Eigenes Zero-Trust-Framework implementieren Zero-Trust-Prinzipien: Verstehen und in 6 Punkten umsetzen

Wie lassen sich die wichtigsten Zero-Trust-Prinzipien umsetzen? Ein IT-Security-Experte benennt 6 Punkte, an denen sich Unternehmen orientieren können.

Das Sicherheitskonzept Zero Trust geht einen Schritt weiter, als Sicherheitsstrategien, die nur mit Netzwerkgrenzen arbeiten: Statt einfach allen Benutzern innerhalb eines Netzwerks zu vertrauen, geht es davon aus, dass nichts und niemandem vertraut werden kann – auch nicht hinter der Firmenfirewall. Anstatt also unbegrenzten Zugriff auf Unternehmensressourcen zu gewähren, wird Zugriff bei Zero Trust nur in Einzelfällen gewährt. Mittelstand Heute hat das Konzept bereits in diesem Beitrag näher erklärt.

Demnach basiert Zero Trust auf vier wesentlichen Prinzipien. Diese sind:

1. Prinzip von Zero Trust: Vertraue niemandem und prüfe jeden!

Das Prinzip Null Vertrauen basiert darauf, nichts und niemandem sowohl innerhalb als auch außerhalb des Netzwerks zu vertrauen. Es gilt: Vertraue keiner Anfrage, solange diese nicht ausreichend verifiziert ist. Wichtig ist dabei, dass eine solche Verifizierung bei jeder Anfrage erneut und zusätzlich anhand der zu diesem Zeitpunkt aktuellen Parameter durchgeführt wird.

2. Prinzip von Zero Trust: Gehen Sie nach dem Prinzip der geringstmöglichen Berechtigungen vor (Least Privilege)!

Das Prinzip Least Privilege geht über den Zugriff durch menschliche Benutzer hinaus. Denn auch Anwendungen, Systeme oder vernetzte Geräte benötigen schließlich Privilegien oder Berechtigungen, um Aufgaben ausführen zu können. Least Privilege stellt also sicher, dass ein nicht menschliches Tool den erforderlichen Zugriff erhält – aber eben nicht mehr als das.

3. Prinzip von Zero Trust: Mikrosegmentieren Sie!

Schränken Sie den Aktionsradius von Cyberangreifern ein, indem Sie möglichst kleine Zonen für Rollen, Berechtigungen und die Erreichbarkeit von Anwendungen einrichten! Ein Master-Account für die Verwaltung von virtuellen Servern bei einem Cloud Provider sollte zum Beispiel nicht auch Zugriff auf Kundendaten haben.

4. Prinzip von Zero Trust: Rechnen Sie mit Angriffen!

Zero Trust bedeutet, mögliche Schäden sofort und geplant zu begrenzen. Fragen Sie sich nicht mehr ob, sondern rechnen Sie damit, dass ein Angriff passieren wird! Nach Zero Trust können eine wirksame Ende-zu-Ende-Verschlüsselung sowie Analyse-Funktionalitäten sicherstellen, dass Bedrohungen schneller aufgespürt werden und Verteidigungsmechanismen greifen können. Überlegen Sie sich außerdem, wie Sie bei einem Angriff die Geschäftstätigkeit eingeschränkt fortführen und Daten wiederherstellen.

Wie lassen sich nun diese 4 Zero-Trust-Prinzipien umsetzen und was bedeuten diese Prinzipien für Unternehmen? IT-Security-Experte André Wetzel vom Business-IT-Spezialisten All for One Group benennt 6 Punkte, an denen sich Unternehmen orientieren sollten, wenn sie eine Zero-Trust-Architektur implementieren. Diese sind:

1. Schutz Ihrer Identitäten mit Zero Trust

"Setzen Sie zum Schutz Ihrer Identitäten Multi-Faktor-Authentifizierung ein! Aber Achtung: Mobil zum Beispiel kann die Methode umgangen werden!"

Multi-Faktor-Authentifizierung ist eine sichere Authentifizierungsmethode, bei der Benutzer zwei oder mehr Verifizierungsfaktoren für den Zugriff angeben müssen. Allerdings können auch MFA-Verfahren umgangen werden. Bei den Authentifizierungswegen sind insbesondere mobilfunkbasierte, wie SMS, besonders anfällig und sollten deshalb vermieden werden. Generell verändert eine MFA oft vertraute Workflows in Unternehmen. Unternehmen sollten diese folglich sorgfältig kommunizieren.

Zum Thema MFA

Ein Kameraobjektiv blickt in einen Büroraum

Aktueller Leitfaden MFA Was bedeutet Multifaktor-Authentifizierung in 2024?

jetzt artikel lesen

"Ziehen Sie eine Passwortlose Authentifizierung in Betracht! Zum Beispiel mit einem Fingerabdruck."

