Wie Zero Trust Sie vor internen Angriffen schützt

Hackerangriffe, Cyberattacken und Datendiebstahl: Die Gefahren für IT-Netzwerke sind vielfältig. Dabei befinden sich Angreifer nicht immer außerhalb des Netzwerkes. In manchen Fällen erfolgen die Attacken aus dem firmeninternen Netzwerk. Herkömmliche Sicherheitskonzepte greifen in solchen Situationen kaum. Abhilfe schafft dabei ein Zero-Trust-Modell, das jeden Nutzer und jedes Gerät selbst im Netzwerk misstraut und regelmäßig authentifiziert.

Was bedeutet Zero Trust?

Bei Zero Trust (ZT) handelt es sich um ein Sicherheitskonzept im IT-Bereich und nicht um eine besondere Technologie oder Produkte. Der Grundsatz des Modells lautet: Vertraue keinem Dienst, Gerät oder Nutzer und verifiziere jeden Nutzer und jedes Gerät. Dies gilt auch, wenn Nutzer und Gerät im Netzwerk schon bekannt sind. Sie werden behandelt wie Akteure außerhalb des Netzwerkes. Mit einem Zero-Trust-Modell schützen Unternehmen ihre Netzwerke und Anwendungen vor Cyberangriffe von außen und innen.

Dafür basiert Zero Trust auf mehrere Grundprinzipien. Zunächst einmal, erhalten alle Nutzer und Geräte nur die minimalen Zugangsrechte, die sie für die Erledigung ihrer Aufgabe benötigen. Dadurch wird verhindert, dass unberechtigte Anwender auf sensible oder geheime Daten zugreifen können. Für jeden Zugriff auf Daten und Dienste müssen sich Benutzer jedes Mal authentifizieren und autorisieren. Auf diese Weise fällt es unbekannten Dritten schwer, unbemerkt Zugriff zu erhalten.

Zusätzlich wird bei Zero Trust das Netzwerk in mehrere kleinen Sicherheitszonen eingeteilt – eine sogenannte Mikrosegmentierung oder Netzwerksegmentierung. Jede davon ist ein eigener Perimeter zum Schutz von Verbindungen, erhält eigenen Zugriffsmöglichkeiten und verringert die potentielle Angriffsfläche, da Kriminelle im schlimmsten Fall nur auf einen solchen Mikrobereich Zugriff hätten. Darüber hinaus werden vorbeugende Sicherheitstechniken eingesetzt, wie Multi-Faktor-Authentifizierung (MFA). Der Datenaustausch zwischen diesen Zonen erfolgt nur verschlüsselt und wird in Echtzeit überwacht. Gleiches gilt für Benutzer- und Gerätezugriffe.

Warum ist Zero Trust wichtig und wovor schützt es?

Zero Trust ist wichtig, da es über die üblichen IT-Sicherheitsmaßnahmen hinausgeht und auch gegen fortschrittliche Angriffe schützt, indem es mehrere Perimeter als Schutzebene einführt. Das Konzept eignet sich besonders gut für Hybrid-Cloud-Umgebungen, in denen Anwender von unterschiedlichen Standorten und mit verschiedenen Geräten Verbindungen zum Firmennetzwerk aufbauen können.

Bei einer fehlenden Zero-Trust-Architektur (ZTA) können sich Angreifer beispielsweise per Firmen-VPN ins Unternehmensnetzwerk einwählen und ungestört Daten stehlen oder Schäden anrichten. Der Grund: Durch die Verwendung eines VPN vertraut das Netzwerk dem Gerät sowie der Verbindung und gewährt Zugriff auf sensible Daten – selbst wenn verdächtige Aktivitäten registriert werden.

Gegen solche Bedrohungen schützt ein Zero-Trust-Modell mit einer Netzwerksegmentierung, in dem jedes Gerät, jede Verbindung und jeder Nutzer im Netzwerk überprüft und authentifiziert wird. Zudem werden alle Aktivitäten in Echtzeit nachverfolgt, um bei Sicherheitsverstößen eingreifen zu können. Mit diesen Schutzperimetern lassen sich auch Phishing-Attacken schnell unterbinden.

