T-Systems-Claim-Logo
Suchen
Schickes Büro in warmen Tönen mit Holzböden und einigen Büromenschen darin

Zero-Trust-Security 2023: vom Hype zur Realität

Der Zero-Trust-Ansatz hat mit der digitalen Transformation an Relevanz gewonnen. Was sollen Unternehmen nun überprüfen?

08. August 2023Dheeraj Rawal

Was ist Zero-Trust-Security?

Zero-Trust-Security ist ein Ansatz, der von allen Benutzern (oder vielmehr allen Geräten) – unabhängig davon, ob diese sich im Unternehmensnetzwerk befinden oder nicht – verlangt, dass sie ihre Identität nachweisen, um Zugriff auf geschäftliche Anwendungen, Daten und Ressourcen zu erhalten. Letztlich wird den Benutzern der Zugang gewährt – wenn dies so beabsichtigt ist. Somit bedeutet der Begriff Zero-Trust, dass keinem Benutzer vertraut wird, dessen Identität noch nicht überprüft wurde.

Warum reicht perimeterbasierte Sicherheit nicht mehr aus?

wei Leute sitzen in einer Überwachungungsraum vor vielen Monitoren

Beim traditionellen Ansatz der perimeterbasierten Sicherheit werden mit dem Unternehmensnetzwerk verbundene Geräte standardmäßig als vertrauenswürdig eingestuft. Diese Annahme, dass sämtliche, innerhalb des Unternehmensnetzwerks befindliche Geräte keinen Schaden anrichten können, ist falsch.

Die Anzahl der Cyberbedrohungen, die Komplexität der Cyberangriffe und die Häufigkeit dieser Angriffe haben in den letzten Jahren zugenommen. Wenn einer der Endpunkte innerhalb des Netzwerks infiziert wird, breitet sich der Schaden wie ein Lauffeuer aus. Der Angreifer kann sich problemlos seitwärts von einem Segment zum anderen bewegen. Perimeterbasierte Sicherheit ist auf die Abwehr von Angriffen von außen ausgelegt, während Vorgänge innerhalb des Perimeters schwer zu kontrollieren sind.

Jede intern auftretende Schwachstelle kann sich als verheerend erweisen. Es hat bereits verschiedene solcher Angriffe gegeben, bei denen Unternehmen aufgrund von internen Schwachstellen enorme Schäden erlitten haben.

Außerdem können Unternehmen nicht ausschließlich auf diesen Ansatz setzen, weil sich auch Benutzer und Geräte außerhalb ihres Netzwerks befinden. Angesichts von Trends wie Homeoffice, Arbeiten von unterwegs, Cloud Computing und vielem mehr, ist es für Unternehmen schwierig, einen Perimeter festzulegen und die gleichen zuverlässigen Sicherheitsmaßnahmen wie bei einer herkömmlichen Büroumgebung zu implementieren.

Daher greifen viele auf Lösungen zurück, die auf Virtual Private Networks (VPN) beruhen. VPNs sind schon lange auf dem Markt, doch sie bieten keine ausreichende Sicherheit. Wie kommt das?


Sind VPNs überhaupt noch relevant? 

Früher nutzten die meisten Unternehmen ein VPN für den Zugriff auf firmeneigene Netzwerke. Heute führen Unternehmen dagegen mehr Initiativen zur digitalen Transformation als je zuvor durch und verlagern Unternehmensressourcen wie Daten und Anwendungen in die Cloud.


In der Regel hat ein Benutzer, der über ein VPN auf ein Unternehmensnetzwerk zugreift, Zugang zu allen Ressourcen im Netzwerk. Das Risiko von Ransomware-Attacken, Infektionen mit Malware und Datenlecks ist heute höher, da der Benutzer vielleicht die Firewall des Unternehmens umgeht, um im Internet zu surfen. Ein weiteres Szenario könnte sein, dass ein persönliches Gerät eines Benutzers kompromittiert ist und durch einen verfügbaren VPN-Client die Unternehmensressourcen noch mehr Bedrohungen aussetzt.

