WatchGuard Blog

Best Security Buddies: WLAN und das Zero-Trust-Modell

Den allgegenwärtigen Bedrohungen über verschiedenste Angriffsvektoren lässt sich nur mit einem hohen Maß an Transparenz sowie Misstrauen gegenüber allen Geräten im Netzwerk begegnen. Zero-Trust-Modelle bieten die Möglichkeit, die dafür notwendige ganzheitliche Sicht auf die Cybersicherheit in jedem Unternehmen zu erreichen. Ausgeweitet auf das vollständige Netzwerk, lassen sich die im Rahmen einer Zero-Trust-Network-Architektur (ZTNA) erforderlichen Schutzmaßnahmen für alle Anwendungen und ihre jeweilige Umgebung beim Zugriff durch beliebige Benutzer, Geräte oder Standorte umsetzen. Die Folge: Bedrohungen können frühzeitig erkannt und somit schneller eingedämmt bzw. abgewehrt werden.

Die Einführung einer gesamtheitlichen ZTNA für sämtliche Netzwerkverbindungen im LAN und WLAN bringt Unternehmen erhebliche Vorteile: Über die rasche Implementierung und Anbindung cloudbasierter Security-Lösungen wird die Sicherheit der Benutzer, insbesondere der im Homeoffice remote angebundenen, deutlich verbessert. Darüber hinaus erhöht sich der Transparenzlevel über sämtliche Vorgänge im Netzwerk, was vor allem der Bekämpfung von Cyberangriffen aus unterschiedlichen Richtungen zugutekommt. Nicht zuletzt werden die Verwaltungskosten gesenkt, da die Bereitstellung sämtlicher Sicherheitswerkzeuge von zentraler, nicht ortsgebundener Stelle erfolgt.

Zero-Trust basiert auf der Prämisse, jeder Verbindung zu misstrauen. Das gilt sowohl innerhalb des Unternehmens als auch extern im Hinblick auf öffentliche WLAN-Strukturen und schließt natürlich Remote-Verbindungen von Benutzern im Homeoffice mit ein.

Um „Zero-Trust“ in einem Unternehmen zu erreichen, müssen für sämtliche WLAN-Verbindungen extrem restriktive Zugriffsberechtigungen gelten. Im Rahmen dieser strengen Individualisierung werden Zugangsprofile angelegt, die speziell auf die Identität des Benutzers, seiner Geräte und den jeweiligen Kontext – sowohl innerhalb als auch außerhalb des Unternehmensnetzwerks – zugeschnitten sind. Das versetzt Administratoren in die Lage, den privilegierten WLAN-Netzwerkzugriff und -Datenverkehr auf Grundlage dieser drei Variablen gezielt zu kontrollieren.

Die Implementierung einer Zero-Trust-Netzwerkarchitektur kann über die folgenden vier Wege erfolgen:

  • Isolierung von Access Points: Dies verhindert, dass verschiedene drahtlose Verbindungen miteinander kommunizieren. Es wird eine weitere Sicherheitsstufe hinzugefügt, die Angriffe und Bedrohungen zwischen verbundenen Geräten einschränkt.
  • Individuelles VLAN für jeden Benutzer oder jedes Gerät: Anwender werden bei der Authentifizierung im WLAN-Netzwerk dynamisch ihrem Virtual Local Area Network (VLAN) zugewiesen. So kann jeder Benutzer oder jedes Gerät nur auf die Ressourcen zugreifen, welche die IT-Abteilung im Zuge der Verbindung mit dem Netzwerk zulässt.
  • Individuelle VPN: Jeder Benutzer oder jedes Gerät hat sein eigenes VPN für seinen jeweils begrenzten Bereich installiert. Der Zugriff richtet sich konsequent nach den von der IT-Abteilung festgelegten Berechtigungen.
  • Multifaktor-Authentifizierung (MFA): Der Zugang zu einem spezifischem WLAN erfolgt in der Regel über Eingabe des jeweiligen WLAN-Kennworts. Im Rahmen einer ZTNA spielt MFA auch bei solchen Netzwerkverbindungen entscheidendes Potenzial aus. Neben einem mit jedem Benutzernamen oder Gerät verknüpften Passwort kommen bei der Authentifizierung weitere Faktoren wie etwa eine Push-Benachrichtigung oder ein Einmalpasswort (OTP) zum Tragen – für zusätzlichen Sicherheitsgewinn.

Das Zero-Trust-Prinzip "never trust, always verify" stellt für jedes Unternehmen eine optimale Herangehensweise dar und sollte sich auf alle Elemente innerhalb des Unternehmens-Ökosystems erstrecken. Die Investition in Lösungen wie moderne Wi-Fi 6-Access Points trägt dazu bei, die Sicherheit auch bei gestiegenen Bandbreiten dauerhaft zu gewährleisten und von den Möglichkeiten einer ZTNA umfassend zu profitieren.