Startseite > Security > Kontrolle ist besser

Zero-Trust-Sicherheitsarchitektur

Kontrolle ist besser

29. September 2022, 7:00 Uhr | Paddy Srinivasan/wg

In Zeiten von Remote Work gewinnt ein neuer Sicherheitsansatz zunehmend an Relevanz: „Zero Trust“ bedeutet, dass die Security-Infrastruktur niemandem traut, der sich nicht verifiziert hat – weder Anwendern noch Geräten oder Applikationen. Die Umsetzung des Konzepts ist zwar aufwendig, lohnt sich aber – auch im KMU.

Vereinbarkeit von Beruf und Privatleben, Wegfall des Arbeitswegs, weniger Ablenkung durch Kollegen: Die neuen flexiblen Arbeitsweisen bieten Beschäftigten eine ganze Reihe von Vorteilen. Allerdings haben sie auch ihre Schattenseiten – allen voran die zunehmende Bedrohung der Unternehmenssicherheit. Einem Bericht von KuppingerCole im Auftrag von HP Wolf Security zufolge hat sich die Zahl der Cyberangriffe während der Pandemie mehr als verdoppelt. Dies sei zum Großteil darauf zurückzuführen, dass die Beschäftigten ihre Firmenrechner mehr zu Hause nutzen, aber auch immer häufiger private Geräte für die Arbeit verwenden. Jedes vierte Unternehmen (26 Prozent) schätzte der genannten Umfrage zufolge die durch Cyberangriffe entstandenen Schäden als „sehr schwer“ oder gar „existenzbedrohend“ ein.
Betroffen sind vor allem kleine und mittelständische Unternehmen (KMU). Sie sind zwar den gleichen Bedrohungen ausgesetzt wie größere Firmen, verfügen aber oft nicht über die Kompetenzen und Ressourcen, um alle notwendigen Sicherheitsmaßnahmen zu implementieren.

Während größere Unternehmen dedizierte Security-Experten beschäftigen, hat ein Betrieb mit weniger als 100 Mitarbeitern oft nur einen oder zwei IT-Fachleute, die sich um alles kümmern müssen. Die IT-Landschaft nach sicherheitstechnischen Gesichtspunkten auf den neuesten Stand zu bringen, ist damit nur eine von vielen Aufgaben, für die angesichts der ohnehin steigenden Anforderungen häufig zu wenig Zeit bleibt. Traditionelle Security-Ansätze funktionieren nach dem Prinzip einer Burg: Bei den Sicherheitsprotokollen geht es primär darum, Bedrohungen von einer zentralisierten Umgebung fernzuhalten. Die Grundannahme besteht darin, dass man jedem Nutzer vertrauen kann, der sich rechtmäßig mit den richtigen Login-Informationen im Netzwerk angemeldet hat. Er darf sich frei im System bewegen. Nur der externe Datenverkehr wird als gefährlich eingestuft. Durch Phishing-Angriffe, Social Engineering oder das Ausnutzen von Sicherheitslücken können Angreifer jedoch den Burggraben überwinden. Und wenn sie sich im Netzwerk befinden, funktioniert der perimeterbasierte Ansatz meist nicht mehr.

Abhilfe schaffen sogenannte Zero-Trust-Lösungen. Mit modernen Tools und einer Zero-Trust-Architektur können auch kleinere Firmen einen Sicherheitsstandard erreichen, der in großen Unternehmen gefordert ist. Das Zero-Trust-Modell basiert auf einem neuen Konzept zur Betrachtung der Sicherheitslage: Es wird grundsätzlich keinem Gerät, Anwender oder Dienst vertraut, der nicht ausreichend verifiziert ist – auch nicht innerhalb des eigenen Netzwerks. Jeder Zugriff auf Unternehmensdaten wird überprüft. Mit einem sogenannten Software-Defined Perimeter (SDP) lassen sich Netzwerkzugänge und Verbindungen nach dem „Need to know“-Prinzip aufbauen. Das heißt: Berechtigungen erhält ein Nutzer nur, wenn sie tatsächlich für die anstehende Aufgabe erforderlich sind. Angesichts des zunehmenden Betriebs von Remote- und Hybridnetzwerken ist aber nicht nur die Sicherheit des Netzwerks entscheidend, sondern auch der Schutz der Daten. Neben der Authentifizierung von Nutzern, Kunden und Anwendungen sind daher zusätzlich die Daten zu identifizieren, um sämtliche Aktivitäten nachverfolgen zu können: Wer greift wann auf die Informationen zu und was passiert damit?

Selbst wenn der Server ein legitimes Update an den Laptop eines Anwenders sendet, kommt dieses in einer Zero-Trust-Umgebung erst zur Ausführung, nachdem der IT-Administrator es digital signiert oder ein Kennwort eingegeben hat. Entscheidend ist, dass das Update von einem Menschen und nicht nur von dessen Computer autorisiert wird. Eine Zero-Trust-Architektur im Unternehmen ist vergleichbar mit einer Strafverfolgungsbehörde in einer virtuellen Stadt: Auch wenn ein unbescholtener Bürger über gültige Anmeldedaten verfügt, bedeutet das noch lange nicht, dass er sich frei bewegen und ohne entsprechende Zugangsberechtigung auf beliebige Informationen zugreifen kann.