Aus- & Weiterbildung, CAS Cybersecurity

Cybersecurity: Zero Trust – Das Sicherheitskonzept der Stunde

3. März 2021

Zero Trust hat sich seit seinem Aufkommen zu einem regelrechten Hype entwickelt. Das Modell folgt weder einer Technologie noch steht ein bestimmtes Produkt im Vordergrund. Es geht hier vielmehr um ein ganzheitliches Sicherheitskonzept, das sowohl interne und externe Anwendungen, Nutzende und Geräte berücksichtigt.

Zero Trust kurz erklärt

Unter Zero Trust versteht man ein Modell/Sicherheitskonzept, das allen Anwendungen, Benutzenden und Geräten grundsätzlich misstraut. Dabei wird kein Unterschied zwischen unternehmensinternen oder -externen Nutzerinnen, Anwendungen und Geräten gemacht. Sämtliche Benutzer und Dienste müssen sich in einem Zero-Trust-Modell authentifizieren. Das Sicherheitskonzept schreibt vor, dass der gesamte Netzwerkverkehr aller Benutzerinnen oder Services überprüft wird. Ziel des Zero-Trust-Ansatzes ist es, das Risiko für die eigenen Firmennetze und -anwendungen zu minimieren und neben den Bedrohungen von ausserhalb ebenso die internen Gefahrenquellen auszuschliessen.

Was unterscheidet Zero Trust von bekannten Sicherheitskonzepten?

Herkömmliche Sicherheitskonzepte folgend dem Ansatz, dass alle Anwendungen, Benutzer und Geräte des eigenen Netzwerks als vertrauenswürdig gelten. Beschränkungen erfolgen nur auf Netzwerkzugriffe von ausserhalb, diese werden als potentielle Gefahrenherde eingestuft und sollen entsprechend analysiert bzw. eingeschränkt werden. Der Nachteil solcher Lösungen sind die fehlenden interne Sicherheitsvorkehrungen. Sobald es einem Angreifer gelungen ist, in das interne Firmennetz einzudringen, gibt es kaum noch Sicherheitsvorkehrungen, die gefährliche Aktionen oder Zugriffe vereiteln. Hier zeigt sich auch gleich noch eine weitere Schwachstelle, denn es wird gerne ausser Acht gelassen, dass ein erhebliches Schadenspotential von den eigenen Mitarbeitenden ausgehen kann.

Und genau hier setzt der Paradigmenwechsel des Zero-Trust-Modells an. Im Vergleich zu herkömmlichen Sicherheitskonzepten werden in Zero-Trust-Modellen alle gleichbehandelt. D.h., egal ob interne oder externe Anwendungen, Benutzer, Geräte etc. es wird allen grundlegend misstraut. Ein solcher Paradigmenwechsel bedingt grundlegende Änderungen in der IT-Security und Architektur. Es sind jetzt nicht mehr einfach Netzwerkgrenzen, die es zu schützen gilt, sondern das komplette Netzwerk muss mit entsprechenden Sicherheitskomponenten versehen werden.

Grundsätze eines Zero-Trust-Sicherheitskonzeptes

Der zentrale Grundsatz des Zero-Trust-Modells ist: Vertraue niemanden innerhalb oder ausserhalb deines Netzwerkes. Aufgrund dieser Vorbedingung müssen sich sämtliche Objekte authentifizieren.

Es gilt, dass es kein vertrauenswürdiges Netzwerk gibt. Mit dieser Aussage soll unterstrichen werden, dass man in einem Zero-Trust-Modell dem internen Netzwerk genau so wenig vertraut wie dem Internet.
Zugriffe auf eine Ressource ohne vorgängige erfolgreiche Validierung ist nicht möglich.
Zero-Trust-Netzwerke authentifizieren/validieren permanent sämtliche Anwender. Nebst einer starken Authentifizierung gibt es noch weitere Methoden zur Validierung von bereits erfolgreich authentifizieren Anwendern.
Nur die für die Aufgabenerfüllung minimal benötigten Ressourcen werden nach dem Zero-Trust-Modell zur Verfügung gestellt. Und dass auch nur für die Dauer, die zur Erfüllung der Aufgabe benötigt wird.

Ein weiteres grundlegendes Merkmal ist, dass alle übertragenden und gespeicherten Daten durchgehend verschlüsselt werden. Dabei ist zu beachten, dass klassifizierte Daten entsprechend ihrer Klassifikation verschlüsselt werden.

Praktische Umsetzung des Zero-Trust-Modells

Unternehmen, die ein Zero-Trust-Modell einführen wollen, stehen vor sehr grossen Herausforderungen. Die Einführung eines ganzheitlichen Sicherheitskonzepts wie das Zero-Trust-Modell bedingt, dass alle IT-Bereiche erfasst und entsprechend kontrolliert werden. Dabei müssen alle Anwendungen, Benutzende und Geräte detailliert erfasst werden. Weiter müssen zur Kontrolle und Steuerung geeignete Anwendungen zur Verfügung gestellt werden (z. B. betreffend Datenverkehr, Authentifizierung der Benutzenden usw.). Das alles setzt eine sorgfältige Planung und viel Geduld und Überzeugungsarbeit voraus.

Fazit

Das Zero-Trust-Modell entwickelt sich seit 2010 und obwohl es sich zunehmender Beliebtheit erfreut, tun sich Unternehmen noch immer schwer damit das Sicherheitskonzept umzusetzen. Einerseits bedeutet eine konsequente Umsetzung des Modells einen nicht zu unterschätzenden Aufwand. Auch zu beobachten ist, dass sich verantwortliche teilweise schwer tun damit, sich in das neue Sicherheitskonzept hineinzudenken und den Mut zu fassen, dieses umzusetzen. Der Druck, sich von Altbewährtem zu lösen und den neuen Gefahren zu stellen scheint noch nicht gross genug zu sein. Gleichzeitig ist eine konsequente Umsetzung anspruchsvoll und setzt ein gesamtheitliches Verständnis moderner Technologiemöglichkeiten voraus, das oft nicht gegeben ist. Konsequent und mit den geeigneten Mitteln realisiert, schützt das Zero-Trust-Modell gegenüber einem herkömmlichen Modell deutlich besser und wird wohl nicht nur das Konzept der Stunde, sondern das Konzept der Zukunft sein.

Literaturquellen

https://www.security-insider.de/was-ist-ein-zero-trust-modell-a-752389/

https://www.united-security-providers.ch/fileadmin/Domain1/Dokumente/Consulting/USP_Whitepaper-Zero-Trust_v1-1.pdf

https://www.security-insider.de/kontrolle-ist-gut-noch-mehr-kontrolle-ist-besser-a-942372/

https://www.microsoft.com/de-de/security/business/zero-trust

https://www.computerwoche.de/a/so-geht-zero-trust-umgebung,3549586

https://en.wikipedia.org/wiki/Zero_trust_networks

Bildquellen

Links

Autorin / Autor:

Martin Schläfli https://www.linkedin.com/in/martin-schl%C3%A4fli-77828576/

Pascal Stucki https://www.linkedin.com/in/pascal-stucki/