Vertrauen ist gut – Kontrolle ist besser: Auf diesem Grundsatz basieren IT-Security-Lösungen schon seit langem. Zero-Trust-Architekturen gehen noch einen Schritt weiter und überprüfen alle Zugriffe auf Anwendungen und Daten permanent auf mögliche Sicherheitsverstöße. Mittlerweile setzen immer mehr Unternehmen auf diese Strategie, um ihre Infrastruktur vor wachsenden Cyberrisiken zu schützen.
Die Digitalisierung und das Internet haben unser Leben in vielerlei Hinsicht verändert. Wir haben uns daran gewöhnt, Waren mit ein paar Klicks im Web zu kaufen und sie über Nacht liefern zu lassen. Bankgeschäfte und Behördengänge erledigen wir so oft wie möglich online. Gleichzeitig ist auch die Arbeitswelt durch digitale Technologien schneller, flexibler und mobiler geworden. Die globale Pandemie hat diese Trends noch einmal verstärkt und die Digitalisierung unseres Alltags weiter beschleunigt.
IT-Sicherheit: Anforderungen an eine digitale Welt
Dieser Wandel bringt große Herausforderungen für die IT-Sicherheit mit sich. Die Mitarbeiter*innen von Unternehmen arbeiten heute häufig außerhalb des sicheren Firmennetzwerks und verwenden eigene Endgeräte und Cloud-Dienste statt zentral verwalteter PCs und Geschäftsanwendungen. Unter diesen Bedingungen wird es immer schwieriger, Firmendaten und Business-Prozesse angemessen abzusichern.
Dennoch halten viele Unternehmen immer noch an traditionellen Security-Konzepten fest, um ihr digitales Geschäft und ihre Mitarbeiter*innen zu schützen. Es ist daher höchste Zeit, Sicherheitsarchitekturen an die Anforderungen einer digitalen Welt mit hybriden Zugriffszenarien anzupassen. Genau dafür wurde das Konzept der Zero-Trust-Security entwickelt.
Zero Trust vs. Perimetersicherheit
Der Begriff „Zero Trust“ wurde vor etwa zehn Jahren geprägt, um ein Gegenmodell zur herkömmlichen Strategie der Perimetersicherheit zu beschreiben. Traditionelle Sicherheitsansätze vertrauen einem Anwender, der sich ordnungsgemäß authentifiziert hat, und gewähren ihm Zugriff auf alle für ihn freigegebenen Ressourcen. In einer Zero-Trust-Architektur muss sich der Benutzer das Vertrauen hingegen immer wieder neu verdienen – unabhängig davon, wo er sich gerade befindet.
Das klassische Sicherheitsmodell lässt sich dabei mit einer mittelalterlichen Burg vergleichen. Wer die Burg betreten möchte, muss zunächst den Wassergraben überqueren und dann die Wache am Tor passieren. Sobald dies geschafft ist, hat der Besucher weitgehend freie Hand.
Zero-Trust-Security – Eine ganzheitliche Schutzstrategie
Übertragen auf die IT-Sicherheit bedeutet das: Lange Zeit ging es vor allem darum, das interne Netzwerk möglichst gut nach außen abzuschotten. Gefährlich wurde es, wenn es Cyberkriminellen gelang, sich unbefugten Zugang zu verschaffen. Denn die Schäden, die sie dann innerhalb des Netzwerks anrichteten, wurden oft viel zu spät erkannt.
Die „Burgen“ der Firmen-IT sind in den letzten Jahren kleiner geworden oder sogar ganz verschwunden. Anwendungen und Daten wurden zunehmend vom Rechenzentrum in die Cloud oder auch in den Edge-Bereich verlagert. In diesen verteilten, hybriden Umgebungen sind Wassergräben keine ausreichende Schutzstrategie mehr. Jedes System und jede Anwendung benötigt stattdessen eine eigene Verteidigung gegen Hacker, Viren, Ransomware und andere Schadprogramme. Eine Zero-Trust-Strategie kann hier Abhilfe schaffen.
5 Dinge, die Sie über Zero-Trust-Architekturen wissen sollten:
1. Never Trust, Always Verify
In einer Zero-Trust-Architektur ist eine kontinuierliche Autorisierung aller Zugriffe erforderlich. Eine erfolgreiche Anmeldung am Netzwerk mit Benutzername und Passwort bedeutet nicht, dass dem Anwender nun dauerhaft vertraut wird. Sollten zu einem späteren Zeitpunkt verdächtige Aktivitäten erkannt werden, kann der Zugriff jederzeit wieder geblockt werden. Der Zugriff auf Systeme wird zudem nie allein auf Basis des physischen Standorts oder der Netzwerkverbindung gewährt. Auch ein Anwender, der sich im Unternehmens-LAN befindet oder mit dem Firmen-Notebook über eine verschlüsselte VPN-Verbindung zugreift, kann ein potenzielles Sicherheitsrisiko darstellen.
2. Der Kontext ist entscheidend
Zero-Trust-Security setzt eine kontextbasierte Zugriffskontrolle voraus. Für die zuverlässige Absicherung von Zugriffen müssen kontinuierlich Informationen zu fünf Fragen gesammelt werden:
- Auf welche Daten wird zugegriffen?
- Woher kommt die Benutzeranfrage?
- Wer fordert die Daten an?
- Warum benötigt der User den Zugriff?
