©
Zero Trust als Security-Modell der Zukunft
Redaktion Stadtmagazin
Veröffentlicht am 17. Oktober 2022
Grundsätzlich niemandem zu vertrauen gehört zu den Überlebensstrategien von Geheimagenten. Im Alltag geben wir unseren Menschen hingegen zumeist einen kleinen Vertrauensvorschuss. Erst wenn dieser ausgenutzt wird, werden daraus die entsprechenden Konsequenzen gezogen. Dieser Ansatz wurde bis vor kurzer Zeit auch in vielen IT-Abteilungen gelebt. Doch aufgrund der geänderten Arbeitsbedingungen entscheiden sich immer mehr Unternehmen für eine Zero Trust-Policy. Doch worum handelt es sich dabei genau? Wie lässt sie sich in der Praxis umsetzen und welche Probleme sind damit verbunden? Die Antworten darauf gibt es hier.
Der Zugriff auf sensible Daten aus dem Home-Office stellt ein großes Sicherheitsrisiko dar. Zero Trust soll dem entgegenwirken.
Worum handelt es sich bei Zero Trust?
Zero Trust bedeutet wörtlich übersetzt „Null Vertrauen“. Zum ersten Mal war dieser Begriff in der Doktorarbeit von Stephen Paul Marsh im Jahr 1994 zu lesen. Es handelt sich dabei also keineswegs um eine „brandneue“ Erfindung.
Doch nachdem dieses IT-Sicherheitsprinzip lange Zeit nur theoretisch existierte, wird es seit kurzer Zeit von immer mehr Unternehmen auch in der Praxis umgesetzt.
Was der genaue Ansatz dahinter ist, lässt sich leicht erklären: Keinem einzigen Akteur innerhalb eines Netzwerkes, der auf bestimmte Ressourcen zugreifen möchte, wird grundsätzlich Vertrauen entgegengebracht. Für jeden einzelnen Zugriff ist deshalb eine entsprechende Authentifizierung erforderlich. Es handelt sich somit um einen rein datenzentrierten Sicherheitsansatz.
Zero Trust ist also kein Produkt oder eine Software, die sich einfach auf den Rechnern installieren lässt. Vielmehr ist es ein Sicherheitsprinzip für Unternehmen, um die Informationssicherheit zu gewährleisten.
User sollten demnach nur einen Zugriff auf Daten und Informationen erhalten, wenn das unbedingt erforderlich ist. In den Grundeinstellungen erhalten sie deshalb immer nur die geringstmöglichen Berechtigungen. Im Bedarfsfall gibt es dann ein entsprechendes Upgrade. Im Mittelpunkt steht dabei die Art und Weise der Verifizierung.
Verifizierung: Was ist damit genau gemeint?
Bei einer Verifizierung geht es grundsätzlich darum, den Nachweis zu erbringen, der Inhaber von sensiblen Daten zu sein. Dazu zählen unter anderem die E-Mail-Adresse, die Telefonnummer sowie die Kontodaten eines Users.
Wer sich beispielsweise in einem sozialen Netzwerk wie Instagram oder bei einem anderen Online-Dienst registriert, erhält im Anschluss daran eine E-Mail, die zur Verifizierung dient. Wird der Link in der E-Mail geklickt, so erhält der jeweilige Online-Dienst die Bestätigung dafür, dass es sich dabei tatsächlich um jenen User handelt, der der Inhaber dieser E-Mail-Adresse ist.
Mehr als ein Drittel der deutschen Unternehmen betreibt bereits Zero Trust
Laut einer von A10 Networks veröffentlichten Studie hat bereits mehr als ein Drittel der Unternehmen in Deutschland Zero Trust eingeführt. Weitere zehn Prozent planen das in den nächsten zwölf Monaten. Vor allem in Branchen, die über besonders heikle Daten verfügen, wird der Ansatz bereits umgesetzt.
Dazu zählen unter anderem das Gesundheitswesen, die Finanzbranche sowie alle Unternehmen, die mit personenbezogenen Daten zu tun haben, mit denen sich ein Nutzerprofil erstellen lässt wie beispielsweise Online-Shops.
Auch bei Online-Casinos ist das der Fall, die gegenüber ihren Kunden eine besondere Sorgfaltspflicht haben. Denn sie müssen zum einen sicherstellen, dass die jeweiligen Landesgesetze eingehalten werden und zum anderen Minderjährigen und Spielsüchtigen den Zutritt verwehren. Erstaunlich, dass es dennoch immer noch eine erkleckliche Anzahl an Online-Casinos ohne Verifizierung gibt.
Die Glücksspielplattformen in Deutschland fragen in der Regel Daten wie Name, Alter, Adresse und E-Mail-Adresse ab, um in weiterer Folge überprüfen zu können, ob der jeweilige User in der OASIS-Sperrdatei gelistet ist. Bei den Casinos ohne Verifizierung auf besteonlinecasinos.com ist das bisher jedoch nicht der Fall.
