04.03.2020 – Lesezeit: 4 Minuten

Geschäftsführung / Technologie

Vertrauen schaffen mit Zero Trust

Die Bedrohungslage im Internet verschärft sich, deshalb sind neue Sicherheitsstrategien gefragt. Zero Trust ist dabei sehr hilfreich. Noch fehlt es vielen Mittelständlern am nötigen Know-how, um eine professionelle Zero-Trust-Strategie aufzubauen. Diese fünf Schritte sollten Sie bei der Umsetzung beachten.

Tarnen und Täuschen ist im Internet gang und gäbe. Wenn Unternehmen sicherstellen wollen, dass jemand tatsächlich derjenige ist, für den er sich ausgibt, schlägt die Stunde von Zero Trust. Es bedeutet, niemandem innerhalb oder außerhalb des Netzwerks zu vertrauen. Alle Anwender und Anwendungen müssen sich authentifizieren, und der Datenverkehr wird immer verschlüsselt.

Vergleich zum Standard

Der Unterschied zu bisherigen Sicherheitskonzepten besteht darin, dass sie annehmen, dass alle Dienste, Geräte und Anwender innerhalb des eigenen Netzwerks vertrauenswürdig sind. Ein Irrglaube, denn Hacker schaffen es immer öfter, erfolgreich in Firmennetzwerke einzudringen. Angreifer sind mittlerweile oft Profis oder sogar Geheimdienste mit fast unbegrenzten Ressourcen. Selbst die eigenen Mitarbeiter sind zu Schandtaten fähig.

„Durch Sabotage, Datendiebstahl oder Spionage ist der deutschen Industrie in den vergangenen beiden Jahren ein Gesamtschaden von insgesamt 43,4 Milliarden Euro entstanden. Sieben von zehn Industrieunternehmen (68 Prozent) sind in diesem Zeitraum Opfer entsprechender Angriffe geworden“, heißt es in einem Bericht des Bundesamtes für Verfassungsschutz.

Zero Trust bedeutet dagegen eine Neudefinition der IT-Security-Architektur, weil nicht mehr nur an den Netzwerkgrenzen, sondern im kompletten Netzwerk Sicherheitssysteme eingebaut werden müssen. Schlüsselelemente sind dabei ständige Autorisierung und Authentifizierung, die Verifizierung jedes Nutzers und jedes Gerätes sowie die komplette Absicherung von Netzwerkverbindungen. Im Mittelpunkt steht dabei, die Identität eindeutig festzustellen und den Kontext einer Anfrage zu verstehen.

Zero Trust liegt im Trend

Laut dem „Zero Trust Progress Report“ planen 72 Prozent der Unternehmen in diesem Jahr, ihr Risiko durch Cyberangriffe mit der Einführung von Zero Trust zu reduzieren. 30 Prozent möchten durch eine bessere Nutzererfahrung und optimierte Administrations- und Bereitstellungsverfahren die Verwaltung ihrer Zugriffskontrollen vereinfachen.

Mehr als die Hälfte der Befragten plant, Zero Trust in Hybrid-Umgebungen einzuführen. Ein Viertel der Unternehmen wollen ihre Zugriffskontrollen mit Funktionen für einen softwaredefinierten Netzwerkperimeter (SDP), oder auch Zero-Trust-Netzwerkzugriff (Zero Trust Network Access, ZTNA), ergänzen.

Mit dem Software Defined Perimeter (SDP) werden Netzwerkzugänge und Verbindungen nach dem Need-to-know-Prinzip aufgebaut, das heißt, Berechtigungen werden nur erteilt, soweit sie tatsächlich für die anstehende Aufgabe erforderlich sind. Zero-Trust-Netzwerkzugriff (Zero Trust Network Access, ZTNA) legt den Fokus auf Virtual Private Networks (VPN) und will deren Schutz ausbauen.

Leicht gesagt, schwer umgesetzt

Fast die Hälfte der zuständigen Sicherheitsteams klagen darüber, dass ihnen das Know-how fehle, um Zero Trust bei ihren Zugriffskontrollen anzuwenden. Mehr als 40 Prozent der Befragten sagten aus, dass ihnen risikoanfällige (Mobil-)Geräte, der ungeschützte Netzwerkzugang durch Partnerunternehmen, Cyberangriffe, Mitarbeiter mit privilegierten Zugriffsrechten und die Schatten-IT beim netzwerkweiten Schutz ihrer Anwendungen und Ressourcen am meisten Schwierigkeiten bereiten.

Mehr als 60 Prozent machen sich Sorgen über die Zugriffsrechte privilegierter User, also Administratoren und Geschäftsführer, denn wenn deren Accounts gehackt werden, können sich Hacker überall im Netzwerk bewegen. Und kein Unternehmen lebt für sich allein: In der Interaktion mit Lieferanten, Partnern und Kunden kommt es immer wieder zu mangelhaft gesicherten Zugriffen.

Darüber hinaus bereitet die Vielzahl mobiler Geräte Kopfzerbrechen, die oft nur unzureichend gesichert sind. Trotz all dieser Schwierigkeiten genießen Projekte zu Zero Trust hohe Priorität: Ein Drittel der Befragten will binnen neun Monaten mit der Implementierung beginnen.

Vertrauensleiter aufbauen

Wenn Sie ein Projekt zu Zero Trust angehen wollen, sollten Sie eine Reihe von Best Practices beachten. Palo Alto Networks rät zu einer Methodologie mit fünf Schritten.

  1. Definieren Sie, welche Oberfläche Sie schützen wollen
  2. Verschaffen Sie sich einen Überblick über die Transaktionsflüsse
  3. Gehen Sie an die Architektur des eigentlichen Zero-Trust-Netzwerks
  4. Legen Sie die Policy für Zero Trust fest
  5. Überwachen Sie das Netzwerk ständig

Zero Trust im Mittelstand

Die genannte Studie zeigt, dass vielen Unternehmen noch immer das Know-how fehlt, um eine professionelle und sichere Zero-Trust-Struktur aufzubauen. Sollten auch Ihre Sicherheitsteams Probleme haben, wenden Sie sich am besten direkt an einen vertrauensvollen Partner. Die Cybersecurity-Experten der All for One Group haben bereits umfassende Erfahrungen mit erfolgreichen Zero-Trust-Implementierungen gesammelt. Sie können sicher sein, dass damit Ihre gesamte Sicherheitsstrategie auf eine neue Stufe gehoben wird.

Zero Trust gehört natürlich zu den Security-Trends schlecht hin. Welche anderen vier Trends Sie 2020 unbedingt ebenfalls auf dem Schirm haben sollten, erfahren Sie hier.

Quelle: Titelbild pixabay, geralt