IT Prozesse

Zero-Trust Modell – die Strategie für mehr IT-Sicherheit?

09

.

07

.

2024

8

 min Lesezeit

Eine Geschäftsfrau arbeitet mit Laptop und Smartphone im Home Office.

Digitale Transformation, BYOD-Modelle und die Arbeit aus dem Homeoffice – all diese Themen haben nicht nur die Arbeitswelt grundlegend verändert, sondern auch neue Anforderungen an die IT-Sicherheit in Unternehmen gestellt. Um diesen neuen Anforderungen gerecht zu werden und Daten, Geräte und Mitarbeiter zuverlässig zu schützen, agieren immer mehr Unternehmen nach dem Zero-Trust Prinzip – vor allem bei dezentraler Organisation der Teams. Wie das Zero-Trust Modell die IT-Sicherheit stärken kann, wie Unternehmen Herausforderungen bei der Einführung meistern können und wie Zero Trust im Unternehmensalltag umgesetzt werden kann, zeigt dieser Artikel.

Ein Überblick über das Zero-Trust Modell und seine Kernprinzipien

Lange Zeit konnten Unternehmen sich zuverlässig vor unbefugten Zugriffen auf Daten und Geräte schützen, indem sie sich mit Firewalls und netzwerkbasierten Tools zur Validierung und Überprüfung von Nutzern abgesichert haben. Dezentrale Infrastrukturen in der Cloud lassen die bisherigen Netzwerkgrenzen jedoch verschwinden, sodass es nicht mehr ausreicht, sich auf den traditionellen Perimeterschutz zu verlassen. Statt der klaren Netzwerkgrenzen gibt es heute unzählige Angriffspunkte, über die Kriminelle Zugriff auf sensible Unternehmensdaten erlangen können.

Das Zero-Trust Modell agiert als IT-Sicherheitsmodell nach dem Grundsatz „Never trust, always verify“. Statt Nutzern oder Geräten innerhalb des Netzwerks nach einmaliger Verifizierung vollen Zugriff auf das Unternehmensnetzwerk zu erlauben und ihnen zu vertrauen, misstraut das Zero-Trust Prinzip grundsätzlich allen Anwendern, Geräten und Diensten. Dabei wird kein Unterschied mehr zwischen Verkehr außerhalb oder innerhalb des Netzwerks gemacht – alle Anwender müssen sich authentifizieren und Geräte müssen vorab bekannt sein. Vor allem bei dezentral organisierten Teams wird das Modell immer bedeutender, um etwa Zugriffe von unbefugten Privatgeräten zu verhindern.

Dabei verfolgt das Zero-Trust Modell 3 Kernprinzipien:

  • Kontinuierliche Verifizierung von Identitäten, Geräten und Zugriffen: So kann das Risiko für unbefugte und schädliche Zugriffe minimiert werden.
  • Minimierung der Auswirkungen bei Sicherheitsvorfällen (Blast Radius): Unternehmen implementieren Maßnahmen zur Begrenzung des Schadenspotenzials.
  • Automatisierung der Kontexterfassung und Risiken: Die automatisierte Analyse von Daten und Vorfällen sorgt dafür, dass Risiken schneller erkannt werden und der potenzielle Schaden besser begrenzt werden kann.
Zero-Trust Prinzip Infografik
Infografik zeigt das Zero-Trust Prinzip in der Praxis

Komponenten im Detail: So kann eine Zero-Trust Architektur aussehen

Die Zero-Trust Architektur soll erweiterten Schutz vor Bedrohungen bieten, wenn klassische Netzwerkgrenzen verschwimmen und nicht mehr als Parameter für Vertrauen gelten können. Zum Einsatz kommen können dabei zahlreiche verschiedene Prinzipien und Sicherheitskontrollen, die ineinandergreifen und so für eine möglichst hohe Sicherheit sorgen.

