Zero-Trust-Security ist ein Ansatz, der von allen Benutzern (oder vielmehr allen Geräten) – unabhängig davon, ob diese sich im Unternehmensnetzwerk befinden oder nicht – verlangt, dass sie ihre Identität nachweisen, um Zugriff auf geschäftliche Anwendungen, Daten und Ressourcen zu erhalten. Letztlich wird den Benutzern der Zugang gewährt – wenn dies so beabsichtigt ist. Somit bedeutet der Begriff Zero-Trust, dass keinem Benutzer vertraut wird, dessen Identität noch nicht überprüft wurde.
Beim traditionellen Ansatz der perimeterbasierten Sicherheit werden mit dem Unternehmensnetzwerk verbundene Geräte standardmäßig als vertrauenswürdig eingestuft. Diese Annahme, dass sämtliche, innerhalb des Unternehmensnetzwerks befindliche Geräte keinen Schaden anrichten können, ist falsch.
Die Anzahl der Cyberbedrohungen, die Komplexität der Cyberangriffe und die Häufigkeit dieser Angriffe haben in den letzten Jahren zugenommen. Wenn einer der Endpunkte innerhalb des Netzwerks infiziert wird, breitet sich der Schaden wie ein Lauffeuer aus. Der Angreifer kann sich problemlos seitwärts von einem Segment zum anderen bewegen. Perimeterbasierte Sicherheit ist auf die Abwehr von Angriffen von außen ausgelegt, während Vorgänge innerhalb des Perimeters schwer zu kontrollieren sind.
Jede intern auftretende Schwachstelle kann sich als verheerend erweisen. Es hat bereits verschiedene solcher Angriffe gegeben, bei denen Unternehmen aufgrund von internen Schwachstellen enorme Schäden erlitten haben.
Außerdem können Unternehmen nicht ausschließlich auf diesen Ansatz setzen, weil sich auch Benutzer und Geräte außerhalb ihres Netzwerks befinden. Angesichts von Trends wie Homeoffice, Arbeiten von unterwegs, Cloud Computing und vielem mehr, ist es für Unternehmen schwierig, einen Perimeter festzulegen und die gleichen zuverlässigen Sicherheitsmaßnahmen wie bei einer herkömmlichen Büroumgebung zu implementieren.
Daher greifen viele auf Lösungen zurück, die auf Virtual Private Networks (VPN) beruhen. VPNs sind schon lange auf dem Markt, doch sie bieten keine ausreichende Sicherheit. Wie kommt das?
Früher nutzten die meisten Unternehmen ein VPN für den Zugriff auf firmeneigene Netzwerke. Heute führen Unternehmen dagegen mehr Initiativen zur digitalen Transformation als je zuvor durch und verlagern Unternehmensressourcen wie Daten und Anwendungen in die Cloud.
In der Regel hat ein Benutzer, der über ein VPN auf ein Unternehmensnetzwerk zugreift, Zugang zu allen Ressourcen im Netzwerk. Das Risiko von Ransomware-Attacken, Infektionen mit Malware und Datenlecks ist heute höher, da der Benutzer vielleicht die Firewall des Unternehmens umgeht, um im Internet zu surfen. Ein weiteres Szenario könnte sein, dass ein persönliches Gerät eines Benutzers kompromittiert ist und durch einen verfügbaren VPN-Client die Unternehmensressourcen noch mehr Bedrohungen aussetzt.
Eine weitere Herausforderung von VPNs ist der fehlende Einblick in den Benutzer-Traffic. Dies ist ein Risikoszenario, denn stellen Sie sich vor, wie ein Mitarbeiter über seinen Laptop von einem Café aus auf eine Geschäftsanwendung zugreift. Dieser Laptop ist dabei wahrscheinlich mit einem nicht abgesicherten Netzwerk verbunden und wird so zum leichten Ziel für Hacker, die ihn mit Malware angreifen oder einen Social-Engineering-Angriff starten.
VPNs waren sinnvoll, als die digitale Landschaft noch nicht so komplex war wie heute und es weniger Bedrohungen gab, die zudem besser bekannt waren. Die heutigen hoch-komplexen Bedrohungen lassen sich dagegen mit einer VPN-Lösung nicht angemessen handhaben.
Außerdem ist zu bedenken, dass ein VPN den Traffic an den Unternehmenshauptsitz oder einen anderen zentralen Standort leitet, wo die Sicherheitsrichtlinien angewandt werden. Das bedeutet, dass der Traffic für die Überprüfung der Daten und andere Prozesse an den zentralen Standort fließt. Dies ist jedoch ein Schwachpunkt des Ansatzes, da zusätzliche Latenzen entstehen und mehr Bandbreite belegt wird. Einfach ausgedrückt: Die Nutzung eines VPN bedeutet ein langsameres Benutzererlebnis.
Mit der Zunahme von Multi-Cloud-Architekturen und mobilen Arbeitskräften scheint der Netzwerkperimeter täglich an Bedeutung zu verlieren.
