Wichtige Aspekte bei der Umsetzung einer Zero-Trust-Architektur
Die Netzwerkstrukturen auf Unternehmensseite gestalten sich zunehmend komplexer. Von der Ausdefinition vielfältiger interner Teilbereiche hinter dem klassischen Perimeter über die Anbindung von Außenstellen mit eigener Infrastruktur oder mobilen Mitarbeitern im Homeoffice bis hin zur verstärkten Nutzung von Cloud Services: Es bleibt nicht viel übrig von den traditionellen IT-Konzepten der Vergangenheit mit klar definierbaren Außengrenzen der informationstechnischen Sphäre. Herkömmliche Strategien zur Absicherung sind angesichts dieser Vielfalt an neuen Gegebenheiten und Anforderungen längst überholt. An ihre Stelle rückt zunehmend das Zero-Trust-Konzept als tragfähiges IT-Security-Paradigma.
Das Schöne daran: Mit diesem lässt sich ein weitreichender, flexibel anpassbarer Schutzschild über alle Unternehmensressourcen und -daten legen – egal ob es darum geht, die Rechtmäßigkeit des Netzwerkzugriffs abzusichern, einzelne Prozesse auf ein vertrauensvolles Fundament zu stellen oder die sicherheitsrelevante Unversehrtheit von Endpoints zu gewährleisten. Insofern überrascht es kaum, dass laut einer Pulse-Umfrage bereits 59 Prozent der befragten Entscheidungsträger an der Umsetzung einer Zero-Trust-Sicherheitsstrategie arbeiten. 35 Prozent sehen darin die höchste Priorität.
In dem Zusammenhang sollten Unternehmen folgende Aspekte unbedingt berücksichtigen, um den Aufbau von Zero-Trust-Architekturen von Anfang an auf ein sicheres Fundament zu stellen:
- Rechtzeitige Identifikation aller relevanten Unternehmensanwendungen (z.B. E-Mail, Cloud Services, VPN) und der damit verbundenen Zugriffsrechte: Wer nutzt welche Anwendung? Entsprechend dieser Auswertung können die einzelnen Teilbereiche gezielt als eigenes Mikrosegment betrachtet und individuell behandelt werden. So wäre beispielsweise Microsoft 365 inklusive der damit arbeitenden Mitarbeiter ein eigenes Mikrosegment im Rahmen der Zero-Trust-Konzeption und der VPN-Zugang mit allen Benutzern, die im Geschäftsalltag darauf angewiesen sind, ein weiteres.
- Abkehr von implizitem Vertrauen: Erst durch konsequente, allumfassende und wiederholte Bewertung von Vertrauenswürdigkeit in jederlei Hinsicht sind sowohl KMU als auch große Unternehmen in der Lage, das Sicherheits- und Risikomanagement wirkungsvoll aufzugleisen und zu vereinfachen. Selbst bisher versteckten Sicherheitslücken lässt sich auf diese Weise auf die Spur kommen. Hierbei spielen insbesondere die eigenen Mitarbeiter eine Schlüsselrolle – Zero Trust sollte ausnahmslos und in allen Abteilungen zum Tragen kommen, da nur so eine sicherere Infrastruktur für die verschiedenen Datenströme zwischen den verschiedenen Bereichen geschaffen werden kann und das Erkennen potenzieller Cyberangriffe unternehmensübergreifend möglich wird.
- Implementierung einer Multifaktor-Authentifizierung (MFA): Durch den Einsatz von MFA sowie biometrischer Verfahren im Zuge des Zugriffs auf Geschäftsressourcen können Unternehmen das Risiko eines Ausspähens von Anmeldeinformationen entscheidend minimieren. MFA ist daher ein entscheidender Baustein zur Etablierung von Zero-Trust-Konzepten, da sie der Gefahr des Missbrauchs von Anmeldedaten effektiv entgegenwirkt.
- Kontrolle durch Monitoring: Gerade im Hinblick auf die zunehmende Automatisierung von Prozessen kommt es mehr denn je darauf an, alle relevanten Aktivitäten im Blick zu behalten. Neben der kontinuierlichen Beobachtung des gesamten internen Netzwerkverkehrs in Echtzeit ist es zielführend, auch Standorte oder die konkreten Anwendungen, von denen eine Verbindung ausgeht, im Rahmen der Prüfroutinen kritisch zu hinterfragen. Dies trägt nicht nur dazu bei, potenziell gefährliche Verbindungen zu unternehmensinternen Netzwerken oder Endpunkten zu erkennen. Visualisierung sorgt darüber hinaus nicht zuletzt für ein besseres Verständnis für die Gesamtheit des Datenverkehrs.
- Obacht bei verschlüsseltem Datenverkehr: Vollumfängliche Vertrauensprüfung schließt auch und gerade den verschlüsselten Datenverkehr mit ein. Daher ist eine moderne Firewall mit adäquaten Entschlüsselungsfunktionen essenziell. Gleichzeitig lassen sich damit neben dem Perimeter auch einzelne Netzwerksegmente zusätzlich absichern.
- Blick hinter den Endpunkt: Der Einsatz der Endgeräte, mit denen auf Unternehmensressourcen zugegriffen wird, verdient besonderes Augenmerk. Das „Warum“ erklärt sich von selbst: So geht von Mitarbeitern mit Firmenlaptop, deren Absicherung in den Händen der Unternehmens-IT liegt, in der Regel deutlich weniger Risiko aus als von Anwendern, die im Tagesgeschäft ein privates Endgerät nutzen und dieses beispielsweise noch mit anderen Familienmitgliedern teilen. Es sollte in jedem Fall gewährleistet sein, dass das Gerät, welches für den Zugriff auf Firmenanwendungen und -netze verwendet wird, effektiv vor Malware geschützt ist.
Auch wenn der Aufbau einer Zero-Trust-Architektur sicher kein Projekt ist, dass sich schnell und nebenbei umsetzen lässt: Es lohnt sich. Denn Zero Trust bildet den Eckpfeiler ganzheitlicher IT-Security-Strategien. Bei korrekter Implementierung können Eindringlinge schneller und effizienter erkannt sowie abgewehrt werden – ein entscheidendes Plus im Kampf gegen aktuelle Bedrohungen, bei denen herkömmliche IT-Sicherheitskonzepte inzwischen massiv an ihre Grenzen stoßen.