Hierbei handelt es sich um eine Methode nach Zero Trust, bei der die Identität eines Benutzers nicht mit einem Passwort verifiziert wird. Das kann zum Beispiel ein Zertifikat, ein Hardware-Token, ein Fingerabdruck oder die Iris-Erkennung sein.

"Schalten Sie alte Legacy-Authentifizierungen für Microsoft Office ab! Sie sind ein Risiko."

Hier handelt es sich um eine veraltete Methode, mit der Benutzer sich bei Microsoft-Office Online-Diensten anmelden können. Die Übermittlung der Zugangsdaten wie Username und Passwort stellen für Unternehmen ein erhöhtes Sicherheitsrisiko dar.

"Analysieren Sie Bedrohungen! Zum Beispiel mit einer EDR- oder XDR-Lösung, wie Microsoft 365 Defender."

Mit einer Endpoint-Detection-and-Response-(EDR-) oder Extended-Detection-and-Response-(XDR-)Lösung wie beispielsweise die Enterprise Defense Suite Microsoft 365 Defender werden Daten zu Signalen, Bedrohungen und Warnungen aus der Microsoft-365-Umgebung mit Endpunkten, Identitäten, E-Mails und Anwendungen analysiert.

"Führen Sie Richtlinien für Zugriffe ein: Grünes Licht oder Multifaktor-Authentifizierung? Sie bestimmen!"

Risikobasierte Richtlinien geben grünes Licht für die Gewährung von Zugängen, oder sie blockieren oder fordern die Verwendung einer Multifaktor-Authentifizierung, wenn ein auffälliges Nutzerverhalten identifiziert wurde.

Zero Trust: Praxisnah

Wertvolle Tipps und Erfahrungsberichte im Zero-Trust-Ratgeber!

Interessiert an Zero Trust? Diese Empfehlungen und viele weitere Praxistipps und Erfahrungsberichte rund um Zero Trust finden Sie im Zero-Trust-Ratgeber des Business-IT-Spezialisten All for One Group! Hier geht es direkt zum Ratgeber.

Jetzt hier Tipps abholen!

2. Zugriff auf Daten schützen mit Zero Trust: Diebstahl, -Verlust und -Manipulation verhindern

"Klassifizieren Sie Ihre Daten – und zwar nach Vertraulichkeitsstufen! Sie können Ihre vertraulichen Daten nur dann angemessen schützen, wenn Sie auch wissen, ob sie lokal gespeichert sind oder in der Cloud liegen."

Datenklassifizierung, ist eine Methode, mit der Unternehmen Dateien und kritische Geschäftsinformationen definieren und kategorisieren können. Mehr zur Methode lesen Sie hier.

"Halten Sie Datenschutzrichtlinien ein! Auf diese Weise werden Daten gekennzeichnet, verschlüsselt oder gar blockiert und somit immer bedarfsgerecht geschützt."

"Überwachen Sie den Zugriff auf Ihre vertraulichen Daten kontinuierlich! Nur so erkennen Sie Verstöße gegen Richtlinien oder auffälliges Benutzerverhalten frühzeitig."

Wissen zu Zero Trust:

Was bedeutet die Zero-Trust-Architektur?

Die Zero-Trust-Architektur unterscheidet sich wesentlich von der traditionellen Sicherheitsarchitektur: Statt nur den Perimeter eines Unternehmens zu schützen, sichert die Zero-Trust-Architektur jede Datei, jede E-Mail und jedes Netzwerk, da jede Identität und jedes Gerät authentifiziert werden. Daraus resultiert auch der Begriff "perimeterlose Sicherheit". Die Zero-Trust-Architektur schützt so nicht nur ein einzelnes Netzwerk, sondern zusätzlich auch den Remote-Zugriff, private Geräte und Anwendungen von Drittanbietern.

3. Zero Trust: Kontrollieren Sie Ihre Endpunkte!

Mit Zero Trust geht es für Unternehmen darum, alle Endgeräte zu überprüfen, bei denen Zugriffe auf Daten passieren – egal ob Smartphone, PC, Tablet oder Wearable. Unternehmen sollten sich laut Wetzel darüber im Klaren sein: Unterschiedliche Gerätekonfigurationen und Software Patch Level sind ein Sicherheitsrisiko. Deshalb:

"Steuern Sie Ihre Endgeräte über die Cloud!"

Eine zentrale Lösung aus der Cloud sorgt dafür, dass Sicherheitsrichtlinien eingehalten werden, indem sie

Apps, also Anwendungen über die Cloud bereitstellt,
über die Cloud up-to-date hält
und konfiguriert."

"Rüsten Sie sich mit einem Incident Response Management System: Ein solches System greift bei erfolgreichen Angriffen sofort, um Daten zu schützen!"

