Neues Must: Zero Trust

Homeoffice, Hybrid Work und andere neue Arbeitsformen, eine zunehmende Zahl von Anwendungen, Cloud-Diensten und Datenquellen, private Mobilgeräte in „Bring your own device“- Szenarien: Die IT-Sicherheit wird heute enorm herausgefordert, denn die moderne Art zu arbeiten, verschafft Cyberkriminellen eine massiv größere Angriffsfläche – sowohl im Firmennetz als auch außerhalb.

Traditionell erhalten neue Mitarbeitende eine User-ID und ein Passwort und damit generellen Zugang zu allen für sie freigegebenen Ressourcen im Unternehmensnetz. Dieses implizite Vertrauen ergibt in der cloudgeprägten, standortunabhängigen Arbeitswelt keinen Sinn mehr.

Seit einiger Zeit hat sich deshalb ein anderer Ansatz namens Zero Trust etabliert: In einer Zero-Trust-Umgebung werden alle Zugriffe und jede digitale Interaktion einzeln verifiziert und – falls erforderlich – blockiert. Zero Trust kommt gänzlich ohne implizites Vertrauen aus – egal, ob bei der Benutzerzugriffskontrolle oder bei Anwendungen, Cloud-Diensten, Microservices und der gesamten Infrastruktur samt allen Geräten bis zu Ressourcen in der Lieferkette. Der Ansatz ist in der aktuellen Cyberkriminalitätslage Pflicht für jedes Unternehmen. Man denke nur an die zahlreichen Ransomware-Attacken mit teils katastrophalen Folgen, an Datenklau, an im Darknet gehandelte persönliche Informationen,
die Angreifer per Phishing erlangen.

Strategie, Organisation und Technik

Soll eine Zero-Trust-Strategie wirklich greifen, braucht es dazu mehr als eine Authentifizierungslösung. Zero Trust krempelt einerseits die Cybersicherheit maßgeblich um und wirkt sich andererseits neben der IT auch auf die Organisation und Unternehmenskultur und damit auf die Firmenstrategie im weiteren Sinn aus. So nützt es zum Beispiel wenig, wenn auf der digitalen Seite Zero Trust erfolgreich umgesetzt ist, der Zugang zu auf Papier gedruckten Informationen aber jedem offensteht, der den Archivraum im Firmengebäude betritt. Eine gelebte Zero-Trust-Kultur muss neben den technischen Tools zwingend auch die Sensibilisierung und kontinuierliche Schulung der Mitarbeitenden in Sachen Security-Awareness umfassen.

Es wäre jedoch falsch, angesichts der tiefgreifenden Veränderungen, die eine Zero-Trust-Architektur im vollen Umfang erfordert, darauf zu verzichten und so weiterzumachen wie bisher. Zero Trust ist komplex, lässt sich aber Schritt für Schritt einführen und mit einfachen Maßnahmen starten, die teils sogar mit vorhandenen Security-Tools umsetzbar sind.

Am Anfang steht die Zugriffskontrolle

Eine Zero-Trust-Umgebung erfordert als Erstes die explizite Verifizierung durch starke Authentifizierung und danach Genehmigung oder Ablehnung aller Zugriffe auf die Ressourcen des Unternehmens – durch Mitarbeitende, Anwendungen und (Micro-)Services, firmenintern und von außerhalb. Dafür kommen technische Werkzeuge wie Firewalls, Web-Application-Firewalls, Identity-and-Access-Management-Plattformen (IAM) und Privileged-Access-Management-Lösungen (PAM) zum Einsatz.

Weiter dürfen auch genehmigte Zugriffe nur auf diejenigen Ressourcen möglich sein, die im jeweiligen Fall erforderlich sind – zum Beispiel nur auf eine bestimmte Datei statt auf ein ganzes Fileshare. Dies wiederum bedingt, dass alle Daten klassifiziert sind und der Zugriff auf Basis der Klassifizierung individuell gewährt wird. Auch automatisiert ablaufende Prozesse von Anwendungen und Services sollten nur auf die im Einzelfall benötigten Daten und Speicherbereiche zugreifen dürfen.