Eine weitere Herausforderung von VPNs ist der fehlende Einblick in den Benutzer-Traffic. Dies ist ein Risikoszenario, denn stellen Sie sich vor, wie ein Mitarbeiter über seinen Laptop von einem Café aus auf eine Geschäftsanwendung zugreift. Dieser Laptop ist dabei wahrscheinlich mit einem nicht abgesicherten Netzwerk verbunden und wird so zum leichten Ziel für Hacker, die ihn mit Malware angreifen oder einen Social-Engineering-Angriff starten.

VPNs waren sinnvoll, als die digitale Landschaft noch nicht so komplex war wie heute und es weniger Bedrohungen gab, die zudem besser bekannt waren. Die heutigen hoch-komplexen Bedrohungen lassen sich dagegen mit einer VPN-Lösung nicht angemessen handhaben.

Außerdem ist zu bedenken, dass ein VPN den Traffic an den Unternehmenshauptsitz oder einen anderen zentralen Standort leitet, wo die Sicherheitsrichtlinien angewandt werden. Das bedeutet, dass der Traffic für die Überprüfung der Daten und andere Prozesse an den zentralen Standort fließt. Dies ist jedoch ein Schwachpunkt des Ansatzes, da zusätzliche Latenzen entstehen und mehr Bandbreite belegt wird. Einfach ausgedrückt: Die Nutzung eines VPN bedeutet ein langsameres Benutzererlebnis.


Kann Zero-Trust diese Defizite der VPNs beheben?

Mit der Zunahme von Multi-Cloud-Architekturen und mobilen Arbeitskräften scheint der Netzwerkperimeter täglich an Bedeutung zu verlieren.

Angesichts dieser sich rasch entwickelnden Landschaft brauchen Unternehmen eine Sicherheitslösung, die Folgendes ermöglicht:

  • Laufende Überprüfung und Autorisierung der Benutzer
  • Segmentierung des Netzwerks, um Sicherheitsverletzungen einzudämmen und den Bewegungsspielraum der Angreifer zu beschränken
  • Zugang nach dem Prinzip der geringsten Privilegien, so dass nur die vorgesehenen Anwendungen geöffnet werden können und nichts anderes

All diese Funktionen sind in der modernen Zero-Trust-Lösung enthalten – doch schauen wir uns einmal genauer an, inwiefern sich diese von der perimeterbasierten Sicherheit unterscheidet.

Wir haben bereits angesprochen, dass vor dem Zugang die Identität überprüft werden muss, doch ist dabei die Identifikation des Gerätes bzw. Benutzers ausreichend? Nein, denn auch der Kontext ist hier ein wichtiger Parameter. Kontext bedeutet in diesem Fall: Datum, Uhrzeit, geografische Position und Sicherheitsstatus des Geräts. Alle diese Parameter werden ebenfalls überprüft.

Somit wird der Zugang zu Geschäftsanwendungen und -daten kontextbasiert erlaubt. Doch denken Sie daran: Die Zugangsgenehmigung wird nicht für ewig erteilt und die Überprüfung ist kein einmaliger Vorgang. Sie findet vielmehr laufend statt – wenn der Benutzer also bei der nächsten Sitzung die Sicherheits- oder Kontextprüfung nicht besteht, werden die Zugangsrechte wahrscheinlich entzogen.

Was sind die Vorteile von Zero-Trust-Security?

Weniger Risiken

Allen Geräten in einem Unternehmensnetzwerk zu vertrauen, stellt ein großes Risiko dar, das der Zero-Trust-Ansatz beseitigt. Ganz gleich in welchem Netzwerk oder an welchem Ort der Benutzer sich befindet, seine Identität wird für jede Sitzung überprüft. Mit einer so strengen und laufenden Überprüfung vermindert Zero-Trust Risiken und Schwachstellen – die andernfalls übersehen werden könnten.

