unternehmen ein ganzheitliches Zero-Trust-Modell. In dem 2021 veröffentlichten Bericht des Kriminologischen Forschungsinstituts Niedersachsen (KFN) mit PwC als assoziiertem Projektpartner mussten 60 Prozent der Unternehmen in den vorangegangenen zwölf Monaten aktiv auf einen Cyberangriff reagieren. Fazit: Die Gefährdungslage hat sich im Vergleich zur vorangegangenen Befragung 2018 deutlich verschärft.
Sicherheitsmodell

Die 3 Grundregeln von Zero Trust

  1. Kontrollieren in allen Details: Die Authentifizierung und Autorisierung muss bei Zero Trust alle verfügbaren Datenpunkte einbeziehen, von Identitäten über Endgeräte und Standorte bis hin zu Workloads.

  2. Nach dem Prinzip der geringstmöglichen Berechtigungen vorgehen: Dazu müssen die JIT/JEA-Regel (Just In Time/Just Enough Administration), risikobasierte Richtlinien und Datenschutzmaßnahmen umgesetzt werden.

  3. Mit einem Einbruch rechnen: Hier gilt es, den möglichen Schaden sofort und geplant zu begrenzen. Eine wirksame Ende-zu-Ende-Verschlüsselung sowie Analyse-Funktionalitäten können sicherstellen, dass Bedrohungen schneller aufgespürt werden und entsprechende Verteidigungsmechanismen greifen können.

5 Erfolgsfaktoren des Zero-Trust-Modells

Microsoft hat in seinem Position Paper Evolving Zero Trust fünf wesentliche Effekte von Zero Trust auf Unternehmen identifiziert:

  1. Gesteigerte Benutzererfahrung und höhere Produktivität:
    Zero Trust unterstützt Mitarbeiter dabei, produktiv und geschützt vor Cyber-Angriffen zu arbeiten. Wann, wo und wie, das entscheiden sie selbst. Das kann der feste Homeoffice-Arbeitsplatz sein oder die Teilnehme an einer Videokonferenz aus einem Hotelzimmer heraus bedeuten. Entscheidend ist, Anwendern wie Administratoren in jeder Situation möglichst automatisiert einen hohen Standard an Schutz und Sicherheit zu bieten.

  2. Optimaler Schutz durch ganzheitlichen Ansatz:
    Je breiter Zero-Trust-Strategien aufgestellt sind, desto besser sind Unternehmen und Organisationen gegen Angriffe geschützt. Dies beginnt mit der Bestandsaufnahme und Bewertung der Ressourcen in lokalen und Cloud-Umgebungen. Als Nächstes werden die Schutzmaßnahmen nach ihrer Bedeutung für den Geschäftsbetrieb priorisiert. Schließlich werden sämtliche Identitäten, Endpunkte, Netzwerke, Microservices, virtuellen Maschinen und Workloads verifiziert.

  3. Transparenz und Kontrolle über alle Säulen:
    Abgeschottete Programme und Prozesse stellen ein hohes Sicherheitsrisiko dar. Um Angriffe zu verhindern, ist die durchgängige Sichtbarkeit und Kontrolle über alle Informations- und Kommunikationssysteme im Unternehmen entscheidend. Die Integration der Maßnahmen über alle Sicherheitssäulen hinweg ermöglicht die Anwendung einheitlicher Sicherheitsrichtlinien. Zero Trust sorgt für Transparenz und Kontrolle im gesamten Unternehmen.

  4. Starke Security mit den richtigen Strategien:
    Zero Trust bedeutet eine nachhaltige Stärkung der Security-Strategie und damit eine hervorragende Kontrolle des eigenen Sicherheitsstatus. Dazu werden zum Beispiel regelmäßige Überprüfungen wie „Ist dieser Endpunkt vertrauenswürdig?“ oder „Sind diese Daten vertraulich?“ gestartet. Die Erfolgsfaktoren von Zero Trust sind die Integrität der Daten sowie eine fortlaufende Kontrolle und Verbesserung; nicht zuletzt, um die Sicherheitskultur zu untermauern und in allen Bereichen zu optimieren.

