Americas

Asia

Europe

Oceania

Populäre Themen

Themen

About

Policies

Our Network

More

Mary K. Pratt
von
Contributing writer

Was ist Zero Trust?

Analyse
17 November 20235 Minuten
Identity and Access Management

Zero Trust ist der neue Security-Standard. Das sollten Sie zum Thema wissen.

Zero Trust heißt, implizites Vertrauen (aus gutem Grund) abzubauen.

Zero Trust heißt, implizites Vertrauen (aus gutem Grund) abzubauen.

Foto: calavera roja – shutterstock.com

Laut dem “State of Zero-Trust Security 2023“-Report (Download gegen Daten) von Sicherheitsanbieter Okta ist die Zahl der Unternehmen, die bereits über eine strategische Zero-Trust-Initiative verfügen oder diese planen in den vergangenen Jahren dramatisch angestiegen. Während im Jahr 2021 lediglich 24 Prozent der Befragten in diese Kategorie fielen, sind es 2023 bereits 61 Prozent.

Die steigende Zahl der Zero-Trust-Implementierungen spiegelt auch die sich verschärfende Bedrohungslage wider, mit der sich Unternehmens- und Sicherheitsentscheider konfrontiert sehen: Die Angriffsflächen haben sich – getrieben durch die Cloud, beziehungsweise Remote und Hybrid Work – vergrößert, gleichzeitig gibt es immer mehr und umfassendere Cyberangriffe.

Das hat unter anderem zur Folge, dass das alte Modell der Perimetersicherheit nicht mehr greifen kann, weil es nicht skaliert. An dieser Stelle kommt Zero Trust ins Spiel – ein Konzept, das ab dem Jahr 2010 von John Kindervag, damals Analyst bei Forrester Research (und heute Senior Vice President of Cybersecurity Strategy bei ON2IT), (weiter)entwickelt wurde. Seitdem legen sowohl Interesse als auch Akzeptanz der zugrundeliegenden Prinzipien kontinuierlich zu.

Zero-Trust-Prinzipien

Im Kern ist Zero Trust eine Denkweise, die auf dem Motto “Vertraue niemandem, überprüfe alles” beruht. Sie kann dazu genutzt werden, ein unternehmensweites Sicherheitsprogramm zu entwickeln und zu implementieren. Im Zero-Trust-Sicherheitsmodell muss jedes Device oder System, das auf Unternehmensressourcen zugreifen will, seine Vertrauenswürdigkeit nachweisen, wobei das Least-Privilege-Prinzip zur Anwendung kommt.

“Zero Trust ist eine Weiterentwicklung des Defense-in-Depth-Ansatzes“, meint Ismael Valenzuela, Senior Instructor beim SANS Institute. “Wenn dieser Ansatz richtig umgesetzt wird, trägt er nicht nur dazu bei, dass böswillige Akteure von Netzwerken, Systemen und Daten fernzuhalten, sondern verkürzt auch die Detektions- und Reaktionszeiten, wenn doch etwas Bösartiges durchkommt.”

Ein Zero-Trust-Sicherheitsmodell erfordert es, Kontrollmaßnahmen zu implementieren, die implizites Vertrauen beseitigen und stattdessen eine Überprüfung über mehrere Säulen hinweg erfordern.

Zero-Trust-Architektur

Die Anzahl und Bennenung dieser Säulen variiert je nachdem, welches Zero-Trust-Framework zugrundeliegt. Die US-Cybersicherheitsbehörde CISA verwendet in ihrem Reifegradmodell (PDF) fünf Säulen:

  1. Identity,

  2. Devices,

  3. Networks,

  4. Application Workload und

  5. Daten.

Im Gegensatz dazu steht etwa das Zero Trust eXtended Ecosystem von Forrester Research, das im Jahr 2018 vorgestellt wurde und auf sieben Säulen fußt:

  1. Workforce Security,

  2. Device-Sicherheit,

  3. Workload-Sicherheit,

  4. Netzwerksicherheit,

  5. Datensicherheit,

  6. Visibility und Analytics sowie

  7. Automatisierung und Orchestrierung.

Wieder andere, darunter auch Security-Anbieter, setzen auf zusätzliche Variationen der Säulen mit teilweise alternativer Nomenklatur. Unabhängig von diesen Unterschieden bleibt das Ziel dasselbe: Implizites Vertrauen wird durch Prozesse, Richtlinien und Technologien ersetzt, die Entitäten kontinuierlich als vertrauenswürdig authentifizieren und autorisieren – bevor der Zugriff gewährt wird. Implizites Vertrauen abzubauen, ist allerdings kein Prozess, der über Nacht abläuft. “Es ist eine Journey der Veränderung”, meint Chalan Aras, bei Deloitte im Bereich Cyber & Strategic Risk tätig.

