Das Virtual Private Network (VPN) gehört der Vergangenheit an, das behaupten Experten einmütig. In der heutigen Zeit greifen Mitarbeiter remote auf Unternehmensressourcen zu, während Anwendungen nicht mehr ausschließlich in firmeneigenen Rechenzentren gehostet werden. In dieser neuen Ära der IT-Sicherheit lautet das Schlüsselprinzip: Zero Trust.
Was ist eigentlich Zero Trust?
Zero Trust, zu Deutsch „Null Vertrauen“, beschreibt ein IT-Sicherheitskonzept, bei dem niemandem blind vertraut wird. Jeder Zugriff auf Ressourcen erfordert eine strikte Authentifizierung. Dies steht im Gegensatz zum traditionellen, „perimeterbasierten“ Sicherheitsansatz, der sich auf die Sicherung der Unternehmensgrenzen konzentriert.
Dieser traditionelle Ansatz beinhaltet die Segmentierung des Unternehmensnetzwerks, die Implementierung von Intrusion-Detection-Systemen zur Erkennung von Angriffen und die Beschränkung des Netzwerkzugriffs mithilfe von Firewalls.
Zero Trust hingegen verfolgt einen granularen Ansatz, bei dem jeder Datenfluss auf seine Vertrauenswürdigkeit überprüft wird. Es handelt sich also um ein datenzentriertes Sicherheitskonzept.
Kein Produkt, sondern ein Prinzip
Zero Trust ist keine Software oder Technologie, die einfach installiert werden kann. Es ist vielmehr ein Modell für den sicheren Zugriff der Benutzer auf ihre Ressourcen und ein Sicherheitsprinzip, das Unternehmen dabei unterstützt, die Informationssicherheit zu gewährleisten.
Der Kerngedanke von Zero Trust besteht darin, keinem Nutzer, Gerät oder Dienst vorschnell zu vertrauen. Unbegründetes Vertrauen wird vermieden, um IT-Risiken für Unternehmen zu minimieren. Dies wird durch die Vergabe von minimalen Berechtigungen und den Zugriff nur dann ermöglicht, wenn er wirklich erforderlich ist, erreicht.
Um Zero Trust umzusetzen, sind aktuelle Richtlinien und klare Policies unerlässlich. Diese definieren, welche authentifizierten Benutzer, Dienste, Geräte und Anwendungen miteinander interagieren dürfen.
Neue Erkenntnisse und umfassende Einblicke
Durch die konsequente Anwendung von Zero Trust wird jede Interaktion sorgfältig dokumentiert. Dies ermöglicht eine detaillierte Analyse des IT-Arbeitsablaufs der Mitarbeiter, die Identifizierung der Aufgaben der Mitarbeiter, die erforderlichen Assets und Anwendungen sowie eine umfassende Übersicht über die gesamte Netzwerkaktivität.
Zero Trust, als datenzentrierte Sicherheitsarchitektur, bietet die Möglichkeit der vollständigen Transparenz. Datenströme können kontinuierlich überwacht werden. Diese fortlaufende Überwachung des gesamten Datenverkehrs ist ein zentraler Bestandteil von Zero Trust. Die daraus resultierenden Einblicke bilden die Grundlage für Optimierungen im Netzwerk, Datenfluss und operativen Abläufen.
Die Umsetzung von Zero Trust
Unternehmen haben erhebliche Ressourcen in den Aufbau ihrer herkömmlichen Sicherheitsinfrastrukturen investiert. Dadurch wurden komplexe Strukturen geschaffen, die mit Aufwand und Kosten verbunden sind. Dennoch basiert das gesamte Zugriffsmodell auf einem Prinzip, das langfristig nicht mehr tragbar ist.
Der Übergang zu einem neuen Sicherheitsmodell mag radikal erscheinen, aber er ist notwendig. Er ist vergleichbar mit einem langjährigen Autofahrer, der sich plötzlich für den öffentlichen Nahverkehr entscheidet.
Marktforschungsinstitutionen wie Forrester und Gartner sind sich einig: Unternehmen planen die Anwendung von Zero Trust-Prinzipien oder haben bereits mit deren Umsetzung begonnen.
Die treibenden Faktoren sind der verstärkte Einsatz von Cloud-Technologien, zunehmende Mobilität und die Anforderungen an Flexibilität. Darüber hinaus hat sich die Erkenntnis durchgesetzt, dass die meisten Cyberangriffe auf Unternehmen von internen Bedrohungen ausgehen.
Die Umsetzung von Zero Trust erfordert strukturierte Schritte, darunter Vorüberlegungen, Testläufe mit Benutzern und Anwendungen, die Klassifizierung von Ressourcen, die Formulierung von Sicherheitsrichtlinien und Migrationsstrategien.
Dieser Paradigmenwechsel stellt IT-Sicherheits- und Netzwerkteams vor eine komplexe Aufgabe, bei der sorgfältige Planung und Umsetzung entscheidend sind.