  5. Schnelleres Agieren und Reagieren durch Automatisierung:
    Ein erfolgreich implementiertes Zero Trust geht Hand in Hand mit der Automatisierung von Routineaufgaben - wie Ressourcenbereitstellung, Zugriffsüberprüfungen und Zertifikate. Hierbei kommen neben Security Automation und Orchestration maschinelles Lernen und KI zum Einsatz.
Starter, Fortgeschritten oder Optimum?

Zero Trust: 3 Stufen zum ganzheitlichen Sicherheitskonzept

Microsoft hat ein dreistufiges Reifegradmodell entwickelt, das Orientierung bietet, wo Unternehmen in ihrem Security-Prozess stehen:

  • Stufe 1 – Starter: Einsatz von Multifaktor-Authentifizierung, Single Sign-On (SSO) auf Cloud-Anwendungen, Erkennen von Anomalien in Cloud- und Netzwerkumgebungen und auf Endpunkten.

  • Stufe 2 – Fortgeschritten: Anwendung und Einsatz von Echtzeit-Risikoanalysen, Erkennen von Advanced Threats, Erkennen von Schwachstellen durch fehlerhafte Konfigurationen und fehlende Patches.

  • Stufe 3 – Optimum: Dynamische Anpassung von Richtlinien, automatisierte Bedrohungserkennung und -bekämpfung für unverzügliche Reaktionen, starker Fokus auf Optimierung der User Experience in Hinsicht auf Produktivität und Sicherheit. Dies bezieht alle sechs Zero-Trust-Ebenen ein: Identitäten, Endpunkte, Anwendungen, Daten, Infrastruktur und Netzwerk.

Die höchste Stufe erreichen bisher nur wenige Unternehmen. Zero Trust ist eine Reise von der klassischen Netzwerk-Sicherheit zu einem ganzheitlichen Sicherheitskonzept.

Wie mit der Multifaktor-Authentifizierung und dem Privileged Identity Management der Einstieg in Zero Trust gelingt

Die Einführung der Multifaktor-Authentifizierung (MFA) oder der Mobile Privileged Identity Management (PIM) App ermöglicht es Unternehmen, einfach und zugleich wirkungsvoll in Zero Trust einzusteigen:

  • Die Multifaktor-Authentifizierung (MFA) prüft, ob die User auch die sind, für die sie sich ausgeben. Erst nach der Überprüfung mehrerer Faktoren erhält der Benutzer eine Zugangsberechtigung. Laut Microsoft reduziert eine Multi-Faktor-Authentifizierung die Wirksamkeit von Identitätsangriffen um mehr als 99 Prozent.

  • Die Mobile PIM App des Business-IT-Dienstleisters All for One Group (PIM: Privileged Identity Management) verwaltet Rechteanfragen von jedem Ort zu jeder Zeit. Dies vereinfacht die Rechtesteuerung für Administratoren deutlich. Die Anfragen werden von der Azure-Plattform an die mobile App gepusht. Dort kann direkt eine Freigabe oder Ablehnung inklusive einer Kommentareingabe erfolgen. Es ist keine zusätzliche Anmeldung am System erforderlich. So können Administratoren auf kritische Rechteanfragen rasch und korrekt reagieren.

Der Einstieg in das Zero-Trust-Modell ist also einfach. Entlang der oben definierten Meilensteine führt der Weg hin zu einer kompletten, ganzheitlichen und nicht zuletzt kostensparenden Zero-Trust-Architektur.

Sie benötigen mehr Informationen? Noch mehr wertvolle Tipps zum Thema Zero Trust finden Sie HIER übersichtlich zusammengestellt.

Quelle Aufmacherbild: peach_fotolia/ stock.adobe.com