Falls in Unternehmen eine Sicherheitsverletzung zum Beispiel durch die Installation von Schad-Software oder durch Brute-Force-Angriffe auf Schwachstellen erfolgt, greift nach dem Prinzip von Zero Trust ein Incident Response Management System, um den Zugriff auf Daten von Unternehmen einzudämmen.

"Überwachen Sie mit Zero Trust die Einhaltung aller Sicherheitsrichtlinien!"

Stellen Sie die Einhaltung von Richtlinien sicher, bevor Zugriff gewährt wird.

"Bonus-Tipp zu Zero Trust: Schützen Sie Ihre Endgeräte, indem Sie Bildschirminhalte und Benutzeroberflächen vom Endgerät trennen. Gehostet auf einem zentralen Server, lassen sich die Inhalte besser absichern."

4. Steuern Sie mit Zero Trust den Zugriff auf Anwendungen!

"Verbinden Sie Anwendungen über APIs, um Daten und Aktivitäten in Ihren Apps zu identifizieren!"

"Kennen Sie Ihre Schatten-IT! Solche Anwendungen also, die Mitarbeitende ohne Wissen oder Zustimmung der IT-Abteilung nutzen. Stellen Sie sicher, dass die richtigen App-Berechtigungen vergeben sind!"

"Implementieren Sie Richtlinien zum Schutz vertraulicher Informationen und Daten. Schränken Sie also den Zugriff auf Anwendungen mit Echtzeitanalysen ein! Überwachen und steuern Sie Benutzeraktivitäten! Und vor allem: Überprüfen Sie die Sicherheit Ihrer Konfiguration regelmäßig!"

5. Überprüfen Sie Ihr Netzwerk mit Zero Trust!

"Authentifizieren und autorisieren Sie mit Zero Trust alle Daten, Benutzeridentitäten, Standorte und die Integrität der Geräte, Dienste und Workloads!"

"Verwenden Sie nur Zugriffe mit den geringsten Rechten! – Zugriffe also nach Least-Privilege-Prinzip!"

Just-in-Time zum Beispiel gewährt Zugriffe nur aufgabenbezogen.
Just-Enough-Access hingen beschränkt Zugriffe nach autorisierten Benutzerrollen."

"Gehen Sie von einer permanenten Sicherheitsbedrohung aus!"

Ist es schon zu spät,

verhindern Sie eine schnelle Ausbreitung,
setzen Sie künftig auf Analysen, um unerlaubte Zugriffe frühzeitig zu erkennen
und stärken Sie Ihre Abwehr mit Zero Trust!"

6. Zero Trust: So schützen Sie Ihre Infrastruktur!

Hardware, Software, Netzwerke, Datenverarbeitung, -speicherung und Microservices: Ist ein Angriff auf Unternehmen erfolgreich, ist die Beute groß. Mit Zero Trust erkennen Unternehmen unerlaubte Zugriffe auf Infrastrukturen frühzeitig und wehren Angriffe ab. Wetzel erklärt, wie:

"Implementieren Sie Lösungen für den Schutz von Cloud Workloads! Nur so schützen Sie Daten in dezentralisierten Umgebungen."

Nur wenn Unternehmen Cloud Workloads durchgängig und in vollem Umfang verwalten, absichern und bewerten, lassen sich alle Ressourcen, besonders in hochgradig dezentralisierten Umgebungen der Cloud, schützen.

"Segmentieren Sie den Zugriff von Benutzern und Ressourcen! Denn: Angriffe auf kleine Segmente lassen sich besser eindämmen."

Wenn Netzwerke nach Benutzern und Geräten segmentiert, also in kleinere „Inseln“ aufgeteilt sind, werden Sicherheitsverletzungen durch unautorisierte Zugriffe auf die Infrastruktur in Unternehmen wirksam eingeschränkt, weil sie sich nicht unkontrolliert ausbreiten können.

"Nutzen Sie Tools, um Bedrohungen zu erkennen!"

In hybriden Netzwerkinfrastrukturen können hochentwickelte Bedrohungen durch spezielle Tools verhindert, erkannt, aufgespürt und bekämpft werden.

"Verwalten Sie Identitäten für Anwendungen korrekt, damit sie sicher mit Diensten und Ressourcen kommunizieren können."

Korrekt verwaltete Identitäten für Anwendungen sorgen dafür, dass diese sicher mit verschiedenen Diensten und Ressourcen kommunizieren.

"Sorgen Sie mit Zero Trust für ein Security Information and Event Management! So können Sie Risiken von einem zentralen Punkt aus in der gesamten Infrastruktur überwachen."

"Überprüfen Sie Ressourcen stets auf ungewöhnliches Verhalten!"

Beim Einrichten von neuen Infrastrukturkomponenten oder Ressourcen ist es wichtig, gleich feste Regeln für das Überwachen und Auslösen von Warnungen einzurichten. Damit ist es möglich, unerwartetes oder ungewöhnliches Verhalten zu analysieren.