Neues Konzept, alte Grundsätze
Die endlose Reise zu Zero Trust
Wer von einer „never ending story“, einer nie enden wollenden Geschichte, spricht, meint meist eine Art Sisyphus-Arbeit: Eine Aufgabe, die eher leidig, nie wirklich abgeschlossen und eher mühsam ist. Mit Zero Trust ist es ähnlich – allerdings im besten Sinne der Redewendung. Denn Zero Trust ist eine kontinuierliche Aufgabe, die nie vollendet ist und sein darf, dafür jedoch ein beständiges Resultat liefert: Sicherheit. Das Konzept ist jedoch keine neue Idee, sondern die Fortsetzung eines Prinzips, das es schon seit Jahren gibt. Wicht ist, die Herausforderungen von Zero Trust zu erforschen, die kritische Rolle von sicheren Backups einzuordnen und zu verstehen, warum solche Projekte nie wirklich abgeschlossen sind.
Wenn man die Branchennachrichten aufmerksam verfolgt, liefen einem zuletzt viele Diskussionen über Zero Trust über den Weg. Cyberangriffe, insbesondere Ransomware, sind immer nuancierter und ihre Häufigkeit hat im letzten Jahr stark zugenommen. Außerdem ist die digitale Infrastruktur komplex, was bedeutet, dass es mehr Zugangspunkte und Integrationen zwischen IT- und OT-Netzwerken, öffentlichen Clouds und einer Vielzahl verschiedener Parteien gibt. Diese Faktoren führen dazu, dass immer mehr Unternehmen eine Zero-Trust-Architektur implementieren wollen. Also ein System, das von oben nach unten und nicht nur von außen gesichert ist und das niemals vertrauenswürdig ist und interne Zugriffsanfragen immer verifiziert.
Ein Punkt, den viele bei Zero Trust oft missverstehen, ist, dass es sich nicht um ein Produkt handelt, das man kauft und implementiert. Zero Trust ist eine Kultur und ein Umdenken - sowohl für die Organisation als auch für das System selbst, und es lässt sich durch eine Vielzahl von miteinander verflochtenen Produkten unterstützen. Dieser Fokus auf die Denkweise ist entscheidend. Man kann es nicht einfach einführen und dann seine Arbeit verrichten lassen.
Backup und Wiederherstellung
Die beiden Kernprinzipien einer Zero-Trust-Architektur sind die ständige Überprüfung und die Annahme eines Sicherheitsverstoßes. Das bedeutet, dass die Sicherheit im Inneren des Systems genauso robust sein muss wie nach außen hin. Ein Element, über das man nicht oft genug spricht, ist die Sicherung und Wiederherstellung im Notfall. Zero Trust ist eine mehrschichtige Strategie. Man entwirft die Architektur in der Annahme, dass der Datenverkehr böswillig, Geräte und Infrastruktur gefährdet sein könnten und dass kritische Daten grundsätzlich immer bedroht sind. Diese unterste Schicht ist jedoch die wichtigste: Wenn alles andere fehlschlägt, ist eine zentrale Ausfallsicherung nötig, um Daten wiederherzustellen und Systeme so schnell wie möglich wieder zum Laufen zu bringen.
Bei der Datensicherung gibt es eine goldene Regel, die so genannte „3-2-1“-Sicherungsregel. Sie besagt, dass bei der Sicherung von Daten drei Kopien dieser Daten auf zwei verschiedenen Medien zu erstellen sind, von denen eine extern aufbewahrt ist. Diese Regel hat man nun weiterentwickelt, um sie für moderne Zero-Trust-Architekturen nutzbar zu machen. Die „3-2-1-1-0“-Regel ist vielleicht nicht so einprägsam, aber sie ist entscheidend für fortschrittliche Backups, um gegen alles resistent zu sein. Die zusätzliche „1“ umfasst dabei eine Kopie der Sicherungsdaten, die offline gehalten, air-gapped (unerreichbar), oder unveränderlich ist. Die „0“ steht für null Fehler aufgrund von Wiederherstellungsprüfungen.
Moderne Bedrohungen wie Ransomware sind raffiniert und zielen aktiv auf System-Backups als Teil ihrer Angriffe ab. Im seinem jüngsten Ransomware-Trends-Report stellte Veeam fest, dass 94 Prozent der Ransomware-Angriffe auf Backup-Repositories abzielten, wobei 68 Prozent davon erfolgreich waren. Eine echte Zero-Trust-Strategie muss diesem Umstand Rechnung tragen und über Backups verfügen, die entweder offline, air-gapped, unveränderlich oder - noch besser - alle drei sind, um ein kugelsicheres Setup zu gewährleisten.
- Die endlose Reise zu Zero Trust
- Unendliche Herausforderungen
Lesen Sie mehr zum Thema
