eR 03/23

EINKOMMENSSCHUTZ

EINKOMMENSSCHUTZ MANAGEMENT Cybersicherheit: Zero-Trust-Konzept läutet einen Paradigmen-Wechsel ein Ein gesundes Misstrauen ist Pflicht „Vertraue niemals, überprüfe immer“: Zero Trust stellt den Ansatz hinter traditionellen Sicherheitsstrukturen auf den Kopf, denn jeder Benutzer wird genauestens überprüft, bevor er überhaupt Zugriff auf eine Ressource bekommt. Aber was sind die Best Practices bei der Implementierung von Zero Trust und wie hängt es mit dem Prinzip des geringsten Privilegs zusammen? Sebastian Ganschow Director of Cybersecurity Solutions NTT Ltd. in Deutschland Moderne Unternehmen werden zunehmend mobil: Die Mitarbeitenden greifen über die unterschiedlichsten Geräte von außerhalb des Firmennetzwerks auf Anwendungen und Cloud-Services zu. Nach wie vor verfolgen die meisten Organisationen jedoch das Prinzip „Erst bestätigen, dann vertrauen“. Das heißt, wenn jemand die richtigen Nutzeranmeldedaten hat, darf er auf die Website, die App oder das Gerät zugreifen. Dies führt allerdings zu erhöhten Sicherheitsrisiken durch Datendiebstahl, Malwareund Ransomware-Angriffe. Heutzutage muss der Schutz innerhalb digitaler Infrastrukturen dort ansetzen, wo sich Anwendungen, Daten, Nutzer und Geräte befinden. Hier kommt das Zero-Trust- Konzept ins Spiel. NTT erklärt, was darunter zu verstehen ist und wie die neue Architektur am besten umgesetzt wird. Was unterscheidet Zero Trust von herkömmlichen Sicherheitsarchitekturen? Bei Zero Trust handelt es sich nicht um ein Produkt oder eine Dienstleistung von der Stange, sondern um einen Ansatz beim Entwerfen und Implementie- 56 03-23 | expertenReport

Bild: © Gorodenkoff – stock.adobe.com ren der folgenden Sicherheitsprinzipien: explizite Verifizierung, Beschränkung der Zugriffsrechte inklusive risikobasierter, adaptiver Richtlinien sowie Minimierung der Auswirkungen, wenn es dann doch zu einem Sicherheitsvorfall kommt. Anstatt zu glauben, dass alles hinter der Firewall sicher ist, wird beim Zero-Trust-Modell standardmäßig von einer Sicherheitsverletzung ausgegangen und jede Anforderung so überprüft, als stamme sie von einem nicht kontrollierten Endgerät. Bei der Implementierung eines entsprechenden Frameworks kommen Technologien wie risikobasierte Multi-Faktor-Authentifizierung, Identitätsschutz, Endgerätesicherheit der nächsten Generation sowie robuste Cloud-Workload-Technologie zum Einsatz, um die Benutzer- oder Systemidentität zu überprüfen, den Zugriff zum jeweiligen Zeitpunkt abzuwägen und so die Sicherheit aufrechtzuerhalten. Darüber hinaus werden auch Überlegungen hinsichtlich der Verschlüsselung von Daten sowie der Kontrolle der IT-Hygiene von Assets und Endgeräten angestellt, bevor eine Verbindung zugelassen wird. Worauf müssen Unternehmen bei der Umsetzung achten? Die Implementierung einer Zero-Trust-Architektur lässt sich nicht an einem Tag realisieren. Zero Trust ist ein Framework, das viele Formen annehmen kann und dessen erfolgreiche Umsetzung etwas Zeit in Anspruch nimmt. Entscheidend ist eine gute Planung: Bei der Entwicklung müssen Sicherheits- und IT-Teams strategisch denken: Was soll geschützt werden und vor wem soll es geschützt werden? Die konkrete Gestaltung der Architektur hängt von den Antworten auf diese beiden Fragen ab. Entsprechend hat sich der Ansatz am effektivsten erwiesen, die gewählte Zero- Trust-Strategie – und nicht etwa die Technologien und Prozesse – als Grundlage zu betrachten, auf der die Sicherheitsarchitektur aufbaut. Sind die bisherigen Investitionen damit umsonst gewesen? Unternehmen haben im Laufe der Jahre teils erhebliche Summen in IT-Sicherheit investiert. Für die Implementierung einer Zero-Trust-Architektur ist es keineswegs erforderlich, vorhandene Technologien vollständig zu ersetzen oder enorme Investitionen in neue Technologien vorzunehmen. Stattdessen sollten sie bei der Planung bereits vorhandene Sicherheitspraktiken und -tools einbeziehen. Viele Organisationen verfügen bereits über die notwendige Basis für eine Zero-Trust-Architektur. Das umfasst unter anderem Identitäts- und Zugriffsmanagement, Autorisierung, automatisierte Richtlinienentscheidungen, Patching von Ressourcen, kontinu- ierliches Monitoring durch Protokollierung und Analyse von Transaktionen, weitestgehende Automatisierung von wiederholbaren, fehleranfälligen Aufgaben sowie Verhaltensanalysen und »Eine hundertprozentige Sicherheitsstrategie gibt es nicht und Datenpannen werden sich nie vollkommen verhindern lassen. In der Praxis hat sich Zero Trust deshalb als eine der effektivsten verfügbaren Strategien bewährt [...].« Threat Intelligence für einen besseren Schutz von Assets. Darauf aufbauend wird eine umfassende Zero-Trust-Architektur realisiert. „Eine hundertprozentige Sicherheitsstrategie gibt es nicht und Datenpannen werden sich nie vollkommen verhindern lassen. In der Praxis hat sich Zero Trust deshalb als eine der effektivs- ten verfügbaren Strategien bewährt“, erklärt Sebastian Ganschow, Director of Cybersecurity Solutions bei NTT Ltd. in Deutschland. „Zwar ist der Aufbau einer Zero-Trust-Architektur sicherlich kein Projekt, das sich nebenher umsetzen lässt. Es lohnt sich aber. Bei korrekter Implementierung können Eindringlinge effizienter erkannt sowie abgewehrt werden. Im Kampf gegen aktuelle Bedrohungen, bei denen herkömmliche IT-Sicherheitskonzepte inzwischen massiv an ihre Grenzen stoßen, ist das ein entscheidender Pluspunkt.“ expertenReport | 03-23 57