Zero Trust - ein Gebot der Stunde
Zero Trust - ein Gebot der Stunde
4. Februar 2023 -
Die aktuelle Cyberbedrohungslage verlangt nach einem Sicherheitsansatz, der auf implizites Vertrauen verzichtet. Zero Trust setzt jedoch nicht nur technische Lösungen voraus, sondern auch organisatorische Massnahmen und vor allem eine fundierte Strategie.
Artikel erschienen in IT Magazine 2023/01
Die Arbeitswelt und die damit verbundene IT unterliegen nicht erst seit Corona einer regelrechten Umwälzung: Arbeitsformen wie Home Office und Hybrid Work, immer mehr Anwendungen und Datenquellen sowie der Einsatz von Cloud-Diensten und privaten Mobilgeräten fordern die IT-Sicherheit in einem bisher unerreichten Mass heraus, denn mit all diesen Errungenschaften erlangen Cyberkriminelle eine massiv erweiterte Angriffsfläche innerhalb und ausserhalb des traditionellen Netzwerkperimeters.
Neue Cybersicherheitsstrategie erforderlich
Der Zero-Trust-Ansatz unterstützt die Umsetzung eines Sicherheitskonzepts gemäss dem Cybersecurity-Framework der US-Behörde NIST (National Institute of Standards and Technology) massgeblich und wird von NIST ausdrücklich erwähnt. (Quelle: Boll Engineering)
In einem von zunehmenden und immer raffinierteren Cyberattacken geprägten Umfeld funktioniert der herkömmliche Ansatz, einem Teammitglied nach einer simplen Anmeldung per User-ID und Passwort prinzipiell zu vertrauen und ohne weitere Prüfung Zugriff auf alle relevanten Ressourcen im Firmennetz zu gewähren, nicht mehr – egal, ob es im internen Netz oder aus der Ferne via VPN-Verbindung angemeldet ist. Die Tage des impliziten Vertrauens sind gezählt.
Unter dem Begriff Zero Trust hat sich in den letzten Jahren ein neuer Ansatz etabliert, der das implizite Vertrauen vollständig eliminiert. In einer Zero-Trust-Umgebung wird jeder Zugriff auf Unternehmensressourcen und überhaupt jede digitale Interaktion in allen Phasen kontinuierlich verifiziert und nötigenfalls unterbunden. Dies gilt nicht nur für die Zugriffskontrolle der Benutzer, sondern für alles – von Anwendungen, Cloud-Diensten, Microservices und der gesamten Infrastruktur über die Geräte der Benutzer, Cloud- und IoT-Ressourcen bis hin zu den in der Lieferkette genutzten Ressourcen.
Man kann es so sehen, dass eigentlich jedes Unternehmen nicht umhinkommt, mit Zero Trust zu arbeiten. Denn erfolgreiche Ransomware-Angriffe, immer wieder gemeldete Daten-Leaks oder per Phishing erlangte und im Darknet verkaufte persönliche Informationen zeigen überdeutlich, dass herkömmliche Sicherheitsmassnahmen nur noch begrenzten Nutzen bringen.
Unter dem Begriff Zero Trust hat sich in den letzten Jahren ein neuer Ansatz etabliert, der das implizite Vertrauen vollständig eliminiert. In einer Zero-Trust-Umgebung wird jeder Zugriff auf Unternehmensressourcen und überhaupt jede digitale Interaktion in allen Phasen kontinuierlich verifiziert und nötigenfalls unterbunden. Dies gilt nicht nur für die Zugriffskontrolle der Benutzer, sondern für alles – von Anwendungen, Cloud-Diensten, Microservices und der gesamten Infrastruktur über die Geräte der Benutzer, Cloud- und IoT-Ressourcen bis hin zu den in der Lieferkette genutzten Ressourcen.
Man kann es so sehen, dass eigentlich jedes Unternehmen nicht umhinkommt, mit Zero Trust zu arbeiten. Denn erfolgreiche Ransomware-Angriffe, immer wieder gemeldete Daten-Leaks oder per Phishing erlangte und im Darknet verkaufte persönliche Informationen zeigen überdeutlich, dass herkömmliche Sicherheitsmassnahmen nur noch begrenzten Nutzen bringen.