  • Identitäts- und Zugriffskontrolle basierend auf Richtlinien: Richtlinien erleichtern die Verwaltung und Überprüfung von Identitäten und Zugriffen. So können beispielsweise einige Nutzergruppen andere Rechte erhalten als andere Gruppen, ohne dass eine manuelle Überprüfung nötig ist. Eine übliche Segmentierung wird zwischen Administratoren und regulären Usern durchgeführt.
  • Micro-Segmentierung zur Kontrolle des Netzwerkverkehrs: Die Micro-Segmentierung des Netzwerks sorgt dafür, dass Zugriff immer nur auf den benötigten Teil des Unternehmensnetzwerks besteht und keine unautorisierte Bewegung zu anderen Segmenten möglich ist.
  • Schutz von Daten durch Verschlüsselung und Zugriffskontrolle: Unabhängig davon, wo sie sich befinden, ist der Schutz von Daten vor unbefugten Zugriffen essenziell. Umgesetzt werden kann das durch zuverlässige Verschlüsslung und Kontrollmaßnahmen für den Zugriff, wie beispielsweise Multi-Faktor-Authentifizierung oder Single Sign On.
  • Überwachung und Analyse des Verhaltens von Benutzern, Ressourcen und Verbindungen: Um Bedrohungen rechtzeitig zu erkennen und abzuwehren, kommen Systeme zur Überwachung und Analyse zum Einsatz, die Anomalien erkennen und auf mögliche Gefahren reagieren.
  • Zero-Trust Netzwerkzugriff (ZTNA): ZTNA ermöglicht den sicheren Zugriff auf Anwendungen und Daten, indem es die Identität des Nutzers und die Integrität des Geräts vor der Erteilung des Zugriffs überprüft.
Eine Geschäftsfrau führt im Home Office eine Videokonferenz.
Das Zero-Trust-Modell stärkt die IT-Sicherheit im Home Office und Mobile Office, indem es kontinuierlich die Identität und Integrität aller Geräte und Nutzer überprüft. So werden unbefugte Zugriffe verhindert und die Datensicherheit gestärkt.

Die Vorteile des Zero-Trust Ansatzes

Statt einer konkreten Sicherheitslösung handelt es sich beim Zero-Trust Modell um einen Ansatz, der aus verschiedenen Komponenten, Tools und Handlungsempfehlungen besteht und mit Veränderungen im Unternehmen einhergeht. Dabei bringt es verschiedene Vorteile mit sich.

  • Erhöhte Cyber Security: Durch isolierten Traffic und Netzwerksegmente verringert der Zero-Trust Ansatz das Risiko für eine Ausbreitung potenzieller Angriffe maßgeblich. Verdächtige Aktivitäten können schnell erkannt und überprüft werden, um Sicherheitsvorfälle zu vermeiden.
  • Reduzierte Sicherheitskosten: Mithilfe von Automatisierung und Richtlinien können Sicherheitsanforderungen effizient umgesetzt werden, sodass der Aufwand für Administratoren und damit die Kosten für Unternehmen sinken.
  • Bessere Kontrolle und Transparenz: Unternehmen haben jederzeit den Überblick über Zugriffe, Geräte und Identitäten, was eine frühe Erkennung von Bedrohungen ermöglicht.
  • Verbesserung der Benutzererfahrung durch kontextbezogene Zugriffssteuerung: Statt ausschließlich auf der Identität eines Nutzers kann die Zugriffssteuerung auch auf dem Kontext basieren, etwa dem Standort, dem Gerätetyp oder der Art der Anfrage. Das sorgt dafür, dass etwa in gewohnten Umgebungen nicht jedes Mal die Mehr-Faktor-Authentifizierung durchgeführt werden muss.
  • Verbesserte Compliance und Risikominderung: Zero Trust hilft Unternehmen dabei, gesetzliche Anforderungen zu erfüllen und gleichzeitig das Risiko von Datenschutzverletzungen zu verringern, da ausschließlich autorisierte Benutzer Zugriff auf sensible Daten erhalten.
  • Ermöglichung von Remote- und Hybridarbeit: Die Kontrolle und Autorisierung von BYOD-Geräten oder unternehmenseigenen Geräte, die ortsunabhängig eingesetzt werden, wird durch den Zero-Trust Ansatz erleichtert, da entsprechende Mechanismen wie Geräte- und Applikationsmanagement etabliert werden.
  • Schnellere Erkennung und Reaktion auf Bedrohungen: Durch den Einsatz von Automatisierung und fortschrittlicher Bedrohungserkennung können Sicherheitsvorfälle schneller erkannt und behoben werden, was das Risiko für erfolgreiche Cyberangriffe und Auswirkungen auf das Geschäft minimiert

Mögliche Herausforderungen bei der Einführung des Zero-Trust Modells

Vor allem während der Einführung des Zero-Trust Modells können Unternehmen auf einige Herausforderungen stoßen, die es von Beginn an zu berücksichtigen gilt. Es benötigt etwa im Vorfeld eine ganzheitliche Sicherheitsstrategie und -architektur. Diese gilt es, zunächst zu erarbeiten und zu etablieren, damit Zero-Trust Strukturen integriert werden können.