Mehr Transparenz 

Unternehmen haben einen besseren Überblick über die mit dem Netzwerk verbundenen Geräte und können die Aktivitäten laufend überwachen.

Sicherheit über das Netzwerk hinaus

Zero-Trust ist darauf ausgelegt, Sicherheit über die Netzwerkschicht hinaus und sogar auf Anwendungsebene bereitzustellen.

Schnelleres Benutzererlebnis

Bei Zero-Trust wird der Benutzer sofort über eine sichere Verbindung verbunden, ohne dass der Traffic erst über einen zentralen Unternehmensstandort geleitet wird. Dies reduziert die Latenz und ermöglicht ein schnelleres und besseres Benutzererlebnis.

Weniger Angriffsfläche

Zero-Trust verbirgt Geschäftsanwendungen und kritische Ressourcen vor dem Internet. Somit ermöglicht der Zugang zu einer der Anwendungen nicht zugleich auch den Zugang zu allen anderen Anwendungen. Nicht autorisierte Benutzer können die anderen Anwendungen nicht finden, da diese „unsichtbar“ sind.

Die Zukunft der Arbeit

Der Trend zum Arbeiten von zu Hause oder von unterwegs hat sich seit der Covid-19 Pandemie verstärkt. Und der Trend zur Remote-Arbeit wird sich weiter fortsetzen.

Einige interessante Statistiken zur Remote-Arbeit (Stand 2023):

  • 98 % aller Beschäftigten möchten zumindest einen Teil ihrer Arbeit remote erledigen
  • 16 % aller Unternehmen arbeiten vollständig remote, ohne physische Büros
  • 12,7 % aller Vollzeitbeschäftigten arbeiten von zu Hause aus, 28,2 % arbeiten im Rahmen eines hybriden Modells

Quelle:  Remote work statistics and trends in 2023, 2023, www.forbes.com

Die Trends zur Remote-Arbeit ließen die Anzahl der Endpunkte ansteigen, da Mitarbeitende mehrere Geräte für den Zugriff auf Daten und geschäftliche Tools benutzen. Daher sind der Schutz dieser Endpunkte und die Überwachung des Traffics für jedes Unternehmen wichtig. 

Prognosen von Gartner zufolge werden 2026 10 % aller Großunternehmen das Zero-Trust-Modell nutzen. Ihr Zero-Trust-Modell wird bis dahin ausgereift und messbar sein. Heute verfügen weniger als 1 % der Unternehmen über ein vollentwickeltes Zero-Trust-Modell.

QuelleGartner predicts 10% of large enterprises will have a mature and measurable Zero-Trust program in place by 2026, 2023, www.gartner.com

Aber dies sind Daten für Großunternehmen – generell werden rund 60 % aller Firmen bis 2025 Zero-Trust-Sicherheit nutzen. Im Bericht von Dezember 2022 bestätigte Gartner, dass der Zero-Trust-Ansatz sich über den Marketing-Hype hinaus zu einer Realität entwickelt hat, die Unternehmen heute im Rahmen ihrer Sicherheitsstrategie berücksichtigen müssen. Zero-Trust ist die wachstumsstärkste Entwicklung im Bereich der Netzwerksicherheit.

Brauchen Sie eine Beratung für Ihren Einstieg in Zero-Trust-Security? Kontaktieren Sie uns.

Im September werden wir Ihnen den nächsten Teil des Blogs zur Umsetzung von Zero-Trust-Security präsentieren.

T-Systems ist einer der führenden Sicherheitsanbieter in Europa. Wir wurden 2022 auch von ISG ausgezeichnet für Strategic Security Services, Managed Security Services, und Technical Security Services – für Deutschland.

Zur Person
IM-Rawal-Dheeraj

Dheeraj Rawal

Content Marketer, T-Systems International GmbH

Profil und alle Artikel ansehen

Das könnte Sie auch interessieren

Besuchen Sie t-systems.com außerhalb von Switzerland? Besuchen Sie die lokale Website für weiterführende Informationen und Angebote für Ihr Land.