2024 / Awareness / ISMS / Strategie

Zero Trust Security – Die Top 7 Prinzipien

Früher galt das Unternehmensnetzwerk als besonders sicher. Wurden alle Sicherheitsmaßnahmen bestmöglich durchgeführt und eingehalten, war das Unternehmensnetzwerk ein Ort, an dem alles und jeder Rechner vertrauenswürdig erschien. Dieses altbackene Sicherheitskonzept ist natürlich längst Schnee von gestern, und die Zero Trust Security hat sich als zeitgemäßer Ansatz etabliert. Denn heute läuft es schon lange nicht mehr so und Sicherheit scheint etwas sehr Trügerisches geworden zu sein.

Vor allem in Zeiten, in denen selbst Wasserkocher und Kühlschränke vernetzt sind, scheinen Unternehmen vor neuen großen Herausforderungen zu stehen, wenn es um die Netzwerksicherheit geht. Traditionelle Sicherheitskonzepte sind längst Schnee von gestern, Zero Trust Security scheint das Allheilmittel für die modernen Zeiten zu sein, in denen sogar das Auto voll vernetzt in die Unternehmenstiefgarage einfährt.

Warum alte Sicherheitsmodelle abgelöst werden sollten

Es gibt viele bekannte IT-Sicherheitsmodelle, und sie alle basierten bislang auf dem Prinzip von Vertrauen und Überprüfen. Geräte, die sich im Unternehmensnetzwerk befanden, galten bei diesen Modellen zunächst einmal als sicher, da sie schließlich vorab überprüft und dann hinzugefügt worden sind.

Doch das Konzept, das einst überaus legitim zu sein schien, ist längst nicht mehr auf der Höhe der Zeit. Angreifer können sich mit ausgefeilten Techniken Zugang zu den internen Netzwerken verschaffen und so die Kontrolle erlangen, ohne währenddessen gesondert aufzufallen. Auch über Geräte, die zuvor noch gar nicht vernetzt waren.

Speziell weil heutzutage wirklich alles miteinander kommuniziert und vernetzt ist, aber längst nicht alles so viele Sicherheitsupdate erhält, wie es notwendig wäre. Vorsicht ist also geboten, um das Unternehmensnetzwerk effektiv gegen Eindringlinge zu verteidigen. Es braucht somit auch ein neues Sicherheitsmodell.

Wie das Zero Trust Security Modell helfen kann

Das moderne und neue Modell für Sicherheit im Unternehmensnetzwerk hört auf den Namen Zero Trust Security. Statt allen Geräten zunächst einmal zu vertrauen und sie nur bei Bedarf zu überprüfen, geht das Zero Trust Security Modell immer vom Schlimmsten aus.

Damit ist unter dem Konzept des Modells jeder Zugriff ein potenziell gefährlicher und jeder Nutzer ein möglicher Angreifer. Zero Trust meint also in erster Linie, dass niemanden mehr vertraut wird. Jeder Zugriff muss dabei vorab als gutartig überprüft und jeder Nutzer als autorisierte Persönlichkeit bestätigt werden.

Geräte, Nutzer und jegliche Zugriffsversuche sind also immer erst einmal feindlich, jedenfalls aus der Sicht des Sicherheitskonzeptes. Auch der Zugriff wird nur auf das Notwendigste beschränkt, sodass immer nur Ressourcen verfügbar gemacht werden, die auch tatsächlich angefragt und gebraucht werden.

Implementierung des Konzeptes

Wer von einem klassischen Sicherheitsmodell kommt und nun auf Zero Trust umstellen möchte, steht vor einigen Herausforderungen. Diese zu bewältigen, kann gar nicht so einfach sein, weil das Konzept vollumfänglich integriert werden muss, um als Sicherheitskonzept ganzheitlich zu funktionieren.

Alle Geräte, Ressourcen und Nutzer müssen erst einmal erfasst werden. Darauf aufbauend gilt es Sicherheitsrichtlinien und strenge Kontrollen einzuführen. Gleichzeitig müssen die Benutzer geschult werden, damit sie verstehen, wie das Zero Trust Modell genau funktioniert und was im Alltag von ihnen gefordert wird.

