Die Ironie von Zero Trust

Autorin: Kris Lovejoy, Kyndryl Global Security and Resilience Leader

„Zero Trust“ ist eines der am wenigsten verstandenen, aber dennoch in Mode gekommenen Schlagworte im Bereich der Cybersicherheit. Blickt man auf die letzten Jahre zurück, ist es leicht zu verstehen, warum: Vertrauen ist heute ein knappes Gut. Von der exponentiellen Zunahme von Ransomware- und Kryptojacking-Angriffen bis hin zu den derzeitigen geopolitischen Krisen – es sind unsichere und beunruhigende Zeiten. Auch, wenn es um die Führung eines Unternehmens geht. Daher ist es nicht verwunderlich, dass das Konzept und die damit einhergehenden Implikationen viele Unternehmen ansprechen.

Die Ironie dabei: Zero Trust selbst basiert grundsätzlich auf Vertrauen.

Was genau bedeutet also „Zero Trust“?

Die Triebkräfte des aktuellen Cybersecurity-Hypes mögen relativ neu sein – von einem Boom bei der Verteilung von Arbeitskräften bis hin zu einer Entwicklung hin zu hybriden Cloud-Infrastrukturen. Der Begriff „Zero Trust“ selbst ist jedoch nicht neu. Er wurde erstmals 1994 geprägt und später vom ehemaligen Forrester-Analysten John Kindervag zu einer ganzheitlichen Sicherheitsphilosophie weiterentwickelt, die unter dem Deckmantel der „Deny by Default“- oder „Never Trust, Always Verify“-Richtlinien in der Branche die Runde gemacht hat.

Einfach ausgedrückt: Es handelt sich um eine Sicherheitsstrategie. Im weiteren Sinne um eine unternehmensweite Sicherheitseinstellung, die alle Endpunkte und Konten als nicht vertrauenswürdig betrachtet. Während andere Sicherheitssysteme – wie die früher bevorzugte Perimeter-Philosophie – nur eine standortbasierte oder Zwei-Faktor-Authentifizierung erfordern, wird Benutzern und Anwendungen bei Zero Trust nur dann und dort Zugang gewährt, wo sie ihn benötigen.

Mit anderen Worten: Durch die standardmäßige Verweigerung des Zugriffs erzwingt ein Zero-Trust-Ansatz ein dynamisches und kontinuierliches Überprüfungssystem für Benutzer und ihre Geräte. In der heutigen Zeit, in der Datenschutzverletzungen nicht mehr eine Frage des „ob“, sondern des „wann“ sind, können Unternehmen mit einem Zero-Trust-Ansatz ihre Daten besser schützen und die potenziellen Auswirkungen eines Angriffs minimieren, während gleichzeitig eine lokalisierte, schnelle Reaktion möglich ist.

Eine Analogie: Das Zero-Trust-Hotel

Stellen Sie sich vor, das Netzwerk Ihres Unternehmens ist ein Hotel, in dem der Zugang zu den Zimmern über einen Kartenschlüssel geregelt ist. Wenn Besucher früher in dieses Hotel – nennen wir es Perimeter-Hotel – eincheckten, mussten sie einen kurzen Prozess der Identitätsprüfung durchlaufen, bevor sie ihren Kartenschlüssel erhielten. Mit dem Kartenschlüssel in der Hand hatten sie dann mehr oder weniger freien Zugang zu allen Zimmern des Hotels, mit Ausnahme derjenigen, die speziell verschlossen waren.

Wenn Besucher im Zero-Trust-Hotel einchecken, kehrt sich die Situation jedoch um. Selbst nach dem sehr viel gründlicheren Check-in-Verfahren des Hotels dient der Kartenschlüssel des Besuchers nicht mehr als Zugangskarte. Diesmal ist jede einzelne Tür für ihn verschlossen, mit Ausnahme derjenigen, die speziell aufgeschlossen wurden. Er kann zwar den Zutritt zu einigen dieser unverschlossenen Türen verlangen, doch wird ihm dieser nur dann gewährt, wenn er ihn unbedingt benötigt.

Im Zero-Trust-Hotel hat der Kartenschlüssel sogar noch weniger Macht. Hier erhalten die Besucher Zugang, indem sie sich anhand vieler verschiedener Faktoren verifizieren, die alle wesentlich präziser sind als das kleine Rechteck aus Plastik, das so leicht verloren geht oder gestohlen werden kann. Das wiederum erspart dem Besucher die Zeit, in seinem Gepäck nach dem lästigen Kartenschlüssel zu suchen. Und es gibt ihm die Gewissheit, dass das Zimmer, das er betritt, genau das ist, das er betreten muss.

Der Hotelbesitzer kann beruhigt schlafen, denn er weiß, dass sein Haus so sicher wie möglich ist, während er gleichzeitig seinen Betrieb aufrechterhalten kann.

Die größte Ironie von Zero Trust

Damit eine Zero-Trust-Architektur funktioniert, muss ein Unternehmen absolutes Vertrauen in das System selbst setzen können. Mit anderen Worten: in das Sicherheits-Framework für die Überprüfung, Überwachung und Datenspeicherung, welche diesen umfassenden Ansatz ausmachen.

Bei Kyndryl betrachten wir Zero Trust als fünf integrierte Sicherheitssäulen: Identität, Gerät, Netzwerk, Anwendung und Daten. In den meisten Unternehmen sind die Cybersicherheitssysteme isoliert. Eine Abteilung kümmert sich um die Identitätsüberprüfung, eine andere um die Endpunktsicherheit, wieder eine andere um die Firewall und so weiter. Mit Zero Trust wird Sicherheit zu einem integrierten 360-Grad-System, bei dem die Kommunikation und Zusammenarbeit zwischen diesen Säulen oder Abteilungen entscheidend ist und Identitäten, Passwörter und Netzwerkressourcen in vertrauenswürdigen Repositories zentralisiert werden.

Nur in der Theorie einfach

Ein Teil der Schwierigkeit besteht darin, dass Zero Trust ein grundlegendes Umdenken im Bereich der Sicherheit auf organisatorischer Ebene erfordert. Der erste Schritt besteht darin, diesen Ansatz nicht mehr als eine Richtlinie oder als ein Produkt aus einer Hand zu betrachten. Stattdessen sollte es als ein dynamischer und sich entwickelnder Sicherheitsprozess ohne festen Endpunkt verstanden werden.

Dies ist eine der größten Herausforderungen für das System. Es ist aber auch einer der größten Vorteile von Zero Trust. Durch die Annahme dieser risikobasierten und anpassungsfähigen Politik sind Unternehmen in der Lage, eine Reihe von Sicherheitspraktiken zu entwickeln, die speziell auf ihre Bedürfnisse zugeschnitten sind.

Dieser Beitrag von Kris Lovejoy erschien zuerst auf Englisch auf LinkedIn.