Heute gilt das Motto „Ein Breach ist wahrscheinlich schon passiert“. Vor diesem Hintergrund ist klar, dass alle Aktivitäten im Netz komplett ersichtlich sein müssen und dass kontinuierlich auf Schwachstellen gescannt werden muss. Dabei helfen können Lösungen wie Endpoint Detection and Response (EDR) und Extended Detection and Response (XDR) für den Endpunktschutz, Netzwerk-Monitoring-Tools sowie Firewalls, die auch den verschlüsselten Datenverkehr überwachen können.

Vollständige Visibilität ist nicht nur für die Vorgänge im Netz, sondern auch für sämtliche Elementeder Infrastruktur vonnöten. Angefangen von den Netzwerkkomponenten über Systeme, Anwendungen und Cloud-Dienste bis hin zu den Nutzern und Berechtigungen. Ein vollständiges Inventar all dieser Ressourcen erleichtert die Einteilung in verschiedene Segmente mit unterschiedlichen Ansprüchen. Damit lässt sich beispielsweise im Rahmen eines Zero-Trust-Konzepts die Microsoft-365-Umgebung samt Anwendern als eigenständiges Segment managen.

Zero Trust für alle

Um es zu wiederholen: Zero Trust ist in voller Ausprägung ein komplexes Unterfangen. Das heißt aber nicht, dass nur Großunternehmen mit umfangreicher IT-Security-Mannschaft das Konzept umsetzen sollten. Denn gerade auch kleine und mittelständische Unternehmen (KMU) leiden immer öfter unter Cyberattacken.

Ein KMU kann zum Beispiel mit einer Endpunktschutzlösung beginnen, die vom Prinzip her auf Zero Trust setzt, und diese durch Zwei-Faktor-Authentifizierung ergänzen. So ist immerhin der Zugriff durch Mitarbeitende von ihren Geräten aus felsenfest abgesichert. Danach kann man mit einer EDR-Lösung weiterfahren, mit Netzwerkmonitoring und weiteren Tools nachrüsten und so Zero Trust Schritt für Schritt Realität werden lassen. Den KMU kommt dabei stark entgegen, dass die meisten Tools und Plattformen auch als Cloud-Dienst oder Managed Service verfügbar sind. Damit entfallen große Investitionen in Vor-Ort-Hardware, und das Experten-Know-how muss nicht im Unternehmen selbst vorliegen – angesichts des Fachkräftemangels nicht nur kostspielig, sondern auch fast unmöglich zu erreichen –, sondern wird vom Lösungsanbieter oder Cybersecurity-Partner geliefert.

Solche Partner können sogar die Analyse des Netzwerkverkehrs, die Bewertung und Abwehr von Bedrohungen sowie die Reaktion auf Sicherheitsvorfälle übernehmen, also das detaillierte Incidentmanagement.

Dennoch muss sich jedes Unternehmen vom Kleinbetrieb bis zum Weltkonzern über die Risiken Gedanken machen, die Bedeutung seiner Daten und Systeme kennen und das Netzwerk sinnvoll einteilen, damit nicht der vernetzte 3-D-Drucker im gleichen Segment sitzt wie der PC des Finanzchefs. Im Rahmen dieser Analyse darf man ruhig auch überprüfen, ob es die vorhandenen Softwareanwendungen, Daten und Geräte wirklich noch braucht oder ob etwas entsorgt werden kann. Denn Altlasten bieten meist nicht das gleiche Sicherheitsniveau wie moderneres Equipment und bergen gelegentlich hohe Cyberrisiken.

Insgesamt bringt Zero Trust eine Transformation in unterschiedlichen Bereichen eines Unternehmens mit, die Zeit erfordert und Ressourcen in Anspruch nimmt. Mit der bloßen Installation einiger vom Markt angebotener Lösungen ist es keineswegs getan. Voraussetzung ist ein solides Konzept, gefolgt von einem akkuraten Inventar der vorhandenen Ressourcen, und als Nächstes die Einführung eines stringenten Identitäts- und Zugriffsmanagements für alle internen und externen Mitarbeitenden und Partner. Die weiteren
Aspekte von Zero Trust lassen sich danach schrittweise ergänzen.