Für die Einführung selbst gilt: Beim Zero-Trust Prinzip handelt es sich nicht um eine Softwarelösung, die einmalig installiert wird und dann ihren Zweck erfüllt. Vielmehr handelt es sich um ein Framework, das mehrere verschiedene Sicherheitslösungen und -disziplinen umfassen kann. Die Koordination dieser Lösungen kann zur Herausforderung für Unternehmen werden. Ihre Aufgabe ist es, bereits vor der Integration Zugriffsrichtlinien zu definieren und Sicherheitsmaßnahmen zu priorisieren. Anhand der IT-Sicherheitsstrategie und der Gruppierung von Anwendern in verschiedene Sicherheitsstufen können diese Richtlinien und Maßnahmen erarbeitet werden.

Sichere Konzepte nach der Einführung: Akzeptanz schaffen & kontinuierliche Optimierung

Das Zero-Trust Konzept geht nicht nur mit technologischen, sondern auch kulturellen Veränderungen einher. Es ist von hoher Bedeutung, dass alle Mitarbeiter das Modell und seine Maßnahmen verstehen und zuverlässig befolgen. Sinnvoll sind deshalb regelmäßige Schulungen entsprechend des Wissensstands der Mitarbeiter.

Aber auch technisch sollten Unternehmen ihre Zero-Trust Strukturen regelmäßig prüfen. Denn neue Bedrohungen und Entwicklungen können jederzeit und rasend schnell entstehen. Microsoft empfiehlt deshalb beispielsweise, den Reifegrad der Implementierung regelmäßig zu bewerten. So ist es möglich, Optionen zur Verbesserung zu identifizieren und die IT-Sicherheitsstrategie des Unternehmens kontinuierlich zu optimieren.

Beim Zero-Trust Prinzip handelt es sich nicht um eine Softwarelösung, die einmalig installiert wird und dann ihren Zweck erfüllt. Vielmehr handelt es sich um ein Framework, das mehrere verschiedene Sicherheitslösungen und -disziplinen umfassen kann.

Zero Trust im Unternehmensalltag: So kann das Modell in bestehende Strukturen integriert werden

In der Regel bestehen bei Unternehmen, die das Zero-Trust Modell einführen möchten, bereits IT-Sicherheitskonzepte und Maßnahmen. Teilweise arbeiten Unternehmen auch bereits mit Lösungen, die Zero Trust von Haus aus unterstützen. Hier finden Sie einige Beispiele, wie das Modell in bestehende Strukturen integriert werden kann.

Zero Trust und Microsoft 365

Microsoft 365 erlaubt standardmäßig die Verwendung der Apps und Ressourcen von jedem Gerät. So können Mitarbeiter ihre Daten auf dem heimischen PC, im Browser und Smartphone einsehen. Das ist ein Vorteil, kann jedoch auch zu eklatanten Problemen bei Datensicherheit und Datenschutz führen, da der Zugriff grundsätzlich mit einfachem Login ohne Einschränkungen von jedem PC, Browser oder Smartphone möglich ist. Das kann einerseits zu einem möglichen Zugriff auf sensible Daten durch kompromittierte oder mindestens nicht verwaltete Geräte führen, andererseits auch zu schädlichen Datenschutz- und Datensicherheitsverletzungen. Mitarbeiter könnten beispielsweise unwissentlich, aber auch wissentlich, Firmendaten mit unbefugten Apps teilen oder in die private Cloud hochladen.

Eine der herausforderndsten Aufgaben sehen wir darin, die Balance zu finden zwischen hoher Sicherheit, die ggfs. die Produktivität einschränkt, und freiem Zugriff auf alle Unternehmensdaten unabhängig von Ort und Gerät.

Das Zero-Trust Modell schafft eine Kombination aus technischen und organisatorischen Maßnahmen für den Einsatz von Microsoft 365 in Unternehmen. Es wirft richtungsweisende Fragen auf, zum Beispiel, welche Mitarbeiter wie mit Firmendaten umgehen dürfen, wer welche Berechtigungen erhält und auf welche Bereiche zugegriffen werden darf.

Microsoft hat hierzu einen Ansatz zur Implementierung von Zero Trust in der Microsoft 365 Umgebung erarbeitet, der mehrere Schritte umfasst:

  • Konfiguration des Identitäts- und Gerätezugriffsschutzes
  • Verwaltung von Endpunkten mit Intune
  • Unternehmensrichtlinien zum Identitäts- und Gerätezugriffsschutz hinzufügen
  • Einrichtung des Microsoft Defender für erweiterte Bedrohungserkennung
  • Einrichtung von Microsoft Purview Information Protection für den Datenschutz

Besonders für KMU ergeben sich durch Microsofts Ansatz Vorteile – sie können zahlreiche Zero-Trust Elemente in einer zentralen Lösung umsetzen. Daraus ergibt sich einerseits ein geringerer Aufwand durch weniger Komplexität und andererseits geringere Kosten, da nur eine Lösung benötigt wird.

