Bei Zero Trust spielt Vertrauen gar keine Rolle

Spätestens seit 2020 stehen IT-Sicherheitsverantwortliche unter erhöhtem Druck: Zum einen haben sich im Zuge der Pandemie die Arbeitsbedingungen rund um den Globus verändert, Remote- und Hybrid-Work-Szenarien sind alltäglich geworden. Zum anderen ist die Zahl der Cyberangriffe explodiert. Angriffe mit Erpressersoftware sind für Cybergangster auf der ganzen Welt interessant, hat doch Ransomware erstmals ein wirklich lukratives Geschäftsmodell hervorgebracht.

Verantwortliche für Cybersicherheit sind gezwungen zu reagieren. Große Hoffnungen wurden zuletzt in den Zero-Trust-Ansatz gesetzt, der den besten Schutz vor Bedrohungen zu ermöglichen scheint. Fakt ist aber, dass es viel Verwirrung darüber gibt, was Zero Trust eigentlich ist und wie der Ansatz am besten umgesetzt werden kann.

Treffender als Zero Trust wäre "One-to-One-Sicherheitszugang"

Der Begriff Zero Trust klingt erstmal negativ: "Vertraue niemandem". Treffender wäre eine Bezeichnung wie One-to-One-Sicherheitszugang. Erforderlich ist nämlich, dass Unternehmen von einem netzwerk- zu einem endpunktbasierten Zugangsmodell wechseln, um eine strenge Zugriffskontrolle für alle Endpunkte zu erzwingen - unabhängig davon, ob es sich um ein Endgerät, einen vernetzten Gegenstand oder eine Anwendung handelt.

Bei One-to-One-Sicherheit (oder Zero Trust) spielt Vertrauen in Wirklichkeit keine Rolle. Es ist nicht notwendig, da jede Verbindung neu ist. Jeder Zugriffsversuch wird anhand von Richtlinien streng darauf kontrolliert, dass er nur mit den minimal notwendigen Rechten erfolgen kann - nach dem Least-privilege-Prinzip. Klingt nicht freundlich, ist aber vernünftig. Anwendungen, Systeme oder vernetzte Geräte erhalten nur die Berechtigungen, die sie brauchen, um eine bestimmte Aufgabe ausführen zu können.

Zero Trust führt dazu, dass Mitarbeitende und Kunden von überall aus sicherer arbeiten können. Die Wahrscheinlichkeit, dass ein Endgerät mit Malware infiziert wird, sinkt, und wenn es doch geschieht, wird sich Schadsoftware nicht beliebig ausbreiten können. Der Schaden bleibt begrenzt. Unternehmen können also mit der Gewissheit arbeiten, dass jeder Zugriff geschützt ist, egal wo sich die Mitarbeitenden aufhalten oder wo sich eine adressierte Anwendung oder ein Gerät befindet.

One-to-One- oder Zero-Trust-Sicherheit überwacht alle Verbindungen auf der Grundlage der Identität der Endpunkte und der Richtlinien, die den Zugriff regeln. Diese Eins-zu-Eins-Übereinstimmung gewährleistet die Sicherheit für alle. Alle Verbindungen laufen weiterhin über das Netzwerk, aber sie folgen einer strikten Route, die sie zu der genutzten Anwendungen führt - und nirgendwo sonst hin. Es gibt keine Möglichkeit, von diesem Kurs abzuweichen.

Zero Trust betrifft das Netzwerk - aber nicht nur

Zero-Trust-Sicherheit betrifft nicht nur das Netzwerk, sondern auch Server und Anwendungen. Durch die Festlegung strenger Regeln für die Kommunikation zwischen Servern und Anwendungen werden Seitwärtsbewegungen (Lateral Movement), die nicht ausdrücklich autorisiert sind, unterbunden, was die Ausbreitung von Cyberangriffen und damit größere Schäden verhindert. Natürlich bleibt das Netzwerk die Grundlage für den Datentransfer, aber die Anfälligkeit für Sicherheitsverletzungen wird durch den Zero-Trust-Ansatz reduziert und die Verbreitung von Malware eingeschränkt. Zudem ist es möglich sein, äußerst feingranulare Regeln festzulegen.

