Zero Trust: Wie Sie Missverständnisse und Irrtümer vermeiden

Was steckt hinter Zero Trust und was nicht? Viele Hersteller nutzen den Begriff inzwischen zu Marketingzwecken und verwässern ihn dabei immer wieder. Dabei ist es eigentlich ganz einfach.

Zero Trust zählt mittlerweile zu den beliebtesten Marketing-Buzzwords in der IT-Sicherheit. Viele Anbieter nutzen diesen Begriff jetzt, um ihre Produkte und Dienstleistungen damit vermeintlich attraktiver zu machen. Sie wollen damit suggerieren, dass ihre Lösungen den neuesten und besten Sicherheitsstandards entsprechen. Dies führt jedoch bei Kunden, die solche Produkte kaufen, zu einem falsch verstandenen Sicherheitsgefühl. Sie fühlen sich dann hundertprozentig sicher, übersehen aber unter Umständen vorhandene Schwachstellen oder bezahlen für Funktionen, die sie gar nicht benötigen.

Womit Zero Trust für mehr Sicherheit sorgt

Dies soll keine Kritik an Zero Trust selbst sein. Das Konzept hat viele Vorteile und stellt eine längst überfällige Abkehr vom veralteten Perimeter-Modell dar. Durch die kontinuierliche und ortsunabhängige Verifikation von Benutzern und Geräten bietet Zero Trust eine deutlich höhere Sicherheit als Modelle, die eine Firewall an der Außengrenze des Netzwerks als wichtigste Schutzmaßnahme betrachten.

Das positive Image von Zero Trust hat allerdings dazu geführt, dass sich einige Hersteller mit immer neuen Funktionen von der Konkurrenz abheben wollen (Stichwort: „Featuritis“). Im schlimmsten Fall führt dies zu oberflächlichen, unvollständigen und zudem noch überteuerten Sicherheitsmaßnahmen. Treten wir deshalb zunächst einen Schritt zurück und betrachten die wichtigsten Sicherheitsprinzipien von Zero Trust:

  1. Kontinuierliche Verifikation: Statt wie im Perimeter-Modell einmalig Vertrauen zu schenken, muss jede Zugriffsanfrage kontinuierlich verifiziert und authentifiziert werden. Dies umfasst die Identität von Benutzern und Geräten und – sehr wichtig – auch den Kontext der Anfragen.
  2. Prinzip der minimalen Rechtevergabe: Sowohl alle Nutzer als auch die verwendeten Geräte erhalten nur genau die Zugriffsrechte, die sie für ihre jeweiligen Aufgaben benötigen. Dadurch sinkt das Risiko, dass Hacker oder Malware einen kompromittierten Account oder ein oder kompromittiertes Gerät als Ausgangspunkt für weitere Angriffe missbrauchen.
  3. Konsequente Verschlüsselung: Ausgehend von der Annahme, dass keine Verbindung im Netz sicher ist, erfolgt eine Ende-zu-Ende-Verschlüsselung aller beweglichen Daten. Dabei kommen für den Web-Verkehr SSL/TLS und für Fernverbindungen Virtuelle Private Netzwerke (VPNs) zum Einsatz. Auch Daten auf Speichermedien, die sich im Ruhezustand befinden, werden konsequent mit modernen und bewährten Verfahren verschlüsselt.
  4. Mikrosegmentierung: Das Unternehmensnetzwerk wird in kleinere, voneinander isolierte Segmente unterteilt, um laterale Bewegungen von einem möglicherweise infizierten System in andere Teile des Netzwerks zu verhindern.
  5. Umfassende Protokollierung und Überwachung: Alle Aktivitäten müssen kontinuierlich überwacht, protokolliert und analysiert werden, um ungewöhnliche oder verdächtige Verhaltensweisen frühzeitig zu erkennen. Das ermöglicht eine schnelle Reaktion. 
  6. Gerätesicherheit: Jeder Client, der auf das Netzwerk zugreifen will, benötigt eine vertrauenswürdige und umfassende Absicherung. Dazu gehören die Einhaltung von Sicherheitsrichtlinien sowie aktuelle Updates für alle verwendeten Betriebssysteme und Anwendungen.
  7. Anwendungssicherheit: Alle Anwendungen und Dienste müssen so konzipiert und betrieben werden, dass sie per se sicher konfiguriert sind. Zugriffe sind streng zu kontrollieren und zu überwachen, das minimiert Schwachstellen und potenzielle Angriffsvektoren.
  8. Adaptive Sicherheitskontrollen: Alle getroffenen Sicherheitsmaßnahmen müssen sich dynamisch und in Echtzeit an den Kontext und die aktuellen Risiken anpassen. Dies führt zu einer kontinuierlichen Optimierung der Sicherheit und Anpassung an neue Bedrohungen.