Empfehlenswert ist es, die Implementierung schrittweise durchzuführen. Das ISMS hilft Ihnen dabei, in dem es die Sicherheitsrichtlinien und Verfahren für Vorfälle genauestens regelt. Dabei gilt es, die Zero Trust-Prinzipien und -Technologien bestmöglich in die eigenen Strukturen zu integrieren. Hier besteht die eigentliche Herausforderung.

Die 7 wichtigsten Zero Trust-Prinzipien

Um das Sicherheitsmodell von Zero Trust erfolgreich anzuwenden, bedarf es ein paar grundlegender Punkte. Diese stellen Unternehmen allerdings bereits vor größere Herausforderungen, da die Umsetzung in Organisationen mitunter recht komplex ausfallen kann. Schauen wir uns daher die wichtigsten Prinzipien von Zero Trust kurz ein wenig genauer an.

1. Multi-Faktor-Authentifizierung (MFA):

Relativ normal und wichtig ist, dass mehrere Authentifizierungsmethoden verwendet werden, die die Identität von Benutzern und Geräten sicherstellen können. Eine einzelne Authentifizierungsmethode reicht bei Zero Trust nicht aus.

2. Segmentierung:

Netzwerke in Unternehmen werden bei dem Zero Trust Modell oft in kleine und isolierte Segmente aufgeteilt. Kommt es zu einem Angriff, sind auf diese Weise immer nur die einzelnen Segmente, nicht aber das gesamte Netzwerk betroffen. Auch besteht immer nur Zugriff auf einen Teil der Ressourcen, aber niemals auf alle.

3. Minimaler Zugriff:

Wie oben bereits erläutert, wird der minimale Zugriff nicht nur durch die Segmentierung, sondern auch über Berechtigungen erreicht. Zugriff durch Benutzer erfolgt immer nur in minimaler Form und nur mit den notwendigsten Informationen.

4. Verschlüsselung:

Um vertrauliche Informationen zu sichern, findet im Netzwerk kein unverschlüsselter Datenverkehr mehr statt. Daten sind bei Zero Trust somit grundsätzlich verschlüsselt.

5. Echtzeitüberwachung:

Ohne Analyse und Beobachtung des Netzwerkverkehrs geht es natürlich nicht. Zero Trust setzt auf eine dauerhafte Überwachung und die schnellstmögliche Erkennung von verdächtigen Vorgängen. Das gelingt nur mit Überwachung in Echtzeit.

6. Automationen:

Bei Zero Trust geht es auch immer um den konkreten Zeitvorteil. Sobald verdächtiges Verhalten erkannt wurde, müssen sicherheitskritische Bereiche gesperrt oder Nutzer vollständig blockiert werden. Das gelingt hier über clevere Automationen, die sich sofort und vollkommen eigenständig aktivieren, wenn es zu einem potenziellen Sicherheitsvorfall kommt.

7. Zero Trust Network Access (ZTNA):

Der ZTNA meint, dass Netzwerkzugang immer nur auf Anwendungsebene, nicht aber auf der Netzwerkebene stattfindet. Nutzer im Unternehmensnetzwerk erhalten also nur auf spezifische Anwendungen Zugriff und Daten, die von diesen benötigt werden. Nicht mehr.

Es gibt noch einige weiterführende Punkte, doch damit sind wohl die allerwichtigsten Merkmale des Zero Trust Modells genannt. Allgemein erfordert Zero Trust schlichtweg ein Umdenken der bisherigen Maßnahmen und ist diese Denkweise erst einmal vollständig im Unternehmen angekommen, funktioniert das Sicherheitskonzept meist wie von selbst.

Einführung des Zero Trust Modells

Das Motto bei Zero Trust lautet »Never trust, always verify«,  also auf Deutsch »Niemals vertrauen, immer überprüfen«. Damit ist eigentlich alles zum Grundgedanken gesagt. Zero Trust meint in erster Linie, dass jeder Zugriff und jede Anfrage als potenzielle Gefahr gesehen wird, sich also immer erst entsprechend authentifizieren muss.

Zero Trust verändert innerhalb klassischer IT- und Netzwerksicherheit somit das gesamte Vorgehen. Es ist die moderne Art und Weise, auf eine dauerhafte Vernetzung von immer mehr Geräten und immer größer werdenden IT-Strukturen, die Sicherheit weiterhin gewährleisten und überhaupt aufrechterhalten zu können.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.