Munscheidstr. 14 in 45886 Gelsenkirchen

Jetzt anrufen 0209 - 8830 6760

Trust Modell oder das Zero Trust Modell – Wie sollte für die IT-Sicherheit gesorgt werden?

M.Sc. Jan Hörnemann

Durch die aktuellen Auswirkungen der COVID19-Pandemie denken viele Personen nun vermehrt über Kontrolle nach. Dieser teilweise erweckte Kontrollverlust befindet sich nicht nur im Gesundheitswesen, sondern in vielen Bereichen der Gesellschaft. Dazu zählen auch IT-Systeme, denn vor allem durch das steigende Homeoffice entstehen neue Gefahren, die Angreifer schamlos ausnutzen können. Um Sicherheit zu gewährleisten zu können benötigen wir Modelle, hierbei gibt es zwei wesentliche Gegenspieler, dass Trust und Zero Trust-Modell!

Sicherheit durch Modelle etablieren

Viele Personen erkennen die Gefahren nicht, denen sie tatsächlich regelmäßig begegnen. Wie Security Insider berichtete, belegen einige Studien, dass die Menschen dahin tendieren, dass sie mehr Glück als der Durchschnittsbürger haben und Gefahren wie ein Cyber-Angriff nicht genau ihr Unternehmen treffen. Dieser lockere Umgang mit tatsächlich lauernden Gefahren führte in der Vergangenheit dazu, dass über ein Zero Trust-Modell nachgedacht wurde, im Gegensatz zu den vorherrschenden Trust-Modellen.

Bei einem Trust-Modell wird dem Benutzer, wie der Name bereits sagt, vertraut. Das bedeutet, dass bei einer Authentifizierung keine Rechte bzw. Privilegien verteilt werden, sondern lediglich die gegebenen Rechte bestätigt werden. Das System geht generell davon aus, dass jede Person vertrauenswürdig ist und alle Rechte hat. Verifiziert sich der Nutzer nun durch ein Passwort oder eine andere Authentifizierungsmöglichkeit verändert das System praktisch gesehen nichts, außer das es weiß, dass es der Person zurecht vertraut hat.

Solch ein Modell ist sehr nutzerfreundlich, da allen Nutzern prinzipiell vertraut wird und so langwierige Authentifizierungen etc. ausbleiben. Der Nachteil ist jedoch, dass so ein System deutlich angreifbarer ist als ein System mit dem Zero Trust Modell. Schafft es ein Angreifer die Authentifizierung zu knacken oder zu umgehen, indem er bspw. das Passwort durch Social Engineering stiehlt, hat er sämtliche Rechte auf dem System und kann dieses für kriminelle Aktivitäten ausnutzen. Das ist bei dem Zero Trust Modell anders!


Erkennen Sie zuverlässig Phishing E-Mails?

Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!


Trust oder Zero Trust Modell?

Bei dem Zero Trust Modell dagegen wird dem Nutzer nicht vertraut. Das bedeutet, dass dauerhaft der gesamte Datenverkehr, Systemveränderungen, Eingaben, etc. mitgeschnitten und analysiert werden. Selbst wenn ein Angreifer Zugang zu einem anderen Nutzerkonto erhält, kann er in einem Zero Trust Modell kaum Schaden anrichten, da sämtliche Aktivitäten mitgeschnitten und analysiert werden.

Der Vorteil dieses Zero Trust Modells ist offensichtlich, denn durch die strengen Kontrollen ist das System sicherer. Neben den strengen Aufzeichnungen der Aktivitäten bringt ein Zero Trust Modell mit sich, dass der Gedankengang jederzeit angegriffen werden zu können eine wesentliche Rolle spielt. Verschlüsselung und Isolation neben einer strengen Authentifizierung und Autorisierung sind in diesem Modell mit eingebracht.

Der Nachteil ist ebenfalls offensichtlich, denn die Kosten solch eine Modell konsequent durchzusetzen und alle Mitarbeiter regelmäßig zu Schulen ist sehr aufwendig und dementsprechend auch kostspielig. Für die Mitarbeiter selber ist es ebenfalls ein Nachteil, denn nun müssen sämtliche Rechte angefordert werden, indem erneut ein Code oder ein Passwort eingegeben wird.

Wie so oft in der IT-Sicherheit ist es ein Kampf zwischen Sicherheit und Komfort. Welches Modell für einen selber das richtige ist, kann man pauschal nicht beantworten, aber es ist wichtig die Waagschale im Gleichgewicht zu halten, denn sowohl Sicherheit als auch Komfort dürfen nicht vernachlässigt werden.


Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.


Foto des Autors

M.Sc. Jan Hörnemann

Hallo liebe/r Leser/in, mein Name ist Jan Hörnemann. Ich bin TeleTrust Information Security Professional (T.I.S.P.) und beschäftigte mich seit 2016 nahezu tagtäglich mit Themen rund um die Informationssicherheit. Der CeHv10 war meine erste praktische Zertifizierung in dem Bereich. Durch den Abschluss Master of Science in dem Fachbereich Internet-Sicherheit habe ich viele verschiedene Aspekte kennengelernt und versuche diese sowohl in Live Hacking Shows als auch in unserem Blog zu vermitteln. Darüber hinaus bin ich als Informationssicherheitsbeauftragter tätig und vom TÜV für diese Tätigkeit qualifiziert worden (ISB nach ISO 27001)