Moderne Unternehmen benötigen ein neues Sicherheitsmodell, das effektiv auf die Komplexität aktueller Bedrohungen reagiert, hybrides Arbeiten erleichtert und Daten, Anwendungen, Geräte und Mitarbeiter unabhängig von deren Standort schützt. Die Einführung von Cloud-basierten Zugangskontrolllösungen (ACaaS) markiert den Beginn dieses Wandels. 

Die Zunahme der hybriden Belegschaft und die Weiterentwicklung von ACaaS haben die Präsenz von Anwendungen und Benutzern erweitert. Sie ermöglichen es, Berechtigungen von jedem Ort und jedem Gerät aus zu gewähren oder zu entziehen. Die heutigen Sicherheitsstrategien müssen über die reine Verteidigung des Netzwerkrands hinausgehen und Richtlinien implementieren, die jede einzelne Verbindung zwischen Benutzern, Geräten, Anwendungen und Daten schützen. Dieser Ansatz ist im Zero-Trust-Modell verankert, das nach dem Prinzip „never trust, always verify“ funktioniert. 

Zero-Trust geht davon aus, dass implizites Vertrauen in ein beliebiges Element eines komplexen, vernetzten Systems Unternehmen erheblichen Sicherheitsbedrohungen aussetzen kann. Zero-Trust-Initiativen schreiben vor, dass sich alle Benutzer authentifizieren müssen, alle Zugriffsanfragen streng geprüft und alle Aktivitäten kontinuierlich überwacht werden. 

Dieses Modell zielt nicht darauf ab, den Zugriff wahllos zu beschränken, sondern bietet einen zusammenhängenden Sicherheitsrahmen, der über alle digitalen Plattformen hinweg funktioniert. Innerhalb dieses vernetzten Rahmens sichert die Zero-Trust-Architektur Dateien, E-Mails und Netzwerkkommunikation und erweitert den Schutz auf Fernzugriff, persönliche Geräte und Anwendungen von Drittanbietern, was die Sicherheitsintegration vereinfacht.

Die drei Grundsätze von Zero Trust

Die Zero Trust-Architektur beruht auf umfassenden Lösungen, die Identität, Sicherheit, Compliance und Gerätemanagement über mehrere Plattformen und Clouds hinweg umfassen. Die Implementierung dieser Architektur erfordert eine komplexe Planung über verschiedene Funktionsbereiche hinweg, obwohl die meisten Frameworks diese drei grundlegenden Prinzipien einhalten:

1. Kontinuierliche Überwachung und Validierung
   Jede Verbindungsanfrage von Benutzern, Geräten oder Workloads erfordert eine sofortige und kontinuierliche Überprüfung, einschließlich einer regelmäßigen Neuauthentifizierung, um den Zugriff aufrechtzuerhalten. Dieses Prinzip stellt sicher, dass nur zugelassene Geräte auf das Netzwerk zugreifen können und dass diese Geräte sicher bleiben und nicht durch Bedrohungen wie Malware beeinträchtigt werden.
2. Grundsatz des geringsten Privilegs
   Der Zugang ist streng auf das beschränkt, was die Benutzer zur Erfüllung ihrer Aufgaben benötigen, wodurch die möglichen Auswirkungen von Sicherheitsverletzungen minimiert werden. Die Zugriffsberechtigungen laufen am Ende jeder Sitzung ab, und sensible Daten, wie z. B. Dokumente im Zusammenhang mit vertraulichen Projekten, sind nur für befugtes Personal zugänglich.
3. Annahme einer Sicherheitslücke
   Sicherheitsteams gehen von der Annahme aus, dass das Netzwerk bereits gefährdet ist. Diese Denkweise ist der Grund für die Einführung robuster Strategien zur Erkennung von Bedrohungen und zur schnellen Reaktion. Idealerweise sollten Sicherheitssysteme weitreichende Überwachungssignale integrieren und automatisierte Reaktionen ausführen, z. B. Netzwerksegmentierung zur Eindämmung von Sicherheitsverletzungen, umfassende Überwachung aller Netzwerkaktivitäten und sofortige Reaktion auf abnormales Verhalten.

