Die 8 wichtigsten Fragen an Zero-Trust-Anbieter

Die hybride Arbeitswelt, in der Mitarbeiter unterwegs sind, von zu Hause aus arbeiten und vielleicht ein- oder zweimal pro Woche ins Büro kommen, hat die Security-Anforderungen stark verändert. Sicherheitsteams müssen einen flexibleren Ansatz wählen, um Netzwerk, Identitäten und Authentifizierung zu verwalten.

Um diese Herausforderung zu meistern, setzen immer mehr Unternehmen auf das Prinzip des Zero Trust Network Access (ZTNA). Das Konzept ist relativ einfach: Anstatt eine mehrschichtige Perimeter-Verteidigung aus Firewalls, IDS/IPS und Antivirensoftware aufzubauen, geht Zero Trust davon aus, dass jeder Benutzer oder jedes Gerät nicht vertrauenswürdig ist, bis es ausreichend verifiziert ist.

Die Implementierung eines ZTNA kann jedoch komplex sein. Klar ist, dass es sich hier nicht um ein Produkt handelt, dass einfach von der Stange gekauft und über den Sommer eingeführt werden kann. Zero Trust ist ein Framework, dass viele Formen annehmen kann und dessen erfolgreiche Umsetzung viel Zeit und Mühe erfordert. Im Folgenden finden Sie eine Liste von Fragen, die Sie Anbietern stellen sollten, damit sie Ihr Unternehmen bei der Umsetzung der Zero-Trust-Prinzipien optimal unterstützen können.

1. Wie kann man die bestehende Sicherheits- und Netzinfrastruktur im Rahmen einer Umstellung auf ZTNA nutzen?

Unternehmen haben im Laufe der Jahre erhebliche Summen in Sicherheits- und Netzwerktechnik investiert. Eine der größten Herausforderungen bei der ZTNA-Umsetzung besteht darin, die vorhandene Technologie mit einzubeziehen. Die meisten Unternehmen verfügen bereits über Teile des ZTNA-Puzzles, sei es Identitätsmanagement, Zugriffskontrolle, Zwei-Faktor-Authentifizierung, Netzwerksegmentierung oder Richtlinienmanagement. Aber nur wenige haben alle Aspekte von Zero Trust in einer umfassenden, integrierten, skalierbaren und richtliniengesteuerten Weise umgesetzt.

"Unternehmen müssen sich nach einem Anbieter umsehen, der ihnen helfen kann, die Elemente zu identifizieren, die am einfachsten zu schützen sind, ohne die bestehende Infrastruktur des Unternehmens zu überarbeiten", sagt Tim Silverline, Vice President of Security bei Gluware, einem Anbieter von Netzwerkautomatisierung.

2. Welches Ziel möchte das Unternehmen mit Zero Trust erreichen und was kann der Anbieter dazu beitragen?

Suchen Sie nach Anbietern, die beim Thema Zero Trust nicht mit einem Vortrag über Technologie beginnen, sondern zunächst über die geschäftlichen Herausforderungen und angestrebten Vorteile informiert werden möchten.

David Berliner, Director of Security Strategy bei SimSpace, einem Unternehmen für Cyber-Risikomanagement, verweist darauf, dass zu den Zielen auch ein sicherer Zugriff für Remote-Mitarbeiter, der Schutz sensibler Daten vor Ort und in der Cloud oder die Verbesserung der API-Sicherheit für Softwareentwickler gehören kann.

3. Wie sieht der Plan für das Identitätsmanagement aus?

Nach Meinung des Security-Experten von Gluware, Tim Silverline, sollten ZTNA-Anbieter mit ihren Kunden auf Augenhöhe sprechen und anerkennen, dass die Anwendung von Identitätskontrollen in einem Unternehmensnetzwerk leichter gesagt als getan ist. Viele Unternehmen würden zum Beispiel die Anwendung eines granularen Identitätsmanagements in Szenarien wie dem Zugriff von Mitarbeitern auf Webanwendungen vernachlässigen.

"Es gibt derzeit zu viele Einzellösungen wie Web Application Firewalls, die versuchen, diese Lücken zu schließen, aber nicht gut genug integriert sind, um eine zentrale Lösung für alle Identitätsanwendungsfälle zu sein", betont der Experte.

Auf der anderen Seite würden reifere Sicherheitsorganisationen SOAR-Tools (Security Orchestration, Automation and Response) oder XDR (Extended Detection and Response) einsetzen, um die Komplexität der Integration so weit wie möglich zu verringern.

4. Wie kann der Anbieter dabei helfen, die Mitarbeiter und das Top-Management für Zero Trust zu gewinnen?

Den Jones, Chief Security Officer bei Banyan Security, rät Unternehmen, sich nach Anbietern umzusehen, bei denen die Usability im Vordergrund steht. Unternehmen müssten Zero Trust so benutzerfreundlich wie möglich gestalten, da die Mitarbeiter sonst einen Weg finden würden, die neuen Sicherheitskontrollen zu umgehen.

Ein Ansatz besteht darin, eine Authentifizierung auf Grundlage digitaler Zertifikate einzuführen und die lästigen Benutzernamen und Passwörter abzuschaffen. Wenn die Nutzer über die Cloud oder andere Internetanwendungen auf ihre Dienste zugreifen und dies auf eine Weise tun, die ohne Passwort auskommt und durch eine Zwei-Faktor-Authentifizierung unterstützt wird, werden sie eher weitere Schritte im Zero-Trust-Prozess akzeptieren.

