Unternehmen haben in einer Welt voller Cyber-Sicherheitsbedrohungen viel zu stemmen: Mobile Arbeitsplätze wie das Home-Office wollen genauso abgesichert sein wie die unternehmenseigenen Arbeitsplätze und in beiden Fällen werden unzählige Geräte und Anwendungen genutzt. Blindes oder automatisches Vertrauen würde das Risiko für Datenlecks immens erhöhen – eventuell ausgelöst von Unternehmensinternen, die sich ungeprüft und absolut uneingeschränkt durchs Netzwerk bewegen.
„Mit dem Sicherheitskonzept Zero Trust kann es gelingen, die Sicherheit massgeblich zu steigern. Es basiert auf dem Grundsatz, weder Geräten noch Nutzenden oder Diensten innerhalb sowie ausserhalb des eigenen Netzwerks zu vertrauen“, rät Patrycja Schrenk, Geschäftsführerin der PSW Group. Dem Zero Trust-Modell folgend werden selbst Anfragen dann nicht automatisch als vertrauenswürdig eingestuft, wenn sie aus dem Unternehmensnetzwerk kommen: „Das heisst, es werden sämtliche Elemente – also alle Geräte, Dienste und Anwendenden – genauso behandelt, als kämen sie aus offenen und unsicheren Netzwerken. Dem Zero Trust-Prinzip folgend, wird weder authentifizierten Nutzenden sowie Endgeräten noch VPN-Verbindungen getraut – auch wenn sie grundsätzlich als sicher eingestuft werden“, verdeutlicht die IT-Sicherheitsexpertin. Gemäss Zero Trust-Ansatz werden Netzwerknutzende in Echtzeit und gegebenenfalls auch wiederholt authentifiziert, autorisiert sowie validiert. Dies dient der Sicherstellung notwendiger Berechtigungen. Die einmalige Prüfung der Identität von Nutzenden genügt nicht. Zudem gilt beim Zero Trust Modell das Principle of Least Privilege: Identitäten erhalten zunächst grundsätzlich die niedrigste Zugriffsstufe. Werden weitere Cybersicherheitsmassnahmen ergänzt, können mittels Least-Privilege-Zugriff die Bewegungen im Netzwerk erheblich begrenzt werden. „Zur Implementierung dieser Zero Trust-Prinzipien müssen Unternehmen zunächst schützenswerte Assets definieren – also beispielsweise Daten und Systeme, die als kritisch einzustufen sind. Diese Assets werden dann mit einer umfassenden Plattform anstatt von Einzellösungen geschützt“, ergänzt Schrenk. Neben dem Zusammenspiel verschiedener Sicherheitsanwendungen sollten Unternehmen zusätzlich auch über eine Multi-Faktor-Authentifizierung, eine Netzwerk- und Geräteüberwachung sowie eine Verhaltensanalyse und Automatisierung nachdenken.
Stärkung der Cybersicherheit
„Korrekt implementierte Zero Trust-Modelle sind auf sämtliche Verhaltensmuster sowie Datenpunkte abgestimmt, die den Alltag im Unternehmensnetzwerk darstellen. So gewähren oder verweigern Zero Trust-Lösungen Zugriffsrechte auf Basis unterschiedlicher Parameter, etwa Uhrzeit, Standort, Betriebssystem, Endgerätetyp oder Firmware-Version. Spezielle Zero Trust-Tools erlauben fortgeschrittene Schutzmassnahmen“, bringt es Patrycja Schrenk auf den Punkt. Der grosse Vorteil des Zero Trust-Prinzips liegt damit auf der Hand: Durch eine Risikoreduktion für Angriffe verbessert sich die Cybersicherheit immens. Damit verbessern sich gleichzeitig der Datenschutz und die Datensicherheit. „Allerdings zeigt die Praxis, dass Zero Trust derzeit leider noch eher Sicherheitsphilosophie ist als ein neuer Massstab in der Cybersicherheit. Etwaige Risiken und Funktionalitäten lassen sich im Vorfeld nur schwer abschätzen, was das Unternehmen vor unerwartete Herausforderungen stellen kann. Möglicherweise steigern sich damit die Kosten für die IT-Sicherheit und auch die Tatsache, dass die Systeme stetig überwacht und gewartet werden müssen, wird keine Kosten- und Aufwandsreduktion mit sich bringen“, gibt Schrenk zu bedenken. Hinzu kommt: Auch die User Experience muss stimmen, um Nutzende nicht dazu zu verführen, die Sicherheit zu kompromittieren. Diese Gratwanderung allerdings kann mit IAM-Lösungen (Identity and Access Management) gelingen. „Noch ist der Aufwand zur erfolgreichen Implementierung des Zero Trust-Prinzips für die Mehrheit aller Unternehmen nicht umsetzbar. Derzeit halt ich es für sinnvoller, sich mit dem Schutz von Identitäten zu befassen. Existieren jedoch in der Zukunft Zero Trust-Lösungen, die neben dem Schutz der Unternehmensassets auch Anwenderfreundlichkeit bieten können, lohnt sich ein näherer Blick definitiv“, meint Patrycja Schrenk.