Zero-Trust, Schritt für Schritt

Hier finden Sie eine allgemeine Schritt-für-Schritt-Anleitung, wie Sie ein Zero-Trust-Sicherheitsmodell in jedem Unternehmen einführen und nutzen können:

1. Erstellen Sie eine starke Identitätsprüfung
   Implementieren Sie strenge Maßnahmen zur Authentifizierung von Benutzeridentitäten und zur Kontrolle des Zugriffs auf Unternehmensressourcen. Dazu gehören die Identifizierung sensibler Daten und Benutzerrollen sowie der Einsatz von Tools, die eine Risikobewertung in Echtzeit und eine Reaktion auf potenzielle Sicherheitsverletzungen ermöglichen
2. Verwalten des Zugriffs auf Geräte und Netzwerke
   Legen Sie klare Richtlinien für die identitätsbasierte Zugriffskontrolle fest, die eine Kernkomponente von Zero Trust ist. Diese Strategie bietet einen verbesserten Schutz in hybriden und Multi-Cloud-Umgebungen, indem sie nur verifizierten Benutzern den Zugriff auf wichtige Ressourcen ermöglicht und nicht-autorisierten Benutzern den Zugriff verweigert. Führen Sie ein umfassendes Inventar aller autorisierten Geräte – einschließlich Workstations, Mobiltelefonen, Servern, Laptops, IoT-Geräten und Druckern – und ersetzen Sie herkömmliche VPNs durch Zero Trust Network Access (ZTNA)-Lösungen, die Identitäten verifizieren und den Benutzerzugriff auf notwendige Ressourcen beschränken.
3. Verbessern Sie die Sichtbarkeit von Anwendungen
   In einem Zero Trust Framework wird weder Anwendungen noch Anwendungsprogrammierschnittstellen (APIs) implizit vertraut. Implementieren Sie Tools zur Erkennung nicht autorisierter Systeme („Schatten-IT“) und identifizieren Sie jedes Gerät, das versucht, auf das Netzwerk zuzugreifen. Es ist von entscheidender Bedeutung, die Einhaltung von Sicherheitsanforderungen festzulegen und zu überwachen sowie Zugriffsberechtigungen sorgfältig zu verwalten, um potenzielle Schwachstellen zu vermeiden.
4. Datenberechtigungen festlegen
   Um die Sicherheit zu erhöhen, ist es wichtig, die Daten eines Unternehmens zu klassifizieren, von Dokumenten bis hin zu E-Mails. Implementieren Sie eine Multi-Faktor-Authentifizierung (MFA), die mehrere Überprüfungsmethoden erfordert, bevor der Zugriff gewährt wird. MFA-Systeme sollten skalierbar sein und die Authentifizierungsanforderungen auf der Grundlage des jeweiligen Risikoniveaus adaptiv erhöhen. Integriert in die ACaaS-Technologie erleichtern diese Systeme ein schnelles Identitätsmanagement, erleichtern die Überprüfung von Zugriffsprotokollen und verbessern die Erkennung ungewöhnlicher Aktivitäten.
5. Infrastruktur überwachen
   Eine kontinuierliche Überwachung ist bei einem Zero-Trust-Ansatz unerlässlich, um neue Bedrohungen sofort zu erkennen und darauf zu reagieren. Regelmäßige Bewertungen, Aktualisierungen und Konfigurationen aller Infrastrukturelemente, einschließlich Servern und virtuellen Maschinen, sind erforderlich. Unternehmen sollten außerdem Sicherheitsmaßnahmen und Kontrollrichtlinien überwachen, um unnötige Netzwerkverbindungen zu minimieren und die Erkennung verdächtigen Verhaltens durch eine aktive Analyse der Zugriffsmetriken zu verbessern.
6. Mitarbeiter schulen
   Die Umstellung auf eine Zero-Trust-Architektur erfordert umfassende organisatorische Veränderungen, die durch Schulungsprogramme von ACaaS-Anbietern unterstützt werden. Diese Umstellung betrifft verschiedene Abteilungen und erfordert eine umfassende Planung und Ausführung in allen Funktionsbereichen, was sie zu einem potenziell kostspieligen Unterfangen macht. Kontinuierliche Mitarbeiterschulungen und die Förderung einer Unternehmenskultur, die die Sicherheit unterstützt, sind entscheidend für die erfolgreiche Umsetzung eines Zero-Trust-Modells.

Vom Privaten zum Öffentlichen

Da die Schwachstellen zunehmen, ist die Einführung von Zero-Trust-Modellen bei Unternehmen auf dem Vormarsch, die ihre Sicherheitsrichtlinien verbessern wollen. Laut einem Bericht der Enterprise Strategy Group von TechTarget vom März 2024 setzen mehr als zwei Drittel der befragten Unternehmen aktiv Zero-Trust-Richtlinien um. 

Dieser Trend geht über den privaten Sektor hinaus. Parallel zu den neuen europäischen Richtlinien NIS2 und CER verpflichtet eine aktuelle Durchführungsverordnung des Weißen Hauses die US-Bundesbehörden, die nationale Cybersicherheit in kritischen Infrastrukturen und Diensten zu stärken. Die Anordnung unterstreicht die Notwendigkeit für diese Behörden und ihre Anbieter, ihre Cybersicherheitsstrategien zu modernisieren, einschließlich eines raschen Übergangs zu sicheren Cloud-Diensten und der Einführung von Zero-Trust-Architekturen.