Zero Trust und Datenschutz

Durch die strikten Zugriffskontrollen, die Einführung von Mikrosegmentierung und die Einschränkung der Zugangsberechtigungen mit einzelnen Perimetern erhöht sich durch Zero Trust als Sicherheitsmodell der Datenschutz in Ihrem Unternehmen. Selbst wenn Angreifer es schaffen sich Zugang zu erschleichen, ist dieser meist nur auf eine Sicherheitszone beschränkt. Durch die Echtzeit-Überwachung von Netzwerk-Traffic fallen ungewöhnliche Aktivitäten schneller auf und lassen sich in kürzerer Zeit bekämpfen.

Gewährleistet wird der Datenschutz dadurch, dass Nutzer und Geräte nur minimale Zugriffsrechte haben und diese sich bei jeder Zugriffsanfrage sowie jeder Verbindung neu authentifizieren und autorisieren müssen. Dies ist auch bei Änderung des Nutzerstandorts oder neu angefragten Daten notwendig, denn das Zero-Trust-Modell nimmt dabei eine Neubewertung der Vertrauenswürdigkeit vor und mindert dabei das Risiko für Bedrohungen – von außen wie von innen.

Vor- und Nachteile von Zero Trust

Im Vergleich zu herkömmlichen Sicherheitskonzepten hat ein Zero-Trust-Modell den Vorteil, dass es eben nicht jedem Nutzer, jeder Verbindung und jedem Gerät im Netzwerk automatisch vertraut. Sollten Cyberkriminelle es doch einmal schaffen, die Firewall zu durchbrechen und ins Netzwerk eindringen, haben sie nicht direkt Zugriff auf alle sensiblen Daten. Stattdessen schützen weitere Sicherheitsmaßnahmen im ZTM die wichtigsten Unternehmen-Assets, durch zusätzliche Authentifizierungen und Autorisierungen. Ein weiterer Vorteil: Zero Trust nimmt auch die Gefahr von internen Mitarbeitern ernst. Diese werden in herkömmlichen Konzepten stets als vertrauenswürdig angesehen. Doch ein unzufriedener Mitarbeiter kann großen Schaden anrichten, wenn er möchte und bleibt meist unentdeckt.

Da Zero Trust erst die Kommunikation im Netzwerk erlaubt, nachdem alle Nutzer, Geräte und Dienste sich authentifiziert und autorisiert haben, reduziert sich das Risiko für Ihr Unternehmen. Sie können jederzeit sehen, wer sich innerhalb des Netzwerkes bewegt und welche Dienste und Geräte miteinander kommunizieren. Dabei wird stetig überprüft, ob die notwendigen Berechtigungen vorliegen. Auf diese Weise verbessert sich die Cybersicherheit und der IT-Support für Mitarbeiter im Homeoffice oder Remote-Mitarbeiter.

Da sämtliche Datenflüsse direkt verschlüsselt werden, bietet ein Zero-Trust-Modell einen starken Schutz für Anwender und Daten gleichermaßen – und das in der Cloud sowie im eigenen Rechenzentrum. Denn die Sicherheitsrichtlinien basieren auf der Identität der Workloads und bleiben an diese gebunden.

Doch der Zero-Trust-Ansatz bietet nicht nur Vorzüge, sondern leidet auch unter Nachteilen. Das Problem: Bereits bestehende Firmennetzwerke lassen sich nicht so leicht mit einem Zero-Trust-Modell ausstatten. Die Modernisierung älterer Netzwerke benötigt viel Zeit und Erfahrung. Es ist für viele Unternehmen daher sinnvoller, ein Netzwerk direkt mit Zero Trust neu aufzusetzen. Gerade deshalb ist die Implementierung des Sicherheitsansatzes zeit- und arbeitsintensiv.

Unterschiede zu anderen Sicherheitskonzepten

Den größten Unterschied von Zero Trust als Sicherheitsmodell zu anderen Sicherheitskonzepten haben wir bereits mehrfach betont: Vertraue niemandem. Während herkömmliche Sicherheitsansätze allen Nutzern und Geräten vertrauen, die bereits im Netzwerk unterwegs sind, behandelt Zero Trust diese im Grunde zunächst feindlich – auch wenn diese bereits die Firewall überwunden haben. Erst wenn sich Nutzer, Geräte und Dienste im Netzwerk stets neu authentifizieren und autorisieren, erhalten diese Zugriff auf beschränkte Bereiche – dabei erhält jeder nur so viele Zugriffsrechte, wie er für seine Arbeit tatsächlich benötigt.

