+49 (0) 8171/405-0 info@proSoft.de

Zero Trust Strategie – was ist das?

02.
Aug
2022
Mikrosegmentierung, Multifaktor-Authentifizierung, Passwortregel, Passwortstärke, Perimeterlose Netzwerksicherheit, ZTNA Framework

Das Zero Trust Sicherheitsmodell, auch als perimeterlose Sicherheit bezeichnet, vertraut keinem Anwender, keinem IT-Gerät, keiner Applikation und keinen Daten. Bereits 1994 wurde der Begriff von Paul Marsh im Zusammenhang mit Computersicherheit beschrieben und 2018 von der NIST im Zusammenhang mit Netzwerk-Architektur konkretisiert. Doch was versteht man genau darunter?

»Zero Trust» bedeutet zunächst weder Nutzern noch Geräten oder Diensten zu vertrauen. Im Umkehrschluss legt es die Grundlagen fest, die erfüllt werden müssen, um Vertrauen zu schaffen.

Laut dem Statistischen Bundesamt hat sich der Anteil der Beschäftigten, die 2021 zumindest teilweise in Deutschland im Homeoffice gearbeitet haben, annähernd verdoppelt und erreicht die Marke von fast 25 %. The New Normal bedeutet aber für die IT-Sicherheit, dass Anwender weder durch Zugangskontrollen noch durch das soziale Miteinander verifiziert werden. Nach dem «Trust by verify» Prinzip, genießen sie nach einer erfolgreichen Authentifizierung aber das volle Vertrauen. Durch die Arbeit im Homeoffice lauern noch andere Gefahren: Die dort mitunter privat genutzten Devices (BYOD), die darauf installierten Applikationen und Daten können von der IT-Abteilung kaum verwaltet und überprüft werden. Das nachgewiesene reduzierte Sicherheitsbewusstsein erhöht die Risiken zusätzlich. Die Umsetzung einer Zero-Trust-Strategie bedeutet in diesem Zusammenhang, Mitarbeitende durch eine Zwei-Faktor Authentifizierung eindeutig zu verifizieren.

Analysiert man erfolgreiche Angriffe mit großem Schadenspotenzial, stellt man fest, dass die Schäden deshalb hoch waren, weil die Angreifer sich nach dem Überwinden der Firewall unentdeckt durch implizite Vertrauensstellungen (implizite Trusts) im Netzwerk bewegen konnten. Zero Trust stellt diesbezüglich einen Mentalitätswandel dar. Die Verteidigung beschränkt sich nicht nur auf die Netzwerk Perimeter (Netzwerkgrenzen), sondern auch auf das, was sich bereits im Netzwerk befindet. Perimeterlose Verteidigung kontrolliert also nicht nur die Außengrenzen des lokalen Netzwerks zum öffentlichen Netzwerk, sondern fordert auch von Anwendern, Devices und Diensten eine ständige Authentifizierung. Dadurch berücksichtigt sie auch das Bedrohungspotenzial durch eigene Mitarbeitende.

Organisationen, die Zero Trust erreichen möchten, müssen implizite Trusts innerhalb des Netzwerks systematisch entfernen. Es gibt viele Herausforderungen beim Mentalitätswandel, bei der Implementierung dazu notwendiger Technologien und Ressourcen. Es ist keine Transformation über Nacht und es gibt keine Einzellösung, die angewendet werden kann, um das Ziel zu erreichen. Neben den technischen Maßnahmen müssen auch die (Geschäfts-) Prozesse dem Zero Trust Prinzip unterworfen werden. Einige Ansatzpunkte sind:

  • Gehen Sie jederzeit von einer Kompromittierung aus und davon, dass Angreifer derzeit aktiv sind
  • Kontext und Identität („Kontextuelle Identität“) als Grundlage für Zugriffsentscheidungen verwenden
  • Standort ist kein wichtiger Vertrauensfaktor, kann aber ein Attribut sein, um Vertrauen zu entwickeln
  • Wenden Sie technische Maßnahmen wie Datenverschlüsselung und sichere Authentifizierung an
  • Überwachen Sie alles, um Anomalien zu identifizieren und zu untersuchen (z.B. durch Log-Management & SIEM, IDS, EDR, XDR)
  • Segmentieren Sie Netzwerkbereiche ohne Vertrauensstellungen untereinander zu erlauben

