Am Thema Compliance kommt heute kein Unternehmen mehr vorbei. Wir klären, wie Compliance und Zero Trust zusammenhängen, was sie unterscheidet und wie sie voneinander profitieren.
Der Begriff Compliance steht nicht nur für die Einhaltung gesetzlicher und regulatorischer Vorgaben, sondern auch für die Erfüllung individueller Anforderungen, die ein Unternehmen selbst festgelegt hat. Was oft unnötig kompliziert klingt, bedeutet eigentlich nur, dass alle Mitarbeiter und die von ihnen eingesetzten Technologien den verschiedenen Vorgaben entsprechen, also „compliant“ oder „konform“ sein müssen, um Schaden von der Firma abzuwenden.
Was Compliance und Zero Trust gemeinsam haben
Ein auf den ersten Blick sehr ähnliches Ziel verfolgt auch das Zero-Trust-Konzept: Es soll Schaden vom Unternehmen abwenden. Bei Zero Trust handelt es sich um ein Sicherheitsmodell, das Datenschutzverletzungen verhindern soll. Dies wird erreicht, indem sensible Informationen nur den Mitarbeitern zugänglich gemacht werden, die diese für die Erledigung ihrer Aufgaben tatsächlich benötigen. Gleichzeitig geht das Konzept davon aus, dass es keine vertrauenswürdigen Netzwerke, Server oder Endgeräte mehr gibt. Alle Identitäten und Berechtigungen von Benutzern und Geräten benötigen deshalb ständige Kontrollen und Authentifizierungen. Erst nach der Überprüfung kann ein Zugriff auf die entsprechende Ressource erfolgen, der aber stets zeitlich begrenzt ist.
Compliance und Zero Trust sind also eng miteinander verwandt, wenn es um Cybersicherheit und den Schutz des Unternehmens vor Bedrohungen geht. So hilft Zero Trust, Compliance-Anforderungen zu erfüllen, indem es vertrauliche Daten schützt und Datenlecks verhindert. Dennoch ersetzt Zero Trust keine Compliance-Vorgaben in einer Firma.
Ein Zero-Trust-Konzept setzt sich aus zahlreichen Bausteinen zusammen, die auf den genannten Prinzipien basieren. Die von NCP engineering angebotene Zero-Trust-Implementierung besteht aus mehreren eng miteinander verzahnten Komponenten, die zusammen einen umfassenden Schutz vor Cyberangriffen gewährleisten. Die Nutzer erhalten nur Zugriff auf die Daten, die sie für ihre aktuellen Aufgaben benötigen. Weder sie noch ihre Geräte gelten als uneingeschränkt vertrauenswürdig, wie es beim klassischen Perimeter-Ansatz der Fall ist.
Aus folgenden zentralen Bausteinen besteht Zero Trust:
- Zugriffskontrollen für Benutzer, Geräte und Anwendungen (Stichwort: Multi-Faktor-Authentifizierung, MFA)
- Überwachung aller Aktivitäten
- Granulare und zeitlich begrenzte Vergabe von Berechtigungen
Moderne Zero-Trust-Implementierungen lassen Kriminellen weniger Spielraum zur Ausbreitung. Selbst im Falle einer erfolgreichen Attacke erhält der Angreifer nur Zugriff auf einen sehr kleinen Teil des Netzwerks. Die übrigen Ressourcen bleiben ihm verschlossen. Betroffene Segmente können zudem schneller isoliert und von einer Bedrohung befreit werden, ohne dass das gesamte System heruntergefahren werden muss.