10. Dezember 2019

Was ist das „Zero Trust Modell“ in der IT-Sicherheit?

Eine der wichtigsten Aufgaben der IT-Sicherheit ist, Systeme und Daten vor dem Zugriff Dritter zu schützen. Doch was, wenn diese Zugriffe nicht von außen erfolgen, sondern durch Innentäter oder Fahrlässigkeit und Unvorsichtigkeit der eigenen Mitarbeiter ermöglicht werden? Der „Zero Trust“ Ansatz soll hier Abhilfe schaffen.

IT-Sicherheit nach außen und nach innen

In Zeiten von zunehmend vernetzten Systemen, dem Einsatz von Clouds und immer ausgefeilteren Cyberangriffen muss die IT-Sicherheit flexibel auf verschiedene Bedrohungen reagieren. Eine von vielen unterschätzte Gefahr ist jedoch die Bedrohung von innen: Durch Fahrlässigkeit oder Unvorsichtigkeit der eigenen Mitarbeiter erhalten Dritte Zugang zu internen Systemen und sensiblen Daten. Einige Formen der Cyberkriminalität sind gezielt darauf ausgelegt, diese internen Sicherheitslücken aufzuspüren und auszunutzen.

Herkömmliche Sicherheitssysteme gehen davon aus, dass alle internen Nutzer, Geräte und Anwendungen vertrauenswürdig sind. Nur Zugriffe von außen werden als potenziell gefährlich eingestuft und entsprechend überprüft und authentifiziert. Das hat jedoch den Nachteil, dass sobald jemand einmal in das Firmennetzwerk eingedrungen ist, kaum Beschränkungen und Sicherheitsvorkehrungen vorhanden sind, um unbefugte Zugriffe zu verhindern.

Deshalb wird zunehmend Abstand genommen von der Idee des „Trusted Networks“ innerhalb eines Unternehmens. Es ist sogar so, dass ein Großteil der IT-Sicherheitsvorfälle über den inneren Bereich zustande kommen. Daher muss ein Umdenken stattfinden: Die IT-Sicherheit ist nicht mehr nur dafür zuständig, einen zuverlässigen Schutz nach außen zu gewährleisten, sondern muss auch auf diese inneren Bedrohungen reagieren. Das ist auch dadurch bedingt, dass die Grenzen zwischen „außen“ und „innen“ durch die zunehmende Vernetzung ohnehin verwischen. „Zero Trust“ ist ein Ansatz, der ebendiese Herausforderung adressiert.

Zero Trust: Niemandem wird vertraut

Der Zero-Trust-Ansatz wurde erstmals 2010 von Forrester Research geprägt. Der Ansatz ist also nicht neu, aber aktuell wie nie. „Zero Trust“ bedeutet im Prinzip: Keinem Nutzer, keinem Gerät und keiner Anwendung wird ohne Überprüfung vertraut. Jeder einzelne Zugriff auf Ressourcen oder Dienste des Unternehmens wird individuell authentifiziert. Weder Kunden, Mitarbeitern noch Anwendungen wird „einfach so“ Zugriff gewährt, sowohl innerhalb wie außerhalb der Unternehmensgrenze.

Ziel dieses Modells ist, das Risiko von Cyberangriffen für Firmen zu minimieren und sowohl äußere als auch innere Gefahrenpotenziale auszuschließen. Für die praktische Umsetzung gibt es inzwischen verschiedene Systemanbieter, die verschiedene Zero-Trust-Konzepte verfolgen. Der grundlegende Ansatz ist jedoch allen gemeinsam: Es wird kein Unterschied gemacht zwischen „außen“ und „innen“, sondern ausnahmslos alle Zugriffe werden dauerhaft überwacht und geprüft.

Umdenken in der IT Security und in den Unternehmen

In vielen Produkten und Services wird der Zero-Trust-Ansatz bereits angewandt. Vor allem für die E-Mail- und Netzwerksicherheit gewinnt „Zero Trust“ zunehmend an Bedeutung. Innerhalb der IT-Sicherheitsbranche ist Zero Trust ein klar erkennbarer Trend und viele Unternehmen planen bereits, vermehrt Zero Trust Lösungen einzusetzen.

Dennoch muss nach wie vor in vielen Unternehmen ein Umdenken stattfinden. Denn die technische Umsetzung konkreter Maßnahmen wie Zero Trust erfüllen nur in einem durchdachten Gesamtkonzept ihren Zweck. Neben den technischen und organisatorischen Maßnahmen sind die Mitarbeiter selbst ein wichtiger Bestandteil eines umfassenden Sicherheitskonzepts. Die Schulung und Sensibilisierung der Mitarbeiter für die Thematik der IT-Sicherheit und Informationssicherheit bildet daher eine essentielle Grundlage, um Maßnahmen wie „Zero Trust“ und die Berücksichtigung der zugehörigen Richtlinien wirklich umfassend in Unternehmen umzusetzen.

geschrieben von
Annika Brockhaus, für die isits AG International School of IT Security

Immer auf dem Laufenden:
News direkt in Ihr Postfach.

Wir feiern unser 20-jähriges Firmenjubiläum!

Laden Sie sich jetzt kostenlos unsere neue, umfassende Weiterbildungsbroschüre herunter:

Mit Klick auf den Button melden Sie sich zu unserem E-Mail-Verteiler an & erhalten unsere Weiterbildungs-News direkt in Ihr Postfach. Dieser Nutzung kann jederzeit widersprochen werden.