QSC ist jetzt q.beyond. Weitere Infos in unserer Pressemitteilung.

Niemandem vertrauen? Zero Trust verbessert die IT-Sicherheit

Längst haben Cyber-Kriminelle Wege gefunden, VPN-Tunnel, Firewall-Mauern oder Login-Tore zu überwinden – um sich unerkannt in Netzwerken zu bewegen. Der Security-Ansatz Zero Trust stellt deshalb jeden Nutzer erst einmal unter Generalverdacht. Was genau verbirgt sich hinter dem Begriff? Und wie lässt sich das neue Sicherheitsdenken im Unternehmen umsetzen?

Alle führenden Hersteller von Business-Software setzen seit einigen Jahren auf das Prinzip von Zero Trust – vor allem bei Lösungen aus der Cloud. Sie verschieben damit bei der IT-Sicherheit den Fokus: Sie sichern nun einen Vierklang aus Daten, Identitäten, Applikationen und Geräten anstelle der Netzwerke. Für Unternehmen ist diese Umstellung ein Paradigmenwechsel. Bislang glichen die Abwehrsysteme von Unternehmen eher einer mittelalterlichen Burg mit einem klar umgrenzten Bereich, dem Perimeter, der durch Gräben, Mauern und Tore geschützt war. Wer diese Hindernisse passiert hatte, konnte sich ungehindert in der gesamten Burg bewegen.

 

Wem kann man noch trauen? Bild: © D-Keine / Getty Images

Wem kann man noch trauen? Bild: © D-Keine / Getty Images

Über die Unternehmensfestung hinaus

Allerdings reicht der Perimeter heutiger Unternehmensnetzwerke weit über diese Kernfestung hinaus: etwa bis zum Mitarbeiter im Home-Office, zum mobilen Außendienstmitarbeiter oder zur Vertriebsstelle im Ausland. So müssen die Unternehmen nicht mehr nur Desktops, Server und Netzwerke absichern, sondern auch wissen: Wer nutzt diese Ressourcen des Unternehmens wirklich? Denn jede Burg hat ihre Schwachstellen – vor allem die Bewohner, die ein und aus gehen. Deren Identitäten lassen sich kapern. In diesem Fall hilft keine Firewall mehr, da sich die Eindringlinge mit gestohlenem Namen und Ausweis (Login-Daten) frei im gesamten Gemäuer bewegen können.

Unternehmen benötigen deshalb Zero-Trust-Mechanismen, um sich auch gegen solche Undercover-Angriffe schützen zu können. Dazu zählen zum Beispiel leistungsfähige Spam-Filter gegen Phishing-Mails. Ist trotz dieser Filter eine dieser Mails dennoch einmal erfolgreich, müssen die Systeme diesen Vorfall erkennen können und analysieren: Welche Identitäten sind betroffen? Und auf welche Systeme haben die Eindringlinge Zugriff? Solche Informationen können die Security-Experten mithilfe traditioneller Abwehrsysteme nur schwer ableiten. Sie müssen sich dazu vor allem mit Servern verbinden und dort in die Logs schauen. Ein solches Vorgehen zieht sich aber oft über Tage – zu viel Zeit, in der die Angreifer weiter ihr Unwesen treiben können.

 

Analysieren statt administrieren

Heutige (Cloud-)Lösungen, die auf Zero Trust basieren, stellen solche sicherheitskritischen Informationen mithilfe weniger Mausklicks zur Verfügung, da sie die Komplexität des deutlich erweiterten Perimeters reduzieren und verwaltbar machen. Statt eines ganzen Sicherheitsarsenals aus den besten Virenscannern, Firewalls oder Scan Engines am Markt („Best of breed“) konsolidieren sie alle Security-Funktionen innerhalb einer Lösung („Best of suite“). Dies ist sowohl funktionaler, als auch aus Kostengründen die mittlerweile attraktivere Variante: So fallen nicht nur die Einzellizenzen für die Sicherheitswerkzeuge weg. Auch das vergleichsweise große Expertenteam verkleinert sich, das nötig ist, um die ganzen Technologien und Tools zu betreiben und zu administrieren.

