Wie Zero Trust die IT-Sicherheit erhöht

Im Rahmen des aktuellen European Cyber Security Month geht klar hervor: Die Cybersicherheit in Unternehmen ist wichtiger denn je und Cyberangriffe sind zu einer der größten Bedrohungen für Unternehmen weltweit geworden. Eine Möglichkeit, die IT-Sicherheit zu erhöhen, stellt der Ansatz der Zero Trust Security dar. Erfahren Sie, was hinter diesem Konzept steckt, welche Vorteile es bietet und wie Firmen es praktisch umsetzen.

25. Oktober 2022

|

Lesedauer: ca. 3 Min.

Wie Zero Trust die IT-Sicherheit erhöht

Bild: © denisismagilov/stock.adobe.com

Der klassische IT-Sicherheitsansatz, der die Unternehmensgrenzen schützt, setzt auf eine Aufteilung des Netzwerks in verschiedene Bereiche. Dieses perimeterbasierte Sicherheitskonzept baut darauf auf, dass allem innerhalb des Unternehmensnetzwerks vertraut werden kann – und steht damit im völligen Kontrast zum Zero Trust-Prinzip. Das Konzept hinter Zero Trust ist es, niemandem zu vertrauen. Egal, ob innerhalb oder außerhalb des Netzwerks – sämtliche Anwender und Anwendungen müssen verifiziert und der Datenverkehr verschlüsselt werden. Berechtigungen werden nur erteilt, wenn der Zugriff konkret erforderlich ist.

Da sich ein traditionelles perimeterbasiertes Sicherheitskonzept und der Zero Trust-Ansatz grundlegend voneinander unterscheiden, können Unternehmen nicht von heute auf morgen auf Zero Trust-Security umsteigen. Der Wechsel gelingt nicht einfach nur durch den Kauf eines einzelnen Produkts, vielmehr steckt eine komplette Neuausrichtung des Sicherheitsprinzips dahinter.

Wie funktioniert ein Zero Trust-Netzwerk?

Traditionell wurden Netzwerkperimeter gesichert, indem die Benutzeridentität nur beim ersten Betreten einer Umgebung durch einen Benutzer oder ein Gerät überprüft wurde. Im Gegensatz dazu lautet die Philosophie bei Zero Trust: „Vertraue nie, überprüfe immer“. Aus diesem Grund werden Netzwerke um “Mikroperimeter” herum aufgebaut, von denen jeder seine eigenen Authentifizierungsanforderungen hat.

Mikroperimeter umgeben bestimmte Assets wie Daten, Anwendungen und Services. Über Segmentierungsgateways wird die Authentifizierung nicht nur durch die Benutzeridentität, sondern auch durch Parameter wie Gerät, Standort, Zeitstempel, letzte Aktivität und Beschreibung der Anforderung definiert. Diese komplexen Authentifizierungen sind sicherer und können passiv im Hintergrund erfolgen.

Das Unternehmen kann dabei eng definierte Authentifizierungsregeln erstellen, die das Netzwerk vor nicht autorisierten Benutzern schützt. Authentifizierte Benutzer erhalten nur die spezifischen Berechtigungen, die sie unmittelbar benötigen. Dieses Vorgehen stellt sicher, dass sich Angreifer – selbst wenn sie Zugang bekommen – nicht frei in der Netzwerkumgebung bewegen können.

Was sind die Vorteile?

Durch das Zero Trust-Netzwerk ergeben sich drei entscheidende Vorteile im Vergleich zu einem perimeterbasierten Sicherheitskonzept:

  • Mehr Sicherheit: Angreifer nutzen häufig den Zugriff genehmigter Benutzer, bevor sie sich seitlich im Netzwerk bewegen, um Zugang zu den Zielressourcen zu erhalten. Durch das Zero Trust-Prinzip wird dieser Zugriff stark eingeschränkt.
  • Verwaltung breiter Infrastrukturen: Die Netzwerkinfrastruktur ist komplexer geworden mit Daten, Anwendungen und Ressourcen, die über viele Cloud- und Hybrid-Umgebungen verteilt sind. Auch die Benutzer arbeiten von vielen Standorten aus, sodass ein einheitlicher Perimeter schwer zu definieren und zu schützen ist. Sinnvoller ist hier ein umfassenderer Ansatz, der die individuellen und komplexen Unternehmensstrukturen berücksichtigt.
  • Lückenloser Ansatz: Bislang haben Unternehmen Sicherheitslösungen übereinander geschichtet, um Angreifer abzuwehren. Mit der Zeit können so jedoch Sicherheitslücken entstehen, die Angreifer ausnutzen. Mit Zero Trust ist die Sicherheit in allen Netzwerken besser integriert, sodass keine Lücken entstehen.

Wie lässt sich ein Zero Trust-Netzwerk umsetzen?

Für Unternehmen bedeutet die Umsetzung von Zero Trust einen maßgeblichen Aufwand, da alle Bereiche der IT betroffen sind. So müssen sämtliche Benutzer, Geräte und Anwendungen erfasst und kontrolliert werden. Die neuen Sicherheitsansätze können u.a. mit Hilfe des folgenden Prozesses in die bestehende Infrastruktur integriert werden:

  • Identifizieren der relevanten Assets
  • Überprüfen von Geräten und Benutzern
  • Definieren und Automatisieren von Richtlinien
  • Kontinuierliches Testen und Überwachen der Netzwerkumgebung

Cisco Duo als Beispiel für eine Zero Trust-Plattform

Cisco Duo ist eine benutzerfreundliche Sicherheitsplattform, mit der das Zero Trust-Prinzip im Unternehmen umgesetzt werden kann. Es bietet kleinen und großen Unternehmen umfassenden, skalierbaren Schutz vertraulicher und sensibler Daten für alle Benutzer, Geräte und Anwendungen.

So ermöglicht die Lösung u.a. Benutzeridentitäten unkompliziert zu bestätigen, den Zustand von Geräten zu verfolgen oder maßgeschneiderte Sicherheitsrichtlinien festzulegen.

Die Features im Überblick

  • Multi-Faktor-Authentifizierung (MFA): MFA ist die Grundlage für Zero Trust und dient dazu, die Identität der Benutzer zu verifizieren, bevor diese auf Daten zugreifen. Mit mehreren Zwei-Faktor-Authentifizierungsoptionen, wie Duo Push mit einem Tastendruck, können sich Benutzer schnell und einfach authentifizieren.
  • Geräteüberprüfung: Mit Cisco Duo wird der Zustand jedes Geräts im Unternehmensnetzwerk in Echtzeit überprüft. Zusätzliche Software ist nicht erforderlich.
  • Adaptive Zugriffsrichtlinien: Unterschiedliche Benutzer erhalten genau den Zugriff, den sie benötigen. Mit den erweiterten Funktionen zur Durchsetzung von Richtlinien können Sicherheitsanforderungen auf Benutzer-, Geräte- und Anwendungsebene definiert werden. Dies erfolgt auf Basis von Kontextfaktoren wie Standort oder Aktualisierungsstatus.
  • Single Sign-On (SSO): Duo SSO bietet Benutzern sicheren Zugriff auf alle geschützten Anwendungen (On Premise oder Cloud-basiert) über ein einheitliches, reibungsloses Interface, das von überall zugänglich ist.

Bei der Einführung von Cisco Duo unterstützt CANCOM umfassend. Nähere Informationen zu Cisco Duo und weiteren Security-Lösungen des Herstellers sowie zu den Leistungen von CANCOM finden Sie auf der exklusiven Themenseite.

Mehr zum Thema „IT-Security“

backup-cyberbedrohungen
Verteidigungslinie Backup: Schutz vor Cyberbedrohungen

Wie Firmen ihre Backup-Systeme mit den richtigen Strategien und Technologien vor Ransomware-Angriffen schützen können, lesen Sie hier.

Lesedauer: 5 Min.

Die Entzauberung des Passwort-Mythos
Die Entzauberung des Passwort-Mythos

Unsere Experten Marcel Reifenberger und Callum Butler geben Ihnen Tipps, wie Sie Ihre Systeme sicher machen – und räumen dabei mit gängigen Kennwort-Klischees auf.

Lesedauer: 4 Min.

Richard Werner (Trend Micro) auf der it-sa 2019: „Patch Management ist das A und O.“
Richard Werner (Trend Micro) auf der it-sa 2019: „Patch Management ist das A und O.“

CANCOM-Partner Trend Micro verfolgte auf der it-sa 2019 in Nürnberg einen ganzheitlichen Ansatz, das weit über das Thema Cloud Security hinausging.

Lesedauer: 3 Min.