Für ein Zero-Trust-Modell sind nicht wie bisher nur Sicherheitsmaßnahmen an den Grenzen und Zugängen zum Netzwerk notwendig, sondern auch innerhalb des Netzwerkes. Es ist daher ein umfassendes Sicherheitskonzept. Ein weiterer Unterschied ist, dass die Sicherheitsrichtlinien an den Workloads gebunden sind und nicht von IP-Adressen, Ports und Protokollen beeinflusst werden. Somit bleibt das Schutzniveau auch bei Veränderungen der IT-Umgebung erhalten.

Im Gegensatz zu üblichen Sicherheitsmodellen besteht Zero Trust nicht aus dieser einen Technologie oder diesem einen Produkt. Vielmehr vereint dieser Sicherheitsansatz unterschiedliche Maßnahmen wie Netzwerksegmentierung und kann bestehende Lösungen ergänzen.

Zero Trust und BYID Bring your own device

Zero Trust stärkt auch die Sicherheit des BYID-Ansatzes – Bring your own device. Während bei herkömmlichen Sicherheitskonzepten, das eigene Gerät des Mitarbeiters nur bei der ersten Einwahl ins Firmennetzwerk überprüft wird, muss dieses bei jedem Zugriff innerhalb des Netzwerkes neu authentifizieren. Somit kann beispielsweise ein von Cyberkriminellen gekapertes Smartphone nicht genutzt werden, um unbemerkt in ein Unternehmensnetzwerk einzudringen und dort Daten zu stehlen oder Malware zu installieren.

In einer Zero-Trust-Umgebung sollte die IT-Abteilung in der Lage sein, Geräte von Mitarbeitern zumindest auf folgende Weise zu verwalten:

  • Anzeige und Überwachung aller Geräte, die auf Unternehmensressourcen zugreifen.
  • Isolierung oder Entfernung von Geräten aus dem Netzwerk.
  • Festlegung der erforderlichen Konfigurationen für Geräte, um auf Unternehmensressourcen zugreifen zu können. Beispiele für gängige Konfigurationen sind die Erfordernis eines Passcodes, das Aktivieren der Fernsperrung und -löschung sowie die Erfordernis, dass das Betriebssystem aktuell ist.

Flexibilität bei Zero Trust

Zero Trust können Sie unabhängig vom Standort Ihres Unternehmens, Ihrer Infrastruktur, Ihrer Nutzer, der Geräte und Workloads anwenden. Damit gestaltet sich das Konzept so flexibel, wie Sie es für Ihre Bedürfnisse haben. Die Sicherheitsrichtlinien werden dabei direkt auf den Geräten oder in der Cloud angewendet, wobei softwaredefinierte Parameter den sicheren Zugriff auf Ihre Daten ermöglichen.

Die Zero-Trust-Architektur

Bei Zero Trust gibt es nicht die eine Technologie, die Sie implementieren müssen. Stattdessen baut die Architektur auf eine Kombination von Technologien und Ansätzen auf. Diese Zusammenstellung einer Lösung unterscheidet sich für jedes Unternehmen. Grundlegend sind aber in der Regel ein Least-Privilege-Prinzip, eine mehrstufige Authentifizierung (MFA), die Sicherung von Endpunkten und die Überwachung privilegierter Pfade.

Der wichtigste Pfeiler eines Zero-Trust-Ansatzes stellt das Least-Privilege-Prinzip dar. Es folgt dem Motto: Jedes Gerät und jeder Nutzer bekommt nur so viele Zugriffsrechte eingeräumt, wie sie für die Erledigung ihrer Arbeit wirklich benötigen. Auf diese Weise kann die IT-Abteilung stets sehen, wer Zugriff auf welche Ressourcen hat und welche Aktionen ausgeführt wurden. Kombinieren Sie das Least-Privilege-Prinzip mit attributbasierten Zugriffskontrollen und ihren Sicherheitsrichtlinien mit spezifischen Benutzerkriterien. Somit schützen Sie Ihr Netzwerk umfassend und erhalten die Benutzerfreundlichkeit während der Arbeit.

Mit einem Zero-Trust-Modell schützen Sie in erster Linie geschäftskritische Bereiche Ihres Netzwerkes. Steigern Sie das Vertrauen in Benutzer und Geräte durch die Implementierung einer mehrstufigen Authentifizierung. Stärken Sie im Rahmen des Sicherheitskonzeptes auch Ihre Endpunkte. Dabei helfen Ihnen Endpoint Detection and Response Tools, Anti-Viren-Software und regelmäßige Patches für Anwendungen und Betriebssysteme.