Drei Geschäftsleute und Geschäftsfrauen stehen im Kreis und schauen auf ihre Tablets und Smartphones.
Durch die Einführung von Mobile Device Management (MDM) wird das Zero-Trust Modell gestärkt, indem die Verwaltung und Sicherheit aller mobilen Geräte verbessert und unbefugte Zugriffe von Fremdgeräten effektiv verhindert werden.

Mobile Device Management und Zero Trust

Zero Trust erfordert ein aktives Geräte- und Nutzermanagement: Nur so behalten Unternehmen die Übersicht, wer Zugriff auf Unternehmensdaten hat und welche Geräte dafür genutzt werden. Umgesetzt werden kann das durch eine Mobile Device Management (MDM) Lösung. MDM ermöglicht die Verwaltung mobiler Geräte wie Laptops, Tablets oder Smartphones, sorgt gleichzeitig für Sicherheit und Datenschutz und erleichtert damit sowohl das mobile Arbeiten als auch die Umsetzung des Zero-Trust Modells.

Zusätzlich zum Gerätemanagement ermöglichen viele MDM Lösungen auch das Mobile Application Management (MAM - Mobiles Applikationsmanagement). Durch Applikationsmanagement können Apps nur kontrolliert heruntergeladen werden. Das vermeidet beispielsweise, dass unsichere Apps, die möglicherweise sensible Daten abgreifen, unbewusst auf Geräten installiert werden und Risiken entstehen.

Fazit: Das Zero-Trust Prinzip als zentrales Element in der Zukunft der IT-Sicherheit

Cloud Services wie Microsoft 365 ermöglichen neue und flexible Formen von Remote Work und sind schnell eingerichtet. Jedoch sollten Unternehmen berücksichtigen, wie sie Datenschutz und Datensicherheit gewährleisten können - sowohl vor internen als auch externen Bedrohungen. Bei wachsender Bedrohungslage und neuen Methodiken der Cyberkriminalität ist es unserer Einschätzung nach nur eine Frage der Zeit, bis ein großer Teil der Unternehmen das IT-Sicherheitskonzept entlang des Zero-Trust Prinzips orientiert.

Dabei steht jedoch eine zentrale Frage im Mittelpunkt: „Wie sehr schränken wir die Flexibilität im Umgang mit Cloud Tools und Services ein, um Datensicherheit und Datenschutz zu erhöhen?” Eine der herausforderndsten Aufgaben sehen wir darin, die Balance zu finden zwischen hoher Sicherheit, die ggfs. die Produktivität einschränkt, und freiem Zugriff auf alle Unternehmensdaten unabhängig von Ort und Gerät. Einen wichtigen Schritt können Unternehmen bereits gehen, indem sie die „Low Hanging Fruits” wie Mobile Device Management, Datenschutz-Frameworks für Mobilgeräte und die Definition klarer Sicherheitsgruppen pflücken.

Zero Trust ist ebenso wie IT-Sicherheit selbst eine Aufgabe der Geschäftsführung und sollte unter Einbeziehung geeigneter Berater auf die individuellen Bedürfnisse hin erarbeitet werden. Unserer Erfahrung nach benötigt es mehr als den Rollout einer Software mit Template und das Umlegen eines Schalters, um „sicher“ zu arbeiten. Nur mit der richtigen Symbiose aus technischen wie auch organisatorischen Maßnahmen kann Zero Trust erfolgreich implementiert werden, ohne die Arbeit zu behindern.

ÜBER DEN AUTOR / DIE AUTORIN

Tobias Linden

Seit 2019 ist Tobias als Geschäftsführer bei der computech GmbH im Bereich Marketing, Produktentwicklung und New Business Development tätig. Aufgrund seiner beruflichen Erfahrung im Bereich Design und Marketing, insbesondere im UX/UI Design, liegt Tobias die Arbeit mit Menschen zur Schaffung von digitalen Lösungen am Herzen. Im firmeneigenen Blog teilt er Tipps, Erfahrungen und Einblicke aus dem prozessorientierten IT Bereich, um Digitalisierung zugänglicher und verständlicher zu machen.