Darüber hinaus weist Jones darauf hin, dass die obere Führungsebene diesen frühen Erfolg anerkennen wird und eher bereit ist, komplexere Zero-Trust-Projekte zu finanzieren, wie die Automatisierung der kontinuierlichen Überwachung der Benutzeraktivitäten im Netzwerk.

Der CSO empfiehlt IT-Führungskräften, die dem Top-Management Zero Trust erklären, es am besten einfach zu halten: "Die Leute wollen hören, dass Zero Trust weniger kostet, einfacher für die Benutzer ist und die allgemeine Sicherheit verbessert."

5. Wie hilft der Zero-Trust-Anbieter beim Schutz und der Verwaltung der Daten?

Dan Weiss, Senior Vice President für Anwendungs- und Netzwerksicherheitsdienste bei der Pen-Testing-Firma GRIMM, erklärt, da Unternehmen heute Remote- und Hybrid-Netzwerke betreiben, sei nicht nur die Sicherheit des Netzwerks entscheidend, sondern auch der Schutz der Daten.

Deshalb müssten Unternehmen zunächst eine Bestandsaufnahme durchführen, um herauszufinden, welche Daten das Unternehmen im Netzwerk hat, wo sie gespeichert sind und wie sie verfolgt werden, so Weiss. Anschließend sollten sie ermitteln, welche Datenbestände besonders sensibel sind, Richtlinien zur Datenklassifizierung aufstellen und die Verwaltung und Nachverfolgung der Bestände automatisieren.

6. Wie können granulare Zugangskontrollen für alle Endnutzer eingerichtet werden?

Um ZTNA zu implementieren, müssen Unternehmen die Rollen ihrer Endnutzer verstehen. Wer sollte sich anmelden und was sollte jedem Benutzer erlaubt werden? Ein Mitarbeiter der Debitorenbuchhaltung sollte beispielsweise nur einmal im Monat Zugang zu bestimmten Ordnern haben, wenn Rechnungen bezahlt werden.

"Der Sinn von Zero Trust besteht darin, dass Unternehmen erst dann Vertrauen fassen, wenn der Benutzer ausreichend verifiziert ist", erklärt der Sicherheitsexperte von GRIMM. "Sie müssen sicher sein, dass es sich um die richtige Person handelt, und dass sie das tut, was sie tun soll. Die Einrichtung und Durchsetzung der Zugriffskontrolle während der gesamten Benutzersitzung ist der Punkt, an dem viele Unternehmen scheitern", fügt er hinzu.

7. Wie unterstützt der Anbieter die Einrichtung von Mikrosegmenten?

Netzwerksegmentierung gibt es schon seit langem, aber Zero Trust geht noch einen Schritt weiter. Es bietet einen extrem granularen Ansatz, der als Mikrosegmentierung bezeichnet wird. Das bedeutet, in einem Zero Trust-Netzwerk können Unternehmen ein Segment um einen einzelnen Endpunkt oder einen einzelnen Server mit sehr eingeschränktem Zugriff erstellen. So könnte beispielsweise die Personalabteilung traditionell in einem eigenen Netzwerksegment untergebracht sein, während der Leiter der Personalabteilung nun über ein eigenes Segment mit genau definierten Firewall-Regeln verfügt, die festlegen, was er tun darf und was nicht.

Im Rahmen eines Mikrosegmentierungsansatzes könnte ein Mitarbeiter der Lohnbuchhaltung zwar auf die Gehaltsabrechnungs-App zugreifen dürfen, nicht aber auf die Gehaltsdaten. "Es ist sehr viel anspruchsvoller, was die Netzwerkkonfiguration und -kontrolle angeht", sagt Weiss.

8. Wie sieht die Richtlinie des Anbieters zur Meldung von Sicherheitsverletzungen aus, und gibt es einen Backup-Plan für den Fall, dass die Hauptplattform für das Identitätsmanagement ausfällt?

Vor zehn Jahren hätten Führungskräfte in Unternehmen diese Frage vielleicht noch nicht gestellt, aber nach dem jüngsten Vorfall bei Okta, einem der größten Identitätsanbieter, müssen Unternehmen wirklich aufpassen und den Anbieter fragen, was bei einem Notfall geschieht.

Unternehmenskunden sollten nicht nur an einen Ausfall denken, sondern auch an seine Folgen. Die wichtigsten Fragen hierzu lauten: Welche Systeme und Benutzer waren gefährdet? Welche Daten waren zugänglich? Gab es eine seitliche Bewegung des Eindrinlings? Wie kann das künftig verhindert werden?

"In einigen Fällen ist es ein Rip-and-Replace, je nach Schweregrad", so Security-Spezialist Berliner. "In anderen Fällen kann es sich um einen begrenzten Verstoß handeln, bei dem ein einzelnes Terminal oder ein Mitarbeiter durch Entzug weiterer Zugriffsrechte vom Netz genommen wird."

Idealerweise verfügen Unternehmen über Teams, die den Umgang mit der Kompromittierung einer Identitätslösung - oder eines ähnlichen Systems in ihrer Zero-Trust-Architektur - ständig üben, damit sie wissen, wie sie zu reagieren haben. (jm)

Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation Networkworld.

Lesetipp: Accsses Management - IAM als Grundlage einer Zero-Trust-Strategie