„Zero Trust”

Die Risiken fest im Blick

Mit der zunehmenden Dezentralisierung von Anwendungen und Netzwerkgeräten steigt auch das Sicherheitsrisiko für Unternehmen. Ganzheitliche Schutzkonzepte wie das „Zero-Trust”-Modell können dieser Entwicklung etwas entgegensetzen.

Eine IT-Mitarbeiterin am Schreibtisch

Ob Webanwendung, Micro-Service, IoT-Device oder Container: Mit einem Zero-Trust-Framework wird prinzipiell jeder Zugriff über alle Infrastrukturgrenzen hinweg vorab verifiziert.

In Zeiten dynamischer Workloads, die sich zwischen Multi-Cloud-Umgebungen und physischen Rechenzentren hin und her bewegen, verliert die Ortsbestimmung „diesseits der Firewall“ ihre frühere Bedeutung. Ein per se vertrauenswürdiger Innenraum im Datacenter hört praktisch auf zu existieren. Zero Trust heißt daher die Devise für einen ganzheitlichen Sicherheitsansatz, der den Herausforderungen einer zunehmend vernetzten IT-Welt tatsächlich gerecht wird.

 

Neu ist die Zero-Trust-Idee nicht: Forrester brachte ein gleichnamiges Konzept schon 2010 ins Spiel, bevor Gartner einige Jahre später eine erweiterte Zero-Trust-Variante namens Continuous Adaptive Risk and Trust Assessment (CARTA) vorstellte. Auch das BeyondCorp-Modell von Google verwirklicht den Grundgedanken von Zero Trust – nämlich, a priori nichts und niemandem zu vertrauen.

Volle Transparenz

Ob Webanwendung, Micro-Service, IoT-Device oder Container: Mit einem Zero-Trust-Framework wird prinzipiell jeder Zugriff über alle Infrastrukturgrenzen hinweg vorab verifiziert –  einschließlich solcher, die von Systemen aus dem von Firewalls umschlossenen Innenbezirk des eigenen Rechenzentrums kommen. Im Unterschied zu früher müssen sich Nutzer, Programme oder Geräte also nicht nur einmalig bei der Anmeldung authentifizieren, sondern unterliegen nun permanent der Kontrolle ihrer Vertrauenswürdigkeit. In einem absolut konsequenten Zero-Trust-Szenario herrscht somit totale Echtzeit-Transparenz darüber, wer über welchen Zugangsweg wann und zu welchem Zweck auf eine bestimmte IT-Ressource zugegriffen hat. Kommt es dennoch zu einer Malwareinfektion, lässt sich deren Ausbreitung per Zugriffsteuerung sofort stoppen und der Infektionsweg lückenlos zurückverfolgen.

Allerdings ist es ein weiter Weg bis zu einem derartigen Idealszenario. Die gute Nachricht: Viele Technologien zur Umsetzung eines Zero-Trust-Framework sind vielerorts bereits im Einsatz – zum Beispiel Identity and Access Management (IAM) oder auch eine segmentierte Netzwerk-Fabric mit einem sogenannten Software-Defined-Access beziehungsweise Software-Defined-Perimeter (SDP). Letzteres erleichtert insbesondere die richtlinienbasierte Zugriffssteuerung für IoT- und Multi-Cloud-Anwendungen. Die Cloud Security Alliance – eine weltweite Gemeinschaftsinitiative von fast 200 IT-Unternehmen – definiert das SDN-Modell im Wesentlichen durch drei Merkmale: Geräteauthentifizierung, identitätsbasierter Zugang sowie dynamisch bereitgestellte Konnektivität. Vereinfacht gesagt, sorgt SDP dafür, dass ein User stets nur diejenige App oder Datenbank sieht, für die er eine aktuelle Zugriffsberechtigung besitzt. Das umgebende Netzwerk der betreffenden Ressource bleibt hingegen unsichtbar. Denn Zugriffe werden beim SDP nicht mehr am Perimeter eines Netzwerks gesteuert, sondern von den darin enthaltenen Ressourcen. Folglich wissen zugriffberechtigte User zu keinem Zeitpunkt, an welcher Stelle des jeweiligen Netzwerks sie momentan agieren. Wie gesagt existieren bereits etliche Werkzeuge, mit denen sich ohne weiteres auch SDP-Ansätze für ein Zero-Trust-Framework umsetzen lassen – darunter Network Access Control-Lösungen (NAC), Next-Generations-Firewalls sowie Lösungen zur Authentifizierung anhand bestimmter Attribute.

