Enterprise-VPNs: Sicherheit, Datenschutz und Anonymität
VPNs sorgen für Privatsphäre, doch Unternehmen müssen ihren Teil dazu beitragen. So werden Mitarbeiterrechte und Compliance gewahrt.
Was steckt hinter Zero Trust und was nicht? Viele Hersteller nutzen den Begriff inzwischen zu Marketingzwecken und verwässern ihn dabei immer wieder. Dabei ist es eigentlich ganz einfach.
Zero Trust zählt mittlerweile zu den beliebtesten Marketing-Buzzwords in der IT-Sicherheit. Viele Anbieter nutzen diesen Begriff jetzt, um ihre Produkte und Dienstleistungen damit vermeintlich attraktiver zu machen. Sie wollen damit suggerieren, dass ihre Lösungen den neuesten und besten Sicherheitsstandards entsprechen. Dies führt jedoch bei Kunden, die solche Produkte kaufen, zu einem falsch verstandenen Sicherheitsgefühl. Sie fühlen sich dann hundertprozentig sicher, übersehen aber unter Umständen vorhandene Schwachstellen oder bezahlen für Funktionen, die sie gar nicht benötigen.
Dies soll keine Kritik an Zero Trust selbst sein. Das Konzept hat viele Vorteile und stellt eine längst überfällige Abkehr vom veralteten Perimeter-Modell dar. Durch die kontinuierliche und ortsunabhängige Verifikation von Benutzern und Geräten bietet Zero Trust eine deutlich höhere Sicherheit als Modelle, die eine Firewall an der Außengrenze des Netzwerks als wichtigste Schutzmaßnahme betrachten.
Das positive Image von Zero Trust hat allerdings dazu geführt, dass sich einige Hersteller mit immer neuen Funktionen von der Konkurrenz abheben wollen (Stichwort: „Featuritis“). Im schlimmsten Fall führt dies zu oberflächlichen, unvollständigen und zudem noch überteuerten Sicherheitsmaßnahmen. Treten wir deshalb zunächst einen Schritt zurück und betrachten die wichtigsten Sicherheitsprinzipien von Zero Trust:
Zusätzliche Sicherheitsfunktionen können in einem bestimmten Umfeld durchaus sinnvoll sein, gehören aber nicht zum eigentlichen Zero-Trust-Modell und erfüllen nicht dessen sehr spezifische Anforderungen. Dies gilt auch für klassische Firewalls am Perimeter, die nach wie vor eine Daseinsberechtigung haben. Ein weiteres Beispiel ist klassische Antivirensoftware, die sich auf das Erkennen und Beseitigen von Malware konzentriert, aber keine umfassenden Zugriffskontrollen und kontinuierlichen Überprüfungen bietet, wie sie das Zero-Trust-Modell vorsieht.
Weitere Funktionen, die ebenfalls nicht zum Zero-Trust-Modell gehören, sind etwa IDS-Lösungen (Intrusion-Detection-Systeme), die zwar das Netzwerk überwachen, aber nicht pro- und reaktiv agieren. Auch ein VPN ohne zusätzliche Sicherheitsmaßnahmen entspricht nicht dem Zero-Trust-Konzept, sofern dieses keine kontinuierlichen Überprüfungen und adaptiven Sicherheitskontrollen durchführt. Daher sollte unbedingt darauf geachtet werden, dass das VPN in seiner Funktionsweise die Grundsätze von Zero Trust erfüllt.
Auch SIEM (Security Information and Event Management), Secure Boot oder Telemetrie zählen nicht zu den notwendigen Bestandteilen einer Zero-Trust-Core-Lösung, wie es manche Anbieter in ihren Werbebroschüren suggerieren.
Neben dem Buzzword-Effekt gibt es noch weitere Gründe, warum Zero Trust für Marketingzwecke missbraucht wird. Es existieren zum Beispiel keine einheitlichen Standards oder Zertifizierungen für Zero Trust. Das macht es schwierig, die Einhaltung der Prinzipien objektiv zu bewerten und zu messen. Anbieter und Hersteller können den Begriff daher flexibel und teilweise irreführend verwenden.
Erschwerend kommt hinzu, dass es sich bei Zero Trust um ein komplexes und umfassendes Sicherheitskonzept handelt, das eine Vielzahl von Technologien und Praktiken umfasst. Dies erleichtert es den Marketingabteilungen, einzelne Aspekte herauszugreifen und übermäßig zu betonen, ohne ein vollständiges Bild zu vermitteln. Dadurch lassen sich auch Produkte mit „Zero Trust“ vermarkten, obwohl sie nur einige wenige Elemente des Konzepts beinhalten. Manche Anbieter wollen sich einen Wettbewerbsvorteil verschaffen, indem sie ihre Produkte als modern und sicher darstellen.
Um nicht in diese Fallen zu tappen, sollten Sie als Kunde
Möchten Sie tiefer in die Materie einsteigen? Unser Blogbeitrag „Was SASE und SSE beim Zero-Trust-Konzept unterscheidet“ beleuchtet den Zusammenhang zwischen Zero Trust und Sicherheitskonzepten wie SASE, ZTNA und SSE. Oder kontaktieren Sie uns einfach und erfahren Sie, wie VPN von NCP jedes Zero-Trust-Konzept aufwertet!
Jetzt lesen: „Was SASE und SSE beim Zero-Trust-Konzept unterscheidet“