Wie lässt sich Zero Trust in der Praxis umsetzen?
Die Strategie, wie Zero Trust in der Praxis umgesetzt werden kann, ist immer von den Bedürfnissen und der vorhandenen Infrastruktur des jeweiligen Unternehmens abhängig. Der Security-Anbieter Palo Alto Networks empfiehlt grundsätzlich eine Umsetzung in fünf Schritten:
- Schritt 1: Die zu schützenden Oberflächen definieren.
- Schritt 2: Die Art und Weise, wie im Netzwerk auf schützenswerte Daten zugegriffen wird, abbilden.
- Schritt 3: Eine entsprechende Zero Trust-Architektur aufbauen.
- Schritt 4: Zero Trust-Richtlinien erstellen. Damit eine bestimmte Ressource mit einer anderen kommunizieren „darf“, muss dieser Datenverkehr durch eine Regel auf die Whitelist gesetzt werden.
- Schritt 5: Umsetzung und damit verbunden kontinuierliche Betrachtung aller internen und externen Protokolle.
Der Umstieg auf ein neues Sicherheitsmodell in einem Unternehmen ist immer eine radikale Maßnahme, die nicht bei allen Mitarbeiterinnen und Mitarbeitern auf große Gegenliebe stößt. Damit dabei alles reibungslos funktioniert, ist ein methodisch strukturiertes Vorgehen unumgänglich.
Der „Faktor Mensch“ sollte dabei aber keineswegs unterschätzt werden. Deshalb ist es wichtig, für die Umsetzung ein begleitendes Kommunikationskonzept zu entwickeln, das sicherstellt, dass die komplette Belegschaft nicht nur über den Zeitpunkt und die Art der Umstellung informiert wird, sondern auch die Vorteile dahinter klar erkennen kann.
Passwort-Listen sind eines der beliebten Schlupflöcher für Hacker
Damit Zero Trust in der Praxis auch wie gewünscht funktioniert, sind vor allem drei Voraussetzungen erforderlich:
- Sichere Identitäten
- Zuverlässige Authentifizierungen
- Starke Passwörter
Vor allem der letzte Punkt stellt immer noch eine große Herausforderung dar. Denn sind die Passwörter nicht stark genug, haben Hacker ein leichtes Spiel, die Passwörter zu stehlen und sich damit Zugang zu persönlichen Daten zu verschaffen.
Sie arbeiten mit Datenbanken, die eine Vielzahl von Passwörtern beinhalten, die in der Praxis besonders gerne verwendet werden. Diese erfüllen zwar die Sicherheitsvorgaben, sind aber dennoch entsprechend leicht zu knacken, indem einfach automatisiert alle Passwörter der Datenbank ausprobiert werden, bis eines funktioniert. „Quertz123!“ und „abcd1234“ sind typische Beispiele dafür.
Entgegenwirken können Unternehmen diesen Schlupflöchern, indem sie beispielsweise grundsätzlich eine 2-Faktor-Authentifizierung für den Zugriff fordern. In diesem Fall muss der User seine Identität nicht nur durch die Eingabe seiner Kennung und seines Passworts bestätigen, sondern auch noch einen weiteren Identitätsnachweis erbringen. Ein typisches Beispiel dafür sind Einmalcodes, die per E-Mail oder SMS übermittelt und nach der grundsätzlichen Identifikation noch zusätzlich eingegeben werden müssen.
Eine andere Methode zum Schließen der Schlupflöcher ist der Einsatz einer Vergleichsdatenbank, die die Anlage von schwachen Passwörtern von Haus aus verhindert. Diese gibt es mittlerweile bei Software-Unternehmen zu kaufen, die sich auf das Thema Zero Trust spezialisiert haben.
Verwandte Artikel
-
sicherheit
Welche Rechte und Befugnisse hat ein privater Sicherheitsdienst?
05.09.2022
-
sicherheit
Die perfekte Kombination: Sicherheit und Design bei Haustüren
04.12.2023
-
Arbeiten
Arbeitsbekleidung für mehr Sicherheit
24.01.2023
-
sicherheit
Sicherheit beim Online-Trading
27.04.2022
-
Einbrüche
Sich gegen Einbrüche wirksam absichern
04.12.2019
-
Digitalisierung
Bedroht die Digitalisierung die Sicherheitsbranche?
16.04.2022
Verwandte Termine
-
Cavewoman
Cavewoman in Mannheim
23.11.2018
-
Hamburger Kammeroper
Genussmomente - Hamburger…
15.04.2018
-
Hafenkante Hamburg Touren
Kiez-Kapitän Kieztour &…
06.04.2018
-
Bülent Ceylan
Bülent Ceylan: LASSMALACHE…
28.04.2018
-
Curiosity - The Cure Tribute…
Curiosity
21.04.2018