- Und wann benötigt er ihn?
Auf dieser Basis lassen sich dann Nutzungsberechtigungen richtlinienbasiert steuern. So können Unternehmen beispielsweise festlegen, dass Mitarbeiter*innen nur dann Zugriff auf sensible Ressourcen erhalten, wenn die Sicherheitstechnologien auf dem Endgerät auf dem neuesten Stand sind. Andernfalls wird das Gerät in Quarantäne gestellt, bis die benötigten Security-Updates installiert sind.
3. Zero Trust adressiert die gesamte Organisation
Eine ganzheitliche Zero-Trust-Strategie sichert nicht nur den Netzwerkzugriff ab, sondern bezieht auch Anwender*innen, Geräte, Applikationen und weitere Faktoren wie das User-Verhalten mit ein. Nur so lassen sich die immer größer werdenden Angriffsflächen in digital transformierten Organisationen absichern. Innovative Lösungen nutzen dabei auch die Möglichkeiten der künstlichen Intelligenz, um alle Komponenten und Schnittstellen der Infrastruktur zu überwachen und mögliche Bedrohungen automatisch zu erkennen.
4. VPNs sind keine Lösung
Während der Pandemie haben viele Unternehmen VPN-Lösungen eingerichtet, um ihren Mitarbeiter*innen im Home-Office sicheren Zugang zu Unternehmensressourcen zu ermöglichen. Da Anwender*innen aber für ihre Arbeit zunehmend Cloud-Dienste nutzen und häufig auf privaten Endgeräten im Heim-WLAN arbeiten, ist dieser Ansatz heute nicht mehr zeitgemäß. Unternehmen haben damit nur sehr eingeschränkte Kontrollmöglichkeiten und riskieren, dass Schadsoftware vom Endgerät des Benutzers ins Unternehmen geschleust wird. Benötigt wird stattdessen eine ganzheitliche Lösung, die den Zugriff auf sensible Firmendaten schützt – ganz gleich, ob Anwender*innen im Büro oder im Home-Office arbeiten und ob die Anwendungen im Rechenzentrum oder in der Cloud laufen.
5. Zero Trust und digitale Arbeitsplätze gehören zusammen
Die Arbeitswelt und die Bedrohungslage für Unternehmen haben sich in den letzten zwei Jahren grundlegend verändert. Daher ist es so wichtig, die Bereitstellung und Absicherung von modernen digitalen Arbeitsplätzen als ganzheitliche Herausforderung zu betrachten.
Technologieanbieter wie unser langjähriger Partner Citrix haben dies erkannt. Citrix Workspace integriert die Zero-Trust-Architektur nahtlos in den digitalen Arbeitsplatz und bietet eine Vielzahl von Möglichkeiten, die Zugriffe auf Daten und Anwendungen kontextbasiert abzusichern. Services wie Citrix Secure Workspace Access, Citrix Secure Internet Access und Citrix Web App and API Protection sind in der Lage, die digitalen Prozesse von Unternehmen auch vor Zero-Day-Attacken zu schützen.
Ganz wichtig: Die Performance von Applikationen – und damit die User Experience für die Anwender*innen – wird dabei nicht beeinträchtigt.
Schritt für Schritt zur Zero-Trust-Architektur
Laut einer aktuellen Umfrage von Pulse und Citrix planen 74 Prozent der IT-Verantwortlichen bereits, eine ganzheitliche Zero-Trust-Strategie zu implementieren oder zumindest zu evaluieren. Bei der Umsetzung stehen die meisten Unternehmen aber noch ganz am Anfang: Derzeit setzen erst neun Prozent der Organisationen auf ein Zero-Trust-Modell. Viele Sicherheitsverantwortliche trauen sich die Implementierung noch nicht zu, weil internes Know-how fehlt oder die Komplexität der Aufgabe als zu hoch eingeschätzt wird.
Dabei ist es wichtig zu wissen, dass eine Zero-Trust-Architektur nicht von Grund auf neu aufgebaut werden muss. Häufig lassen sich vorhandene Security-Investitionen weiterhin nutzen und die die neue Lösungsarchitektur integrieren.
Umsetzung Ihrer Strategie mit ACP
ACP unterstützt Unternehmen bei der Planung und Umsetzung von maßgeschneiderten Zero-Trust-Strategien. Unsere Security-Expert*innen begleiten IT- und Sicherheitsverantwortliche in allen Phasen dieses Prozesses – von der Bestandsaufnahme der vorhandenen Umgebung über die Einrichtung der benötigten Systeme bis zur Konfiguration von individuellen Kontextanalysen und Risikoprofilen. Mit unserem Security Operations Center (SOC) können wir zudem Aufgaben beim laufenden Betrieb und der Überwachung der Zero-Trust-Architektur übernehmen.
Unser Anspruch ist dabei, ein perfektes Gleichgewicht zwischen Sicherheit und User Experience herzustellen. Im Idealfall bemerkt der Anwender gar nicht, dass er während seiner Arbeit durch eine Zero-Trust-Architektur im Hintergrund geschützt wird – es sei denn, es kommt tatsächlich zu einem Sicherheitsvorfall.
Nehmen Sie Kontakt mit uns auf und erfahren Sie, wie Sie auch Ihr Unternehmen mit Zero Trust vor neuen Risiken und Bedrohungen schützen können.