Der Aufbau einer Architektur, die „niemals vertraut und immer überprüft“, führt zu einer äußerst belastbaren und flexiblen Umgebung, die modernen Arbeitsanforderungen besser gerecht wird und potenziellen Angreifern das Leben erschwert. Wenn eine Anomalie erkannt wird, haben die Mitarbeiter mehr Zeit, um zu reagieren und den Vorfall zu isolieren und zu verwalten. Sei es eine Netzwerkverletzung, Ransomware-Ausbruch oder Datenkompromittierung.


 

Umsetzung der Zero Trust Strategie

Bei der praktischen Umsetzung des Sicherheitsmodells gemäß ZTNA Framework sind alle Bereiche der IT betroffen und müssen kontrolliert werden. Wir empfehlen, die Regeln und Maßnahmen vorab ausgiebig zu testen, bevor sie in der produktiven Umgebung aktiviert werden. Die wichtigsten Maßnahmen zur Aktivierung des Zero-Trust Sicherheitsmodells sind:

 

«Trust by verify» vs «Zero Trust» – Multi-Faktor-Authentifizierung

Jeder Zugriff muss als potenzielle Gefahr gesehen werden: Sämtliche Dienste, Anwender und Geräte müssen erfasst und Systeme zur Authentifizierung der Anwender und Prüfung des internen oder externen Datenverkehrs bereitgestellt werden. Im Ausgangsstatus sind weder Zugriffe noch Datenverkehr zwischen den verschiedenen Systemen erlaubt. Für authentifizierte Nutzer und Dienste werden obligatorische Richtlinien definiert, die unter bestimmten Voraussetzungen Zugriffe und Datenverkehr zulassen. Die Richtlinien müssen bei Veränderungen angepasst werden und stets up to date sein.

Multi-Faktor Authentifizierung

Monitoring bzw. Netzwerküberwachung

Eine Überwachung des Datenverkehrs führt dazu, dass Cyberangriffe frühzeitig erkannt werden, um so schnell wie möglich Gegenmaßnahmen einzuleiten und den Schaden zu begrenzen. Um ungewöhnliches Verhalten oder verdächtige Aktionen (Anomalien) rechtzeitig aufzuspüren, werden Netzwerkanalyse-Tools sowie Log-Management & SIEM eingesetzt. Deren Nachteil ist, dass diese Systeme häufig erst auf Muster trainiert werden müssen. Technologien mit integrierter KI können Anomalien deutlich schneller und umfassender erkennen, sind aber auch kostenintensiv.

Berechtigungen & Zugriffsbeschränkungen

Je weniger Berechtigungen Anwender und Devices besitzen, desto weniger Schaden kann ein durch Malware kompromittierter Anwender oder Endpoint anrichten. Im besten Fall werden die Zugriffsberechtigungen der Anwender auf die Systeme und Datenbanken begrenzt, die User für ihre «normale Arbeit» benötigen. Erweiterte Berechtigungen können temporär eingeschränkt werden.

Berechtigungen sollten aber auch in Abhängigkeit der Aktualität von Sicherheitseinstellungen wie Patch-Level, aktuelle Version des Betriebssystems und aller installierten Sicherheitslösungen am Endgerät, sowie des dort vorhandenen Sicherheitsrisikos vergeben werden.

Fazit:

Zero Trust muss Teil der Unternehmenskultur werden und als fortlaufender Prozess betrachtet werden. Änderungen der IT-Infrastruktur müssen dabei genauso im individuellen Zero Trust Regelwerk berücksichtigt werden, wie neue Formen von Cyberangriffen.

Sinnvollerweise beginnt man bei allen Assets mit hohem Risiko und überprüft, welche Anwender darauf zugreifen können, welche Authentifizierungen vorgeschaltet werden müssen und welche Berechtigungen sie dort haben. Über das Monitoring werden Standardwerte ermittelt und Schwellwerte für Alarme definiert, peu à peu nachjustiert und erst danach aktiviert. Eine sinnvolle Gruppierung aller Assets in Segmente, hilft die Risiken zu verteilen und handlungsfähig zu bleiben.

