Zero Trust: Wie Sie Missverständnisse und Irrtümer vermeiden
Die häufige Verwendung des Begriffs Zero Trust im Marketing führt zu einer Verunsicherung der Kunden. Wir erklären, was sich wirklich dahinter verbirgt.
Zero Trust ist nicht gleich Zero Trust. Viele Hersteller versuchen, ihren Kunden Produkte zu verkaufen, bei denen Zero Trust draufsteht, aber etwas anderes drin ist. Wir klären, was sich wirklich hinter dem immer häufiger zu hörenden Begriff verbirgt.
Der Begriff „Zero Trust“ avancierte in den letzten Jahren zu einem der wichtigsten Schlagworte im Bereich der IT-Sicherheit. Dabei haben sich allerdings unterschiedliche Interpretationen mit unterschiedlichen Bedeutungen entwickelt. Im Kern konzentriert sich Zero Trust nach der Definition des amerikanischen National Institute of Standards and Technology (NIST) auf den Schutz aller Ressourcen im Unternehmen – und auf die Maxime, dass Vertrauen niemals stillschweigend gewährt werden darf, sondern eine ständige Überprüfung benötigt.
Traditionelle Perimeter-Sicherheit erlaubt authentifizierten Personen oder Geräten einen umfassenden Zugriff auf interne Ressourcen, was bei Zero Trust nicht der Fall ist. Dies hat jedoch zur Folge, dass sich Angreifer, die einmal eingedrungen sind, relativ leicht lateral durch ein Unternehmensnetzwerk bewegen können. Firewalls am Perimeter sollen vor Angriffen von außen schützen, sie bieten jedoch keine Sicherheit gegen Angriffe von Insidern. Außerdem schützen sie auch nicht die außerhalb des Netzwerks arbeitenden Mitarbeiter oder die eingebundenen Cloud-Dienste.
Eine Zero-Trust-Architektur konzentriert sich hingegen auf die Verhinderung nicht autorisierter Zugriffe auf Daten und Dienste. Dazu benötigt sie möglichst granulare Zugriffskontrollen. Im Kern geht es bei Zero Trust also um Authentifizierung, Autorisierung und natürlich auch Verschlüsselung. Das NIST hat im August 2020 in der Special Publication 800-207 sieben Grundsätze als „Zero Trust Basics“ zusammengestellt, die das Sicherheitskonzept anschaulich beschreiben:
Viele andere Aspekte, die Sicherheitsfirmen unter dem Label „Zero Trust“ anbieten, sind mehr oder weniger sinnvolle Ergänzungen und gehören nicht zu den Grundpfeilern einer robusten Zero-Trust-Strategie.
Darüber hinaus hat das NIST sechs Annahmen formuliert, die bei der Implementierung zu berücksichtigen sind. Sie zeigen, wie Zero Trust Ihr Firmennetzwerk sieht:
Der Zero-Trust-Ansatz umfasst also Identitäten, Anmeldeinformationen, Zugriffsmanagement, Prozesse, Endgeräte, Hosting-Umgebungen und die verbindende Infrastruktur.
Zero Trust bezeichnet kein bestimmtes Produkt, sondern einen allgemeinen IT-Sicherheitsansatz, der dem Least-Privilege-Prinzip folgt und es übertrifft. Anwendern und ihren Endgeräten wird dank Zero Trust kein blindes Vertrauen mehr eingeräumt. Stattdessen erhalten sie nur Zugriff auf die Daten, die sie für ihre aktuellen Aufgaben benötigen.
Im Hintergrund prüft eine Zero-Trust-Lösung bei jedem Datenzugriff, ob dieser berechtigt ist. Das schränkt den Spielraum für Cyberkriminelle ein, da selbst erfolgreiche Angriffe nur einen sehr kleinen Teil des Netzwerks betreffen würden. Sollte es dennoch zu einem Vorfall kommen, kann die betroffene Ressource einfach abgeschaltet und von der Bedrohung befreit werden. Das erfordert – wie sonst oft – keine Abschaltung des gesamten Systems.
Die Sicherheitslösungen von NCP bauen seit vielen Jahren auf dasselbe Prinzip, das sich auch Zero Trust zunutze macht. Im Gegensatz zu herkömmlichen VPN-Produkten bieten die NCP-Lösungen weit mehr als nur verschlüsselte Verbindungen zu den Servern der Kunden. Stattdessen setzt NCP konsequent auf eine umfassende Absicherung. So können Administratoren eines Unternehmens beispielsweise mit dem NCP Secure Enterprise Management (SEM) die Zugriffsrechte von Benutzergruppen oder einzelnen Anwendern granular und damit dem Zero-Trust-Prinzip entsprechend verwalten.
Darüber hinaus ermöglichen die Lösungen von NCP eine sichere Authentifizierung der Benutzer und ihrer Geräte. Dazu nutzen sie moderne Sicherheitselemente wie Multi-Faktor-Authentifizierung (MFA), Zertifikate für Benutzer und Maschinen sowie Endpoint Policy Checks. Damit lassen sich unter anderem die Aktualität der Virenscanner auf den Endgeräten und die vorhandenen Betriebssystem-Updates kontrollieren. Nur wenn das Endgerät auf dem aktuellen Stand ist, darf es sich auch mit dem Firmennetz verbinden. Zugriffsrechte können auf Basis vordefinierter Rollen oder granular vergeben werden. Hinzu kommen umfangreiche Möglichkeiten zur Konfiguration der Firewalls sowie ein zentrales Applikationsmanagement, mit dem Sie genau definieren, welche User, Gruppen und Anwendungen auf welche Ressourcen im Netzwerk zugreifen dürfen. Angreifer haben so keine Chance, unberechtigte Zugriffe durchzuführen.