Hilfreich ist es dabei auch, wenn Sie Modelle einführen, die nur unter bestimmten Umständen vorher definierten Konten vertrauen, die bestimmte Anwendungen ausführen. Dadurch können Sie die Gefahr von Ransomware-Attacken auf Ihre Infrastruktur reduzieren. Dabei helfen Ihnen Lösungen für das Identitäts-Management sowie Privileged Access Management.

Die vierte Säule einer Zero-Trust-Architektur ist die stetige Überwachung von privilegierten Pfaden. Sie dient dazu, internen wie externen Angreifern den Zugriff auf geschäftskritische Bereiche zu verweigern. Kontrollieren Sie, worauf, Nutzer in Ihrem Netzwerk zugreifen können und implementieren Sie Isolationsschichten. Diese dienen dazu, Anwendungen, Benutzer, Endpunkte und Systeme voneinander zu trennen und gleichzeitig den Zugriff auf diese überwachen zu können. Führen Sie dafür eine Mikrosegmentierung Ihres Netzwerkes ein. Dies reduziert die mögliche Angriffsfläche und mindert damit das Risiko für Ihre Infrastruktur.

Zero Trust im Unternehmen implementieren

Möchten Sie ein Zero-Trust-Modell in Ihrem Unternehmen einführen, müssen Sie zunächst Ihre bisherigen Schutzmaßnahmen bewerten und mögliche Schwachstellen erkunden. Anschließend identifizieren Sie die Oberflächen, Bereiche und Datenströme innerhalb Ihres Netzwerkes, die Sie mit solch einer Security-Lösung schützen möchten.

Für die Umsetzung des Sicherheitsansatzes ist es wichtig, dass Sie bisherige Abläufe dokumentieren und wie Ihre Mitarbeiter und Geräte auf Daten, Anwendungen sowie Netzwerkbereiche zugreifen. Bauen Sie anschließend Ihre Zero-Trust-Architektur auf. Implementieren Sie beispielsweise eine Multi-Faktor-Authentifizierung und Proxys, die ohne VPN arbeiten. Legen Sie fest, welcher Nutzer und welches Geräte welche Zugriffsrechte benötigt. Entwickeln Sie zudem eine eigene Zero-Trust-Richtlinie, an denen sich Ihre Mitarbeiter orientieren können und wie im Falle eines Verstoßes gehandelt werden soll.

Damit Ihr Zero-Trust-Modell auch richtig funktioniert, ist es wichtig, dass Sie nach der Umsetzung die Einhaltung sämtlicher Richtlinien sowie Aktivitäten im Netzwerk kontinuierlich überwachen. Nur so können Sie verdächtige Aktivitäten schnell erkennen und Bedrohungen Ihrer Infrastruktur unterbinden.

Unterstützung bei der Umsetzung erhalten Sie von IBM Zero-Trust-Strategie. Dafür erhalten Sie eine Vielzahl von Technologien, Diensten und Partner, um eigene Lösungen für ein Zero-Trust-Modell umzusetzen. Für die schnelle Erkennung und Bekämpfung von Bedrohungen stehen Ihnen unter anderem IBM Security QRadar und IBM Cloud Pak for Security zur Verfügung. Mit IBM Security Verify zentralisieren Sie Ihr Identitäts- und Zugriffsmanagement (IAM) und mit Lösungen für Ihr privilegiertes Zugriffsmanagement (PAM) senken Sie das Risiko für Cyberattacken. Ihre Endpunkte verwalten und schützen Sie mit Unified Endpoint Management (UEM).

Experten fragen

Wenn Sie noch Fragen haben oder wir Ihnen helfen können Ihre Daten und Services in einen Wettbewerbsvorteil zu verwandeln, dann können Sie sich kostenlos von unseren Experten beraten lassen.

So vielseitig wie Ihre Ansprüche

Weitere IBM Cloud Paks im Überblick

Multicloud

Verbesserung von Transparenz, Governance und Automatisierung in der Cloud
Mehr erfahren

Daten

Die Erfassung, Organisation und Analyse von Daten vereinheitlichen und vereinfachen
Mehr erfahren

Anwendungen

Innerhalb kürzester Zeit Apps in jeder Cloud erstellen
Mehr erfahren

Automatisierung

Geschäftsprozesse, Entscheidungen und Inhalte transformieren
Mehr erfahren

Sicherheit

Sicherheitsdaten, Tools und Workflows verbinden
Mehr erfahren

Integration

Integration von Apps, Daten, Cloud-Services und APIs
Mehr erfahren