Zero Trust

Wer oder was von draußen kommt, ist potenziell gefährlich; allen, die drinnen sind, kann vertraut werden. An dieser Prämisse haben Unternehmen jahrelang ihre Gefahreneinschätzung ausgerichtet. Sämtliche Eingänge in das Unternehmensinnere wurden kontrolliert oder reglementiert: über Firewalls, Virtual Private Networks (VPN), Authentifizierungsmethoden oder physische Zugangskontrollen. Bei Personen innerhalb des Firmennetztes  - also in der Regel den Mitarbeitenden  - galt das Vertrauensprinzip. Berechtigungen für Zugriffsmöglichkeiten wurden einmalig vergeben und dann nicht mehr in Frage gestellt. Durch die Veränderung von Arbeitsgewohnheiten (Arbeiten von überall), die Digitalisierung sowie die Verlagerung von Prozessen und Daten in die Cloud hat sich die Risikolage innerhalb von Unternehmen jedoch verändert. Daher ist die bisherige Trennung zwischen der potenziell gefährlichen Außenwelt und den legitim im Unternehmen Beschäftigten nicht mehr zeitgemäß, wenn es um die Bewertung von Sicherheitsrisiken geht.

In einem gemeinsamen Whitepaper mit SailPoint erörtern wir den als „Zero Trust“ bezeichneten Ansatz für ein modernes Sicherheitsmodell. Dieser geht davon aus, dass es notwendig ist, bei jeder Gelegenheit zu prüfen, ob eine Handlung als üblich und erlaubt anzusehen ist. Das bedeutet nicht, seinen Mitarbeitenden grundsätzlich zu misstrauen. Es geht vielmehr darum, dass einmal gewährte Berechtigungen nicht als dauerhaft angesehen, sondern regelmäßig mit Blick auf den Kontext verifiziert werden. Erst nach dieser Bewertung erfolgt eine erneute Berechtigungsvergabe. Diese Berechtigungsprüfungen sind wiederkehrend und berücksichtigen neben der Identität beispielsweise auch, von welchem Gerät der Zugriff erfolgt, über welches Netzwerk und auf welche Daten. Mit diesem Ansatz kann ein Unternehmen den sicherheitstechnischen Herausforderungen der neuen Arbeitswelt und der neuen Technologien gerecht werden.

Die Grundannahme bei Zero Trust ist, dass eine Identität  - das können Benutzer:innen, ein Gerät oder eine Applikation sein  - aus bestimmten Gründen oder in einem bestimmten Kontext auf Daten zugreifen möchte. Jeder Zugriff wird im jeweiligen Zusammenhang kontinuierlich überprüft und verfolgt. So kann festgestellt werden, ob es sich um ein im Unternehmen bekanntes Gerät handelt und von wo aus zugegriffen wird. Wenn das Anmeldeverhalten nicht dem „üblichen und erwarteten Verhalten“ entspricht, es sich also möglicherweise um unautorisierte Zugriffsversuche handelt, kann die Identität blockiert werden. Zero Trust geht damit über das klassische Berechtigungsmanagement hinaus, baut aber auf Security-Lösungen auf, die im Unternehmen bereits eingesetzt werden. Diese können als Basis für eine Zero-Trust-Umsetzung verwendet werden, die je nach eigenem Reifegrad und Zielzustand modular durchgeführt werden kann.

In unserem Whitepaper wird erläutert, auf welchen Prinzipien Zero Trust beruht und wie diese zur Risikoreduktion beitragen. Zudem wird die Einführung einer Zero-Trust-Architektur skizziert und beleuchtet, welche Voraussetzungen im Unternehmen vorliegen sollten. Abschließend werden mögliche Schritte einer stufenbasierten Einführung der benötigten Prozesse und Technologien aufgezeigt.

Erfahren Sie mehr zu den sicherheitstechnischen Herausforderungen der neuen Arbeitswelt und der neuen Technologien und wie Sie diesen gerecht werden können.