Angesichts dieser sich rasch entwickelnden Landschaft brauchen Unternehmen eine Sicherheitslösung, die Folgendes ermöglicht:
All diese Funktionen sind in der modernen Zero-Trust-Lösung enthalten – doch schauen wir uns einmal genauer an, inwiefern sich diese von der perimeterbasierten Sicherheit unterscheidet.
Wir haben bereits angesprochen, dass vor dem Zugang die Identität überprüft werden muss, doch ist dabei die Identifikation des Gerätes bzw. Benutzers ausreichend? Nein, denn auch der Kontext ist hier ein wichtiger Parameter. Kontext bedeutet in diesem Fall: Datum, Uhrzeit, geografische Position und Sicherheitsstatus des Geräts. Alle diese Parameter werden ebenfalls überprüft.
Somit wird der Zugang zu Geschäftsanwendungen und -daten kontextbasiert erlaubt. Doch denken Sie daran: Die Zugangsgenehmigung wird nicht für ewig erteilt und die Überprüfung ist kein einmaliger Vorgang. Sie findet vielmehr laufend statt – wenn der Benutzer also bei der nächsten Sitzung die Sicherheits- oder Kontextprüfung nicht besteht, werden die Zugangsrechte wahrscheinlich entzogen.
Weniger Risiken
Allen Geräten in einem Unternehmensnetzwerk zu vertrauen, stellt ein großes Risiko dar, das der Zero-Trust-Ansatz beseitigt. Ganz gleich in welchem Netzwerk oder an welchem Ort der Benutzer sich befindet, seine Identität wird für jede Sitzung überprüft. Mit einer so strengen und laufenden Überprüfung vermindert Zero-Trust Risiken und Schwachstellen – die andernfalls übersehen werden könnten.
Mehr Transparenz
Unternehmen haben einen besseren Überblick über die mit dem Netzwerk verbundenen Geräte und können die Aktivitäten laufend überwachen.
Sicherheit über das Netzwerk hinaus
Zero-Trust ist darauf ausgelegt, Sicherheit über die Netzwerkschicht hinaus und sogar auf Anwendungsebene bereitzustellen.
Schnelleres Benutzererlebnis
Bei Zero-Trust wird der Benutzer sofort über eine sichere Verbindung verbunden, ohne dass der Traffic erst über einen zentralen Unternehmensstandort geleitet wird. Dies reduziert die Latenz und ermöglicht ein schnelleres und besseres Benutzererlebnis.
Weniger Angriffsfläche
Zero-Trust verbirgt Geschäftsanwendungen und kritische Ressourcen vor dem Internet. Somit ermöglicht der Zugang zu einer der Anwendungen nicht zugleich auch den Zugang zu allen anderen Anwendungen. Nicht autorisierte Benutzer können die anderen Anwendungen nicht finden, da diese „unsichtbar“ sind.
Der Trend zum Arbeiten von zu Hause oder von unterwegs hat sich seit der Covid-19 Pandemie verstärkt. Und der Trend zur Remote-Arbeit wird sich weiter fortsetzen.
Einige interessante Statistiken zur Remote-Arbeit (Stand 2023):
Quelle: Remote work statistics and trends in 2023, 2023, www.forbes.com
Die Trends zur Remote-Arbeit ließen die Anzahl der Endpunkte ansteigen, da Mitarbeitende mehrere Geräte für den Zugriff auf Daten und geschäftliche Tools benutzen. Daher sind der Schutz dieser Endpunkte und die Überwachung des Traffics für jedes Unternehmen wichtig.
Prognosen von Gartner zufolge werden 2026 10 % aller Großunternehmen das Zero-Trust-Modell nutzen. Ihr Zero-Trust-Modell wird bis dahin ausgereift und messbar sein. Heute verfügen weniger als 1 % der Unternehmen über ein vollentwickeltes Zero-Trust-Modell.
Quelle: Gartner predicts 10% of large enterprises will have a mature and measurable Zero-Trust program in place by 2026, 2023, www.gartner.com
Aber dies sind Daten für Großunternehmen – generell werden rund 60 % aller Firmen bis 2025 Zero-Trust-Sicherheit nutzen. Im Bericht von Dezember 2022 bestätigte Gartner, dass der Zero-Trust-Ansatz sich über den Marketing-Hype hinaus zu einer Realität entwickelt hat, die Unternehmen heute im Rahmen ihrer Sicherheitsstrategie berücksichtigen müssen. Zero-Trust ist die wachstumsstärkste Entwicklung im Bereich der Netzwerksicherheit.
Brauchen Sie eine Beratung für Ihren Einstieg in Zero-Trust-Security? Kontaktieren Sie uns.
Im September werden wir Ihnen den nächsten Teil des Blogs zur Umsetzung von Zero-Trust-Security präsentieren.
T-Systems ist einer der führenden Sicherheitsanbieter in Europa. Wir wurden 2022 auch von ISG ausgezeichnet für Strategic Security Services, Managed Security Services, und Technical Security Services – für Deutschland.