+49 (0) 8171/405-0 info@proSoft.de

Zero Trust Strategie – was ist das?

02.
Aug
2022
Mikrosegmentierung, Multifaktor-Authentifizierung, Passwortregel, Passwortstärke, Perimeterlose Netzwerksicherheit, ZTNA Framework

Das Zero Trust Sicherheitsmodell, auch als perimeterlose Sicherheit bezeichnet, vertraut keinem Anwender, keinem IT-Gerät, keiner Applikation und keinen Daten. Bereits 1994 wurde der Begriff von Paul Marsh im Zusammenhang mit Computersicherheit beschrieben und 2018 von der NIST im Zusammenhang mit Netzwerk-Architektur konkretisiert. Doch was versteht man genau darunter?

»Zero Trust» bedeutet zunächst weder Nutzern noch Geräten oder Diensten zu vertrauen. Im Umkehrschluss legt es die Grundlagen fest, die erfüllt werden müssen, um Vertrauen zu schaffen.

Laut dem Statistischen Bundesamt hat sich der Anteil der Beschäftigten, die 2021 zumindest teilweise in Deutschland im Homeoffice gearbeitet haben, annähernd verdoppelt und erreicht die Marke von fast 25 %. The New Normal bedeutet aber für die IT-Sicherheit, dass Anwender weder durch Zugangskontrollen noch durch das soziale Miteinander verifiziert werden. Nach dem «Trust by verify» Prinzip, genießen sie nach einer erfolgreichen Authentifizierung aber das volle Vertrauen. Durch die Arbeit im Homeoffice lauern noch andere Gefahren: Die dort mitunter privat genutzten Devices (BYOD), die darauf installierten Applikationen und Daten können von der IT-Abteilung kaum verwaltet und überprüft werden. Das nachgewiesene reduzierte Sicherheitsbewusstsein erhöht die Risiken zusätzlich. Die Umsetzung einer Zero-Trust-Strategie bedeutet in diesem Zusammenhang, Mitarbeitende durch eine Zwei-Faktor Authentifizierung eindeutig zu verifizieren.

Analysiert man erfolgreiche Angriffe mit großem Schadenspotenzial, stellt man fest, dass die Schäden deshalb hoch waren, weil die Angreifer sich nach dem Überwinden der Firewall unentdeckt durch implizite Vertrauensstellungen (implizite Trusts) im Netzwerk bewegen konnten. Zero Trust stellt diesbezüglich einen Mentalitätswandel dar. Die Verteidigung beschränkt sich nicht nur auf die Netzwerk Perimeter (Netzwerkgrenzen), sondern auch auf das, was sich bereits im Netzwerk befindet. Perimeterlose Verteidigung kontrolliert also nicht nur die Außengrenzen des lokalen Netzwerks zum öffentlichen Netzwerk, sondern fordert auch von Anwendern, Devices und Diensten eine ständige Authentifizierung. Dadurch berücksichtigt sie auch das Bedrohungspotenzial durch eigene Mitarbeitende.

Organisationen, die Zero Trust erreichen möchten, müssen implizite Trusts innerhalb des Netzwerks systematisch entfernen. Es gibt viele Herausforderungen beim Mentalitätswandel, bei der Implementierung dazu notwendiger Technologien und Ressourcen. Es ist keine Transformation über Nacht und es gibt keine Einzellösung, die angewendet werden kann, um das Ziel zu erreichen. Neben den technischen Maßnahmen müssen auch die (Geschäfts-) Prozesse dem Zero Trust Prinzip unterworfen werden. Einige Ansatzpunkte sind:

  • Gehen Sie jederzeit von einer Kompromittierung aus und davon, dass Angreifer derzeit aktiv sind
  • Kontext und Identität („Kontextuelle Identität“) als Grundlage für Zugriffsentscheidungen verwenden
  • Standort ist kein wichtiger Vertrauensfaktor, kann aber ein Attribut sein, um Vertrauen zu entwickeln
  • Wenden Sie technische Maßnahmen wie Datenverschlüsselung und sichere Authentifizierung an
  • Überwachen Sie alles, um Anomalien zu identifizieren und zu untersuchen (z.B. durch Log-Management & SIEM, IDS, EDR, XDR)
  • Segmentieren Sie Netzwerkbereiche ohne Vertrauensstellungen untereinander zu erlauben

Der Aufbau einer Architektur, die „niemals vertraut und immer überprüft“, führt zu einer äußerst belastbaren und flexiblen Umgebung, die modernen Arbeitsanforderungen besser gerecht wird und potenziellen Angreifern das Leben erschwert. Wenn eine Anomalie erkannt wird, haben die Mitarbeiter mehr Zeit, um zu reagieren und den Vorfall zu isolieren und zu verwalten. Sei es eine Netzwerkverletzung, Ransomware-Ausbruch oder Datenkompromittierung.


