Was ist Zero Trust?

Druckfreundlich, PDF & E-Mail

Hinweis: Das ist Teil 1, einer fünfteiligen Serie zu den Ursprüngen und Grundsätzen von Zero Trust

Die meisten IT-Security-Experten sind mit dem Konzept von Zero Trust vertraut, aber viele finden es schwierig, Entscheidungsträgern und Stakeholdern dieses Konzept zu vermitteln. Die grundlegendste Erklärung von Zero Trust steckt schon im Namen: Nichts und niemandem zu trauen. Alle Benutzer, Geräte und andere Ressourcen müssen kontinuierlich authentifiziert, autorisiert und validiert werden.

Es klingt nach einer großartigen Idee, die Unternehmen jeder Größe eigentlich begrüßen müssten. Leider wird es genau an dieser Stelle für viele IT-Teams undurchsichtig. Mitarbeitende, die nicht zur IT gehören sind der Meinung, dass Security bereits vorhanden ist und möchten nichts mit weiteren Maßnahmen zu Anmeldungen oder Security zu tun haben. Entscheidungsträger fragen sich, wie viel es kosten wird, wie die Implementierung das Geschäft stören wird und wie hoch die Investitionsrendite sein wird. Manche Menschen trauen Zero Trust einfach nicht.

Ursprünge von Zero Trust

IT-Führungskräfte auf der ganzen Welt fingen 2004 offiziell mit der De-Parametrisierung an. Es wurde eine Gruppe namens Jericho Forum gegründet, die weltweit bei der Einführung von Tools wie Verschlüsselung und erweiterte Authentifizierungsmethoden half, um die Begrenzungen zwischen einer Organisation und der Außenwelt auf sichere Weise zu mindern. Zu den geschäftlichen Vorteilen dieses Ansatzes gehören eine effizientere Zusammenarbeit, höhere Agilität und niedrigere Geschäftskosten.

Heute können Sie den Erfolg dieser Bemühungen in BYOD-Umgebungen (Bring your own device), SaaS-Einführungen (Software-as-a-Service) und Internet of Things (IoT)-Bereitstellungen beobachten. Eine sichere digitale Transformation ist mit einem Perimeter-basierten Ansatz nicht möglich.

Das bedeutet nicht, dass herkömmliche Schutzmaßnahmen wie die Firewall beseitigt wurden. Unternehmen weltweit nutzen Firewalls zur Sicherung und Verwaltung von On-Premise- und Multi-Cloud-Bereitstellungen. Wide Area Networks, einschließlich SD-WAN und CloudGen WAN, wären ohne Firewalls nicht möglich. Betriebstechnologie (OT) und industrielle Steuerungssysteme wären ohne die speziell entwickelten Firewalls, die sie schützen und mit einem Steuergerät verbinden, nicht sicher. Zero-Trust-Implementierungen können die Aufgabe der Firewall ändern, aber sie ersetzen nicht das Gerät.

Zero Trust erläutert

Es ist wichtig zu wissen, dass es kein einzelnes Produkt gibt, das Sie einsetzen können, um eine vollständige Zero-Trust-Umgebung zu schaffen. Zero Trust ist eine Philosophie und beginnt mit einem Paradigmenwechsel – von der traditionellen Perimeter-basierten Security zu einem Modell, das mehr auf Vertrauen basiert. Das bedeutet, IT-Teams sollten davon ausgehen, dass Schwachstellen und Bedrohungen von Vertrauensbeziehungen ausgehen. Jeder Versuch, auf Unternehmensressourcen zuzugreifen, ist eine potenzielle Bedrohung, die durch mehrere Ebenen von Security beseitigt werden muss. Diese Security-Ebenen setzen das Prinzip der geringsten Berechtigung durch. Autorisierte Benutzer haben nur Zugriff auf das, was sie benötigen. Dies verringert die potenzielle Reichweite des Missbrauchs von Berechtigungen durch die Zugangsdaten dieses Benutzers.

Leider ist es eine Tatsache, dass einige Stakeholder Zero-Trust-Initiativen einfach deshalb ablehnen, weil sie den Begriff „Vertrauen“ hier falsch verstehen. Menschen möchten, dass ihre Arbeitgeber, Kolleginnen und Kollegen ihnen vertrauen und Unternehmen möchten, dass Kunden und Geschäftspartner ihnen vertrauen. Manchmal muss man sich mit dm Kontext auseinandersetzen. Jedes Mal, wenn jemand einen Schlüssel für ein Schloss oder ein Passwort auf einem Gerät verwendet, muss Vertrauen vorhanden sein, bevor der Zugriff gewährt wird. Der Paradigmenwechsel zu einem vertrauensbasierten Netzwerk besteht darin, ihre Arbeit zu erleichtern und nicht zu erschweren.

Das National Institute of Standards and Technology definiert Zero Trust offiziell in der NIST Special Publication 800-207:

Zero Trust (ZT) ist der Begriff für eine sich entwickelnde Reihe von Cybersecurity-Paradigmen, die die Verteidigung von statischen, netzwerkbasierten Perimetern auf Benutzer, Assets und Ressourcen verlagern. ... Zero Trust geht davon aus, dass Assets oder Benutzerkonten kein implizites Vertrauen gewährt wird, das ausschließlich auf ihrem physischen Standort oder Netzwerkstandort oder auf dem Besitz von Assets basiert ... Zero Trust konzentriert sich auf den Schutz von Ressourcen, nicht von Netzwerksegmenten, da der Netzwerkstandort nicht länger als Hauptbestandteil der Sicherheitslage der Ressource angesehen wird.

Dieses Dokument sollte eine Pflichtlektüre für alle sein, die eine Zero-Trust-Umgebung aufbauen möchten. Dasselbe gilt für die von der U.S. National Security Agency veröffentlichte Anleitung zu Zero Trust. Mit diesen beiden Dokumenten können Sie den Wert von Zero Trust leichter erläutern und kommunizieren.

Im nächsten Beitrag dieser Serie befassen wir uns damit, wie Zero-Trust-Prinzipien Unternehmen und Mitarbeitenden auf der ganzen Welt die Arbeit erleichtern. Hier können Sie alle Beiträge in der Serie lesen.

 

Nach oben scrollen
Twittern
Teilen
Teilen