Um Zero Trust - beziehungsweise sichere One-to-One-Konnektivität - zu ermöglichen, gibt es eine Menge zu tun, und viele Unternehmen wissen gar nicht, wo sie anfangen sollen. Mit Sicherheit ist es keine schlechte Idee, mit der Multi-Faktor-Authentifizierung (MFA) zu beginnen - idealerweise ganz unter Verzicht von Passwörtern. Die sofortige Umstellung aller Systeme und Anwendungen auf MFA ist allerdings wenig praktikabel. Es bietet sich daher an, MFA als erstes für das Single Sign-On (SSO) zu implementieren. So lässt sich ein schneller Erfolg verbuchen (siehe auch: Die größten Lücken im MFA-Schutz).

Die meisten Unternehmen haben bereits einige Anwendungen hinter einem SSO-Zugang gebündelt, so dass MFA einen einfachen und sicheren Zugang zu diesen Apps in einem Schritt ermöglicht. Zugleich können sich die Teams auf diesem Wege mit der Implementierung der MFA-Lösung vertraut machen und Endbenutzer sich an die Anwendung gewöhnen.

Wenn das geschafft ist, sollte die gesamte IT-Landschaft beleuchtet werden. Es gilt, die verbleibenden MFA-Implementierungen nach der Kritikalität zu priorisieren - nach dem Umfang der zu schützenden Anwendungen und Systeme, vor allem aber nach ihrer Bedeutung. Dieses Vorgehen hilft, die MFA-Migration in überschaubare Schritte zu unterteilen und sicherzustellen, dass die wertvollsten Ressourcen zuerst geschützt werden. Für viele Unternehmen ist die Integration des VPN ein besonders wichtiger Kandidat für die MFA-Integration, da viele Angriffe damit beginnen, dass eine schwache VPN-Authentifizierung ausgenutzt wird.

Nutzen Sie FIDO2 mit mobilen Geräten

Kann die Mehrfaktor-Authentifizierung mit mobilen Endgeräten statt mit physischen Token erfolgen, wird vieles einfacher. Normalerweise haben alle Mitarbeitenden bereits ein Smartphone, so dass der Aufwand für das Einführen und Verwalten von Token entfällt. Darüber hinaus ist eine Push-basierte MFA für mobile Geräte besonders einfach zu bedienen, und moderne Lösungen machen es Usern auch nicht besonders schwer, ihre Geräte zu registrieren. Der Helpdesk hat also kaum Aufwand.

Die gewählte MFA-Lösung sollte die neuere FIDO2-MFA-Sicherheitstechnologie nutzen, die unter anderem von Google, Apple und Microsoft aus der Taufe gehoben wurde. Sie beschert Unternehmen nicht nur optimale Sicherheitsvorkehrungen, sondern bietet auch einen hohen Komfort durch reibungslose mobile Push-Benachrichtigungen. Flexible MFA-Lösungen sind auch in der Lage, mobile Endgeräte und physische Token gleichermaßen einzubinden, sofern das nötig sein sollte.

IT-Sicherheitsinitiativen sind dann erfolgreich, wenn die Endbenutzer sie akzeptieren und annehmen. Deshalb sollte die Einführung von MFA mit Schulungen und Sensibilisierungskampagnen rund um Cybersicherheit kombiniert werden. Es gilt, die Beschäftigten in die Verwendung von MFA einzuführen und ihnen den Zusammenhang in der umfassenderen Zero-Trust-Architektur zu erläutern.

Um authentifizierte Benutzer mit den Richtlinien zu verknüpfen, die ihnen Zugriff auf bestimmte Daten zu ermöglichen, ist das Identity and Access Management (IAM) besonders wichtig. Wir empfehlen, sich auf das Identitätsmanagement zu konzentrieren - entweder parallel zur MFA-Einführung oder kurz danach. Ein starkes IAM mit FIDO2-basiertem MFA wird in Zukunft die Grundlagentechnologie sein, auf der zusätzliche Sicherheitstechnologien am effektivsten eingesetzt werden kann (siehe auch: Die 9 besten IAM-Tools). (hv)

Dieser Kommentar ist zuerst bei unserer US-Schwesterpublikation CSO erschienen. Wir veröffentlichen ihn hier in einer gekürzten Version.