Welche Sicherheitsfunktionen über Zero Trust hinausgehen

Zusätzliche Sicherheitsfunktionen können in einem bestimmten Umfeld durchaus sinnvoll sein, gehören aber nicht zum eigentlichen Zero-Trust-Modell und erfüllen nicht dessen sehr spezifische Anforderungen. Dies gilt auch für klassische Firewalls am Perimeter, die nach wie vor eine Daseinsberechtigung haben. Ein weiteres Beispiel ist klassische Antivirensoftware, die sich auf das Erkennen und Beseitigen von Malware konzentriert, aber keine umfassenden Zugriffskontrollen und kontinuierlichen Überprüfungen bietet, wie sie das Zero-Trust-Modell vorsieht.

Weitere Funktionen, die ebenfalls nicht zum Zero-Trust-Modell gehören, sind etwa IDS-Lösungen (Intrusion-Detection-Systeme), die zwar das Netzwerk überwachen, aber nicht pro- und reaktiv agieren. Auch ein VPN ohne zusätzliche Sicherheitsmaßnahmen entspricht nicht dem Zero-Trust-Konzept, sofern dieses keine kontinuierlichen Überprüfungen und adaptiven Sicherheitskontrollen durchführt. Daher sollte unbedingt darauf geachtet werden, dass das VPN in seiner Funktionsweise die Grundsätze von Zero Trust erfüllt.

Auch SIEM (Security Information and Event Management), Secure Boot oder Telemetrie zählen nicht zu den notwendigen Bestandteilen einer Zero-Trust-Core-Lösung, wie es manche Anbieter in ihren Werbebroschüren suggerieren.

Wie sich selbst unzureichende Produkte mit „Zero Trust“ schmücken

Neben dem Buzzword-Effekt gibt es noch weitere Gründe, warum Zero Trust für Marketingzwecke missbraucht wird. Es existieren zum Beispiel keine einheitlichen Standards oder Zertifizierungen für Zero Trust. Das macht es schwierig, die Einhaltung der Prinzipien objektiv zu bewerten und zu messen. Anbieter und Hersteller können den Begriff daher flexibel und teilweise irreführend verwenden.

Erschwerend kommt hinzu, dass es sich bei Zero Trust um ein komplexes und umfassendes Sicherheitskonzept handelt, das eine Vielzahl von Technologien und Praktiken umfasst. Dies erleichtert es den Marketingabteilungen, einzelne Aspekte herauszugreifen und übermäßig zu betonen, ohne ein vollständiges Bild zu vermitteln. Dadurch lassen sich auch Produkte mit „Zero Trust“ vermarkten, obwohl sie nur einige wenige Elemente des Konzepts beinhalten. Manche Anbieter wollen sich einen Wettbewerbsvorteil verschaffen, indem sie ihre Produkte als modern und sicher darstellen.

Um nicht in diese Fallen zu tappen, sollten Sie als Kunde

  • kritisch gegenüber Marketingsprüchen bleiben und technische Details hinterfragen,
  • außerdem nach konkreten Implementierungen und Beispielen fragen, wie Zero Trust bereits in einem Produkt oder einer Dienstleistung umgesetzt wurde, sowie
  • unabhängige Bewertungen und Zertifizierungen prüfen, um die Glaubwürdigkeit von Zero-Trust-Behauptungen besser einschätzen zu können.

Möchten Sie tiefer in die Materie einsteigen? Unser Blogbeitrag „Was SASE und SSE beim Zero-Trust-Konzept unterscheidet“ beleuchtet den Zusammenhang zwischen Zero Trust und Sicherheitskonzepten wie SASE, ZTNA und SSE. Oder kontaktieren Sie uns einfach und erfahren Sie, wie VPN von NCP jedes Zero-Trust-Konzept aufwertet! 

Jetzt lesen: „Was SASE und SSE beim Zero-Trust-Konzept unterscheidet“