Individuelle Einführungsstrategie

Da ein Zero-Trust-Framework stets aus dem komplexen Zusammenspiel verschiedenartiger Technologien besteht, gilt es, im Vorfeld eine pragmatische Einführungsstrategie auszuarbeiten. Als erster Schritt empfiehlt sich dabei ein Assessment, um herauszufinden, welche besonders kritischen Informationen wo gespeichert und in welchem Kontext wie und von wem verarbeitet werden. Im Sinne des Investitionsschutzes sollten parallel dazu alle vorhandenen IT-Sicherheitslösungen auf ihre Tauglichkeit für die künftige Zero-Trust-Plattform überprüft werden. Im Anschluss an das Assessment gehören unter anderem folgende Punkte auf die Zero-Trust-Agenda:

• Hard- und Softwareinventar mit einer Übersicht über den kompletten Netzwerk-Traffic.

• Aufstellung aller besonders sensiblen Unternehmensdaten inklusive zugehörigem Informationsfluss zwischen Applikationen und Systemen. Erfahrungsgemäß ist es am besten, sich anfangs auf nicht mehr als 50 kritische Anwendungen zu konzentrieren.

• Risikoanalyse bezogen auf die identifizierten Anwendungen mit hoher Kritikalität: Was wäre im Fall einer erfolgreichen Cyberattacke besonders folgenschwer? Je nach Anwendung und Geschäftstätigkeit könnten das beispielsweise Imageschäden, Informationsverlust oder Compliance-Verstöße sein.

• Authentisierungsplan mit Rollen und Rechten für stationäre und mobile Geräte, für Workloads sowie sämtliche Nutzer – also neben der Belegschaft auch Kunden und Partner.

• Umsetzung des Authentisierungsplans in ein möglichst weitgehend automatisierbares Richtlinienwerk.

Der Implementierungsaufwand für ein Zero-Trust-Framework ist von Unternehmen zu Unternehmen je nach Ausgangslage und Risikoprofil unterschiedlich. Aber er lohnt sich in fast allen Fällen, da den Kosten für die Einführung als Ergebnis ein deutlich höheres Schutzniveau gegenübersteht. Der Zero-Trust-Ansatz hilft Unternehmen, unbefugte Zugriffe auf kritische IT-Ressourcen mit hoher Zuverlässigkeit auszuschließen. Trotz der stetigen Perimeter-Ausweitung durch immer neue Anwender und Geräte einschließlich IoT-Devices vergrößert sich die potenzielle Angriffsfläche für Cyberkriminelle nicht. Oftmals deckt das Assessment im Vorfeld der eigentlichen Zero-Trust-Einführung empfindliche Abwehrlücken gegen Cyberattacken auf. „In vielen Fällen verbessert sich daher schon vor der Implementierung das IT-Sicherheitslevel. Nicht zuletzt erleichtert der technologisch offene Zero-Trust-Ansatz die Integration neuer Anwendungen und Geräte in die übergreifende Sicherheitsplattform eines Unternehmens“, sagt Torsten Harengel, Head of Cyber Security Germany bei Cisco. Und das heißt: Künftige IT-Anwendungen sind schneller einsatzbereit – in Zeiten der Digitalisierung ein klarer Wettbewerbsvorteil.

Top 5 der aktuellen Cybergefahren

  • Laut aktuellem Cisco Cyber-Security Report vom Februar 2019 verbreiten E-Mails nach wie vor die meisten Schadprogramme.
  • Der Bericht dokumentiert einen bedenklichen Anstieg von modularer Malware, wofür Emotet wohl nur das bekannteste Beispiel ist.
  • Trotz tendenziell schrumpfender Werte von Bitcoin & Co. nimmt das Volumen von Crypto-Mining weiter zu – und damit auch die Gefahr, dass Crypto-Hacker fremde Systeme von den Eigentümern unbemerkt für diesen Zweck missbrauchen.
  • Immer mehr Angriffspunkte bietet vor allem das IoT, das schon im nächsten Jahr gut 30 Milliarden Objekte umfassen soll. Allerdings spielen Sicherheitsaspekte bei der Entwicklung vieler IoT-Geräte oft noch eine Nebenrolle.
  • Nicht zu unterschätzen sind laut Studie die Gefahren, die mobile Endgeräte in Unternehmen hineintragen. Theoretisch sollte Fernwartung deren Sicherheit garantieren. Trotzdem entdeckte das Cisco Security-Team im vorigen Jahr mehrere Hacking-Fälle bei Mobile-Device-Management-Systemen.

Bildquelle: Getty Images / iStock

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok