Zero-Trust, also Null-Vertrauen, klingt im ersten Moment vielleicht etwas radikal, insbesondere wenn man es im privaten Rahmen betrachtet. Doch in der IT-Sicherheit ist ein Zero-Trust-Modell ein enormer Vorteil und überaus interessant für Sie und Ihr Unternehmen. Es kann als hilfreiches Modell dienen, sowohl jetzt als auch in der Zukunft.
Das Zero-Trust-Modell beschreibt eine besondere Art der Informationssicherheit. Jeder Endpunkt wird, unabhängig von der Vertrauensstufe oder Identität, gleichwertig behandelt und anfänglich mit Vorsicht bedacht. Die gesamte Kommunikation wird somit zunächst einmal geprüft und alle Benutzer als potenzielle Bedrohung eingestuft. Jeder Netzwerkzugriff wird mehrfach geprüft, bevor der Zugang autorisiert wird.
Wirklich bekannt wurde das Modell erstmals, als Google 2009 die Zero-Trust-Architektur BeyondCorp als Reaktion auf die Operation-Aurora-Cyberangriffe entwickelte. Anfänglich nutzte Google es nur intern, begann jedoch 10 Jahre später auch damit, die Technologie ebenfalls für seine Google Workspaces zu implementieren.
Das Zero-Trust Informationssicherheitsmodell vertraut wie gesagt keinem Benutzer blind. Dabei ist es wichtig, dass sowohl die User, als auch ihre verwendeten Geräte ausnahmslos ohne Anmeldeinformationen identifiziert werden können. So entsteht ein besonders hohes Mass an Sicherheit – Ihre Unternehmensdaten sind jederzeit gesichert und können nicht durch Hacking an einzelnen Punkten kompromittiert werden.
Besonders sicherheitsrelevant ist das Zero-Trust-Modell bei komplexen IT-Umgebungen mit dynamischen Workflows. In Zeiten von Homeoffice und hybridem Arbeiten werden Multi-Cloud- und Hybrid-Cloud-Deployments immer häufiger von Unternehmen genutzt. Mitarbeitende verwenden zuweilen sogar ihre privaten Endgeräte, um auf Cloud-Anwendungen und Unternehmensdaten zuzugreifen – eine erhöhte Sicherheit zur Verhinderung von Datenleaks ist daher dringend notwendig.
Traditionelle Netzwerk-Architekturen drücken da schon einmal ein Auge zu und gehen eher davon aus, dass alle Nutzer und Geräte innerhalb des Netzwerks auch autorisiert sind sowie gute Absichten verfolgen. Das Zero-Trust-Modell ist dabei skeptischer. Es checkt jede einzelne Nutzeridentität im Netzwerk auf ihr potenzielles Risiko. “Jeden prüfen, niemandem vertrauen” lautet hier die Devise.
Bei der Gestaltung der IT-Infrastruktur des Unternehmens sind die folgenden vier Aspekte zu berücksichtigen, um ein Zero-Trust-Netzwerk aufzubauen:
Design-Überlegungen wie diese sollten bereits im Vorhinein ausformuliert werden, um das Zero-Trust-Modell genau auf die Verhaltensmuster und Anforderungen des Unternehmensnetzwerks anzupassen.
Man kann die Zero-Trust-Sicherheitsstrategie als vorsichtigen Skeptiker bezeichnen. Sie wurde entwickelt, um einem blinden, implizierten Vertrauen gegenüber Mitarbeitenden und Partnern entgegenzuwirken. Stattdessen soll mit mehr Bedacht sowie Sorgfalt agiert werden. Zero-Trust-Modelle konzentrieren sich sowohl auf die Prävention, als auch auf die Erkennung von Cyberangriffen. Zentrales Element sind dabei eine Reihe von Identitäts- und Zugriffskontrollen wie Multi-Faktor-Authentifizierung und starke Verschlüsselungen.
Darüber hinaus ist eine Access Control List (ACL) empfehlenswert – eine Software-Technik, mit der die Zugriffe auf Daten und Funktionen eingegrenzt werden. Im Unterschied zu den gewöhnlichen Zugriffsrechten kann man ACLs feiner definieren und damit den vierten Aspekt zum Aufbau eines Zero-Trust-Netzwerks umsetzen. Dabei ist es jedoch wichtig zu bedenken, dass man sich nicht ausschliesslich auf die ACL verlassen sollte. Das Zero-Trust-Modell umfasst weitaus mehr Sicherheitsbestimmungen.
Die Zero-Trust-Security als eine Art der Sicherheitsstrategie ist ein essenzieller Bestandteil des Risikomanagements und des Notfallkonzepts Ihres Unternehmens. Hiermit schützen Sie nicht nur Ihre eigene Organisation, sondern auch sensible Kundendaten und Informationen Ihrer Partner.
Das hier aufgezeigte Modell besticht nicht nur durch ein hohes Sicherheitsversprechen, sondern ist zugleich auch ziemlich komplex. Das ist gut für Ihre Sicherheit, kann in ihrem Umfang jedoch auch herausfordernd sein.
Als versierter Dienstleister für IT-Sicherheit kann Dinotronic Sie und Ihr Unternehmen beim Aufbau Ihres eigenen Zero-Trust-Modells betreuen. Dafür bieten wir unseren Managed Workplace Service an, bei welchem wir Sie Schritt für Schritt in der Einführung Ihres Informationssicherheitsmodells unterstützen. Massgeschneiderte Systeme, speziell für Ihr Unternehmen – mittels Cloud und Managed Services erhalten Sie einen vordefinierten Werkzeugkasten und können je nach Bedarf die Sicherheit erhöhen und an Ihr Unternehmen anpassen.