Die meisten großen Versicherungen und Transportlogistiker, die 2017 von den damaligen Wannacry-Angriffen besonders betroffen waren, haben ihre vorher sehr heterogenen Security-Strukturen umgestellt. Zentrale, integrierte Suite-Lösungen lösen seitdem die Einzellösungen Schritt für Schritt ab. Die Unternehmen müssen sich heute immer weniger um die Administration von Technologien und Lösungen kümmern, sondern können stattdessen mehr Analysen vornehmen: Welche Zusammenhänge gibt es zwischen den Diensten? Ist es plausibel, wenn sich etwa ein Mitarbeiter plötzlich aus Indonesien einwählt und auf den Aktionärsbericht zugreift, der kurz vor der Veröffentlichung steht? Welche Anwendungsmuster sind so auffällig, dass in Echtzeit gestartete Gegenmaßnahmen sinnvoll sind? Liegen solche Informationen vor, auch gestützt durch Machine Learning, lassen sich Konten automatisiert sperren. Oder Mitarbeiter müssen eine zweite oder dritte Authentifizierung über einen alternativen Kanal durchführen, wenn sie weiter Systemzugriff haben wollen.

 

Die Lösung ist hybrid

Müssen Unternehmen deshalb ihre alte Sicherheitsfestung ganz abbauen, wenn sie auf Zero-Trust-Prinzipien und -Technologien umstellen wollen? Sicher nicht, denn schließlich schützt die eigene Burg ja auch weiter den eigentlichen Schatz des Unternehmens, das geistige Eigentum und die Kundendaten. Deshalb bieten sich hybride Szenarien an. In ihnen bleibt der durch Firewalls umgebene Kern-Perimeter weiter bestehen, durch Zero Trust-Elemente jedoch zusätzlich abgesichert. Als übergreifender Rahmen für solche hybriden Lösungen, dient in der Regel eine SIEM-Lösung (SIEM, Security Information and Event Management), welche die Zero-Trust-Funktionen aus der Cloud auf die komplette Unternehmens-IT ausweitet und Bestandssysteme wie Firewalls und On-Premise-Server einbindet.

Insgesamt trägt Zero Trust auch bei hybriden Lösungen generell zur Digitalisierung und Cloudifizierung von Unternehmen bei – zumal bei der Erkennung eventuell sicherheitskritischer Anwendungsmuster immer mehr Künstliche Intelligenz und Machine Learning zum Einsatz kommen. Heute handelt es sich dabei vor allem um trainierte virtuelle Maschinen, die anormale Muster erkennen. In Zukunft wird Data Analytics darüber hinaus auch mehr und mehr Informationen liefern, mit denen sich Sicherheitssysteme fortlaufend verfeinern und verbessern lassen. Die Daten sind in jedem Unternehmen vorhanden. Nun gilt es, sie auch mit Blick auf die Sicherheit der IT verfügbar zu machen, zu gruppieren und zu analysieren.

 

Was ist Zero Trust?

Es waren die IT-Analysten und Marktforscher von Forrester, die 2009 erstmals ein Zero-Trust-Modell vorstellten. Ihm zufolge war jeder Netzwerkverkehr kritisch zu betrachten – auch wenn er ausschließlich innerhalb der Unternehmenssysteme stattfand. Zum Teil war Zero Trust eine Antwort auf den Siegeszug von Cloud-Services und des mobilen Arbeitens, bei dem ein einfacher Identitätscheck der Nutzer nicht mehr ausreicht. 2018 hat Forrester dann das „Zero Trust eXtended Ecosystem“ (ZTX) vorgestellt, bei dem neben den Daten vor allem die einzelnen Anwender in den Mittelpunkt rücken – und damit die Überprüfung ihrer Identität und das systematische Management ihrer Zugriffsrechte. Während die neuste Generation von Firewalls und Techniken der Mikrosegmentierungen die Struktur der Netzwerke schützt, liefert der „Next Generation Access“ (NGA) Sicherheit, soweit die eigenen Systeme reichen – also bis ins Homeoffice oder bis zu Vertriebspartnern in anderen Ländern.

2014 hat Google als erster großer Anbieter mit „BeyondCorp“ eine praktische Anwendung des Zero Trust-Frameworks vorgelegt. Auch unter BeyondCorp spielen starke (Mehrfach-)Authentifizierungen der Nutzer eine wesentliche Rolle. Der Erfolg ließ nicht auf sich warten: In dem Konzern mit seinen rund 85.000 Mitarbeitern gab es seit 2017 keine erfolgreichen Phishing-Attacken in der Belegschaft mehr. Auch in Unternehmenssoftware, welche die großen Cloud-Anbieter wie Amazon, Google, Microsoft & Co. heute bereitstellen, ist Zero Trust mittlerweile ein maßgebliches Prinzip.

 

Weitere Beiträge zum Thema Security

  • mitteilen 
  • teilen 
  • teilen 
  • email hidden; JavaScript is required
Drucken

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Um die Diskussionsqualität zu wahren, veröffentlichen wir nur noch Kommentare mit nachvollziehbarem Vor- und Nachnamen sowie authentischer E-Mail-Adresse.