Zero Trust ist ein moderner Sicherheitsansatz, der in den vergangenen Jahren in Reaktion auf immer ausgefeiltere Cyberangriffe und eine immer komplexer werdende IT-Infrastruktur zunehmend an Bedeutung gewonnen hat – und sicherlich auch weiterhin an Bedeutung gewinnen wird. Anders als traditionelle Perimeter-Sicherheitsmodelle, die davon ausgehen, dass einmal eingerichtete Firewalls und VPN-Grenzen ausreichen, um das interne Netzwerk vor externen Bedrohungen abzuschirmen, geht Zero Trust von einer recht einfachen Prämisse aus: „Vertraue niemandem – weder in- noch extern“. Böse Zungen beschreiben Zero Trust deswegen mitunter auch als „paranoideste“ Form der IT-Sicherheit.
Zero Trust geht nämlich grundsätzlich davon aus, dass weder Benutzer, Geräte oder Anwendungen vertrauenswürdig sind – völlig egal, wer sie sind und ob sie sich innerhalb oder außerhalb des Unternehmensnetzwerks befinden. Darum wird auch jeder(!) einzelne Zugriff – unabhängig von seiner Herkunft – strengstens authentifiziert, autorisiert und kontinuierlich validiert. Dazu muss jeder Mitarbeiter, jedes Endgerät und jede Softwareanwendung bei jeder Anfrage aufs Neue seine Legitimation nachweisen, um auf eine bestimmte Ressource zugreifen zu dürfen.
Das kann mitunter zwar sehr mühsam sein, hat aber den großen Vorteil, dass Angreifer auch dann keinen großen Schaden anrichten können, selbst wenn sie sich bereits Zutritt zum Unternehmensnetzwerks verschafft haben. Um dieses Sicherheitslevel zu erreichen, nutzt Zero Trust mehrere Schlüsselprinzipien. Dazu zählt etwa die explizite Verifizierung – jeder Benutzer und jedes Gerät muss seine Identität und seinen Sicherheitsstatus nachweisen, bevor Zugriff gewährt wird. Das kann über Multifaktor-Authentifizierungen (MFA) und/oder auch über adaptive Authentifizierungen, die den Zugriff basierend auf Standort, Endgerätezustand oder Uhrzeit dynamisch anpassen, passieren.
Ein zentraler Aspekt der Zero Trust-Architektur ist außerdem die so genannte Mikrosegmentierung. Hierbei wird das Netzwerk in kleine, isolierte Zonen unterteilt. Dadurch wird die Bewegung von Angreifern im Falle eines erfolgreichen Einbruchs erheblich erschwert. Jede Zone hat nämlich ihre eigenen Zugriffsrichtlinien, die streng durchgesetzt werden: Der Angreifer hat also bei jeder Bewegung innerhalb des Netzwerks neue Zäune zu überwinden. Gleichzeitig stellt das Prinzip der geringsten Privilegien sicher, dass Benutzer und Anwendungen nur jene Berechtigungen erhalten, die sie unbedingt für ihre Aufgaben benötigen. Dieses strenge Identity and Access Management (IAM) minimiert das Schadenspotenzial im Falle einer Kompromittierung.
Eine weitere Schadensminimierung wird auch durch eine datenbasierte Sicherheitsarchitektur erreicht. Richtlinien werden basierend auf der Sensibilität der Daten und dem Kontext des Zugriffs definiert und durchgesetzt. Und schließlich ist natürlich auch eine kontinuierliche Überwachung unerlässlich. Zero Trust ist nämlich kein einmaliges Projekt, sondern ein fortlaufender Prozess bei dem Aktivitäten kontinuierlich überwacht und analysiert werden, um Anomalien und Bedrohungen frühzeitig zu erkennen und darauf entsprechend zu reagieren. Ein durchgängiges Monitoring erfasst sämtliche Authentifizierungen, Zugriffe und Datenbewegungen. Behavioral Analytics und KI-Systeme erkennen Anomalien wie ungewöhnliche Zugriffsmuster oder Spitzen im Datenvolumen. Automatisierte Reaktionen reichen von erneuten Authentifizierungsaufforderungen bis zur Quarantäne kompromittierter Endpunkte.
Die Implementierung einer Zero Trust-Architektur ist ein komplexer Prozess, der eine sehr strategische und umfassende Herangehensweise erfordert. Es geht hier allerdings nicht darum, bestehende Sicherheitssysteme zu ersetzen, sondern sie in ein Komplettsystem zu integrieren. Dazu müssen Unternehmen ihre bestehende Infrastruktur analysieren, Risiken identifizieren und dann schrittweise Zero Trust-Prinzipien implementieren. Vor allem für Unternehmen, die zur kritischen Infrastruktur zählen und/oder mit sensiblen Daten arbeiten führt in Zukunft wohl kein Weg an Zero Trust vorbei.