Robert Korherr

Geschäftsführer ProSoft GmbH

Verschlüsselter USB-Stick DataLocker Sentry ONE erhält BSI-Zertifizierung #BSI #USB #Datalocker https://t.co/ObA8a9ztdi https://t.co/TLVliwTTrA
Zwei Wochen ohne E-Mail: Angriff auf Server der Handelskammern hält an https://t.co/B4F2fLhOBm https://t.co/3ajG80VVCq
@DSAgentur: Cyber-Bedrohungen für den Mittelstand nehmen zu https://t.co/JJptE4gGXH https://t.co/OLcJilZTzC
Cisco: Angreifer könnten an private RSA-Schlüssel in ASA und Firepower gelangen | heise online https://t.co/xPNHbZLOAK
Patchday: Microsoft dichtet Zero-Day-Lücke und 120 weitere Sicherheitslecks ab | heise online https://t.co/pVx3NehRL6
Webbrowser: Google Chrome und Microsoft Edge 104 schließen Sicherheitslücken | heise online https://t.co/TvkkGugTlX
Patchday: F5 dichtet Schwachstellen in BIG IP und Nginx ab | heise online https://t.co/tX22BIrPWA
VMware-Updates: Schnelles Handeln "extrem wichtig" | Security https://t.co/KuzRFXGZTp #VMware
Cyber-Attacke auf Bergische Universität in #Wuppertal https://t.co/SvCgFuwBrq https://t.co/f00ep5sqT1
Hotelkette #Marriott kämpft erneut mit Datenleck. Angreifer konnten personenbezogene Daten erbeuten. https://t.co/QaVrXaKSn2 https://t.co/uZwEpdJXHt
@ein_ISB: Cyberrisiken sind kaum noch versicherbar und die Versicherer fürchten hohe Verluste durch bereits abgeschlossene Policen. Beitragssteigerungen von 300 %. Das Thema ist so gut wie durch. Ein Risikotransfer über eine #Cyberversichrung kaum noch realisierbar.
https://t.co/t0Y3k1IywA
Sophos: 94 Prozent mehr Angriffe auf das #Gesundheitswesen
https://t.co/V58s4hRh5b https://t.co/lSSXn28Nul
@DSAgentur: Ransomware: Nürnberger Elektronikhersteller Semikron gehackt - https://t.co/VYXd7XLl0L https://t.co/mscgWaQLdk
Wieder einmal #Sicherheitslücken bei #Foxit PDF Reader und PDF Editor. Sicherheitsupdate verfügbar https://t.co/VnE0vMsz8c
Verschlüsselter USB-Stick #DataLocker Sentry One ist ab sofort BSI zertifiziert. https://t.co/spEuxvav0L https://t.co/Dd44x0Oqi0
@NetSupportNSM: Want to learn more about #NetSupportManager? Take a look at this episode of #NetSupportRadio where we take you through some frequently asked questions when it comes to NetSupport Manager https://t.co/sXDlnNjKBz #RemoteManagement #ITAssets #AssetManagement https://t.co/a1Lm0UOPSy
c476d
Was ist unter dem Zero Trust Sicherheitsmodell zu verstehen und wie wird es umgesetzt? https://t.co/CNPUWuPv8L #zerotrust https://t.co/EuVfQHXuhW
@heisec: Sicherheitsupdates: Schadcode-Attacken auf Thunderbird vorstellbar https://t.co/l1WGn0Wl1s #MozillaThunderbird #Patches
@heisec: Foxit PDF Reader und Editor unter macOS und Windows angreifbar https://t.co/Kfwy77478J #FoxitPDF #Patch

Der ProBlog Newsletter

Bleiben Sie auf dem Laufenden mit unseren interessanten News, Updates und Insights
zu modernen IT-Security & IT-Infrastruktur-Lösungen.

Members Only:
Alle Newsletter-Empfänger erhalten jetzt Zugriff auf exklusive Inhalte!

Bitte füllen Sie kurz das Formular aus.
Anschließend erhalten Sie eine E-Mail, mit der Sie Ihre Anmeldung bestätigen können.

 

 
Mit der Anmeldung akzeptiere ich die Datenschutzbestimmungen der ProSoft GmbH.

 

Share This