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.

Jetzt CSO-Newsletter sichern

Zero Trust ist auch eine Sammlung von Richtlinien, Prozessen und Technologien. Unternehmen, die eine effektive Zero-Trust-Strategie umsetzen wollen, sollten laut SANS-Experte Valenzuela folgendes vorweisen können:

  • ein genaues Inventar ihrer Assets und Daten,

  • einen Überblick über alle Benutzer und Devices,

  • ein robustes Datenklassifizierungsprogramm mit privilegiertem Zugriffsmanagement,

  • ein umfassendes Identitätsmanagement,

  • Zugriffskontrolle auf Anwendungsebene,

  • Mikrosegmentierung,

  • User Behavior Analytics (UBA),

  • Network-Detection-and-Response (NDR) -Tools,

  • Endpoint-Detection-and-Response (EDR) -Tools sowie

  • Multifaktor-Authentifizierung.

“Die Fülle von Richtlinien, Verfahren und Technologien, die erforderlich sind, um eine Zero-Trust-Strategie umzusetzen, kann für viele Unternehmen zum Hindernis werden”, räumt Valenzuela ein.

Zero-Trust-Herausforderungen

Zu den weiteren Challenges im Bereich Zero Trust gehören:

  • Legacy-Technologien, die nicht mit den Elementen eines Zero-Trust-Sicherheitsmodells kompatibel sind,

  • finanzielle Einschränkungen, sowie

  • Veränderungsresistenzen.

“Unternehmen können es sich in der Regel nicht leisten, alle bestehenden IT-Sicherheitstechnologien auf einmal zu modernisieren. Es gibt diverse Investitionen, die im Laufe der Jahre getätigt wurden und die man jetzt nicht einfach so ohne Weiteres in die Tonne treten kann. Davon abgesehen müssen ja auch noch die Mitarbeiter auf neue Richtlinien und Prozese umgestellt werden”, erklärt Valenzuela.

Steve Wilson, Chefanalyst bei Constellation Research, benennt eine weitere Zero-Trust-Herausforderung, die Unternehmen bewältigen müssen: “Die zusätzliche Komplexität, die Zero Trust mit sich bringt, ist eine Challenge. Die meisten Unternehmen befinden sich noch in der Anfangsphase der Implementierung – nur wenige haben bereits den vollen Reifegrad erreicht.”

Das untermauert auch ein Blick in die eingangs genannte Okta-Studie: Demnach haben nur zwei Prozent aller befragten Unternehmen weltweit einen Passwordless-Zugang implementiert – die Voraussetzung für den höchsten von fünf Zero-Trust-Reifegraden (bei Okta). Angesichts der Fülle an Aufgaben und Herausforderungen, die der Zero-Trust-Ansatz mit sich bringt, rät Experte Valenzuela zu einem iterativen Vorgehen: “Setzen Sie sich kleine Ziele. Fragen Sie sich: ‘Was kann ich heute, diese Woche, diesen Monat tun, um implizites Vertrauen abzubauen?’.” (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

vgwort
Mary K. Pratt
von
Contributing writer

Mary K. Pratt is a freelance writer based in Massachusetts.

Mehr von diesem Autor

Mehr anzeigen

News-Analyse

Mangelhafte Cybersicherheit im Gesundheitswesen

Von Julia Mutzbauer
07 März 20253 Minuten
CyberangriffeGesundheitswesen
Bild
News

BSI veröffentlicht neue Sicherheitsanforderungen für Datenbanksysteme

Von Tristan Fincken
07 März 20252 Minuten
Sicherheit
Bild
Feature

11 ruinöse Ransomware-Bedrohungen

Von John Leyden
06 März 20259 Minuten
CyberkriminalitätRansomware
Bild