Nur wenn jeder Datenzugriff in Echtzeit überwacht und freigegeben wird, erreichen Firmen ein höchstmögliches Mass an Sicherheit. Mit dem Zero-Trust-Ansatz wird dieses Ziel möglich. Allerdings ist die Umsetzung anspruchsvoll.
Die IT geht eigene Wege – mal wieder. Wo in der Personalführung heute Vertrauen und Selbstständigkeit gepredigt werden, proklamieren Security-Fachleute genau das Gegenteil: Zero Trust – null Vertrauen. Was auf den ersten Blick erstmal etwas irritierend wirkt, lässt sich mit der rasanten technologischen Entwicklung gut erklären. Früher reichte es, einen Perimeter zu definieren, der mittels Firewall und Authentifizierung abgesichert wurde. Wer mal drin war, galt als vertrauenswürdig und durfte sich ohne grosse Einschränkungen in seinem Bereich bewegen.
Cloud und BYOD (Bring Your Own Device), kombiniert mit Home-Office und den so genannten Modern Workplaces sowie immer mächtigere Angriffstechnologien machen diesen Sicherheitsansatz allerdings nicht selten obsolet. Sie geht davon aus, dass keine Gefahr mehr besteht, wenn die Firewall keinen Alarm schlägt und alle Nutzenden authentisiert sind. Die Erfahrung zeigt aber, dass dies nicht der Fall ist. Und ist der definierte Sicherheitsperimeter erstmal penetriert, gilt die gesamte Firmeninfrastruktur als angreifbar. Aus diesem Grund wurde die Zero-Trust-Idee entwickelt. Sie ist mehr als nur eine Technologie, sondern eher eine Philosophie. Der Kerngedanke: Die Systeme vertrauen niemandem, auch nicht innerhalb des bisher als sicher geltenden Perimeters.
Das Least Privilege Modell
Konkret heisst dies, dass alle Benutzerinnen und Benutzer bzw. deren Geräte bei jedem Datenzugriff auf ihre Berechtigung abgefragt werden. Jedes Gerät verfügt über Eigenschaften, Anforderungen und Kommunikationsprotokolle, die im Zero-Trust-Modell mit dem gewünschten Datenzugriff verglichen werden. Laufend wird vom System beurteilt, ob der Zugriff rechtens ist, logisch und erklärbar. Ist das nicht der Fall, wird eine erneute Authentifizierung verlangt. Grundsätzlich gilt das Prinzip des geringstmöglichen Zugangs (Least-Privilege-Zugriffsmodell). Ist eine höhere Zugangsstufe erforderlich, verlangt das System eine erneute Validierung.
Damit dieser Sicherheitsansatz funktioniert, muss das Unternehmen seine Daten sehr genau kennen. Darum gilt das der Zero-Trust-Methode zugrundeliegende Prinzip «Data first». Firmen müssen wissen, welche Daten sensibel sind, wo diese liegen und den Zugriff auf diese Daten einschränken. Nur so lässt sich erkennen, ob ein Zugriff überhaupt rechtens ist. Diese Informationen müssen im Vorfeld seriös und akribisch erhoben, aber auch laufend angepasst werden.
Echtzeitanalyse mit KI
Im Betrieb zeigen sich die oft gegensätzlichen Anforderungen von Business und IT. Die IT will grösstmögliche Sicherheit, das Business trotz der der digitalen Transformation möglichst störungsfrei Arbeiten. Werden die Mitarbeitenden bei praktisch jedem Datenzugriff erneut zur Authentifizierung aufgefordert, macht das die Leute wütend und es ist äusserst ineffizient. Darum setzt der Zero-Trust-Ansatz sehr stark auf Automatisierung. Einerseits ist es wichtig, Berechtigungen und Dateneigenschaften im Vorfeld sehr genau zu definieren und bei Bedarf anzupassen. Andererseits ist bei der Echtzeit-Analyse des Verhaltens aller Beteiligten KI und Machine Learning unverzichtbar. Entspricht das Verhalten nicht den Erwartungen – weil beispielsweise das zweite Login nach kurzer Zeit geografisch sehr weit entfernt liegt vom ersten – wird sofort eine weitere Authentifizierung verlangt. Ebenso, wenn eine Datenanfrage der Arbeitsroutine widerspricht oder sie Zugang zu Daten verlangt, die eine höhere Berechtigung erfordern. So versucht man einerseits, eine möglichst grosse Sicherheit zu gewährleisten, ohne auf der anderen Seite die Mitarbeitenden häufig bei der Arbeit zu unterbrechen. Im Idealfall funktioniert das System im Hintergrund, ohne dass die Mitarbeitenden viel davon bemerken. Denn bei gut eingespielten Routinen und korrekter Zuweisung von Daten und Berechtigungen wird es im Regelfall nicht zu einer zweiten Authentifizierung kommen.
Schnelle Reaktionszeit
Eine weitere wichtige Stütze des Zero-Trust-Ansatzes ist die Protokollierung sämtlicher Aktivitäten im Zusammenhang mit den Daten. Mithilfe eines Analytics-Tool können die IT-Verantwortlichen im Falle eines unberechtigten Zugriffs sofort adäquat reagieren und den Schaden schnell eingrenzen. Ist Zero Trust im Vorfeld mit der nötigen Sorgfalt umgesetzt worden, kommt der Angreifer ohnehin nicht weit.
Fazit
Der Zero-Trust-Ansatz anerkennt das Problem, dass die herkömmlichen Sicherheitsmassnahmen nicht ausreichen, um wertvolle Daten zu schützen. Nur die permanente Überwachung und Beurteilung sämtlicher Datenzugriffe ermöglicht einen umfassenden Schutz und verhindert nicht zuletzt die Eskalation einer Bedrohung. Damit Zero Trust aber seine Wirkung entfalten kann, müssen im Vorfeld die Daten und Zugriffsberechtigungen des Unternehmens genau analysiert werden. Dies ist ein unerlässlicher Aufwand. Im automatisierten Betrieb helfen KI und Machine Learning bei der Echtzeit-Kontrolle der Zugriffe.
Möchten Sie den Zero-Trust-Ansatz in Ihrem Unternehmen implementieren? Wir stehen Ihnen zur Seite, um dies effektiv und nahtlos umzusetzen. Kontaktieren Sie uns!