 

Umsetzung der Zero Trust Strategie

Bei der praktischen Umsetzung des Sicherheitsmodells gemäß ZTNA Framework sind alle Bereiche der IT betroffen und müssen kontrolliert werden. Wir empfehlen, die Regeln und Maßnahmen vorab ausgiebig zu testen, bevor sie in der produktiven Umgebung aktiviert werden. Die wichtigsten Maßnahmen zur Aktivierung des Zero-Trust Sicherheitsmodells sind:

 

«Trust by verify» vs «Zero Trust» – Multi-Faktor-Authentifizierung

Jeder Zugriff muss als potenzielle Gefahr gesehen werden: Sämtliche Dienste, Anwender und Geräte müssen erfasst und Systeme zur Authentifizierung der Anwender und Prüfung des internen oder externen Datenverkehrs bereitgestellt werden. Im Ausgangsstatus sind weder Zugriffe noch Datenverkehr zwischen den verschiedenen Systemen erlaubt. Für authentifizierte Nutzer und Dienste werden obligatorische Richtlinien definiert, die unter bestimmten Voraussetzungen Zugriffe und Datenverkehr zulassen. Die Richtlinien müssen bei Veränderungen angepasst werden und stets up to date sein.

Multi-Faktor Authentifizierung

Monitoring bzw. Netzwerküberwachung

Eine Überwachung des Datenverkehrs führt dazu, dass Cyberangriffe frühzeitig erkannt werden, um so schnell wie möglich Gegenmaßnahmen einzuleiten und den Schaden zu begrenzen. Um ungewöhnliches Verhalten oder verdächtige Aktionen (Anomalien) rechtzeitig aufzuspüren, werden Netzwerkanalyse-Tools sowie Log-Management & SIEM eingesetzt. Deren Nachteil ist, dass diese Systeme häufig erst auf Muster trainiert werden müssen. Technologien mit integrierter KI können Anomalien deutlich schneller und umfassender erkennen, sind aber auch kostenintensiv.

Berechtigungen & Zugriffsbeschränkungen

Je weniger Berechtigungen Anwender und Devices besitzen, desto weniger Schaden kann ein durch Malware kompromittierter Anwender oder Endpoint anrichten. Im besten Fall werden die Zugriffsberechtigungen der Anwender auf die Systeme und Datenbanken begrenzt, die User für ihre «normale Arbeit» benötigen. Erweiterte Berechtigungen können temporär eingeschränkt werden.

Berechtigungen sollten aber auch in Abhängigkeit der Aktualität von Sicherheitseinstellungen wie Patch-Level, aktuelle Version des Betriebssystems und aller installierten Sicherheitslösungen am Endgerät, sowie des dort vorhandenen Sicherheitsrisikos vergeben werden.

Fazit:

Zero Trust muss Teil der Unternehmenskultur werden und als fortlaufender Prozess betrachtet werden. Änderungen der IT-Infrastruktur müssen dabei genauso im individuellen Zero Trust Regelwerk berücksichtigt werden, wie neue Formen von Cyberangriffen.

Sinnvollerweise beginnt man bei allen Assets mit hohem Risiko und überprüft, welche Anwender darauf zugreifen können, welche Authentifizierungen vorgeschaltet werden müssen und welche Berechtigungen sie dort haben. Über das Monitoring werden Standardwerte ermittelt und Schwellwerte für Alarme definiert, peu à peu nachjustiert und erst danach aktiviert. Eine sinnvolle Gruppierung aller Assets in Segmente, hilft die Risiken zu verteilen und handlungsfähig zu bleiben.

Potenziell #Backdoor Lücke bei #Cisco gepatcht. https://t.co/TQ3sFXTqZK
@safetogo_de: Die verschlüsselten USB-Sticks #SafeToGo 302E und SafeToGo Solo sind jetzt auch kompatibel zur #macOS Version Ventura. https://t.co/uaOTOjw64r https://t.co/Ht2irhj2P5
#dell schließt Schadcode-Schlupfloch im BIOS mehrerer PC-Modelle https://t.co/imkTREUgf2 https://t.co/ob641j3yDJ
Große #Microsoft Störung Deutsche beklagen massenhaft Ausfälle bei #Teams und #Outlook https://t.co/2tMfZbMR5m https://t.co/1776PfXt1x
Zunehmende Cyberkriminalität – Welche Gegenmaßnahmen helfen wirklich? https://t.co/kA0sIJ10PM #cyberangriff #cyberdefense #itsicherheit https://t.co/tp1RBM4pTE
Cyberkriminelle verschaffen sich Zugang zu Sky-Kundenkonten https://t.co/mPtWKobNG5 #Sky https://t.co/M1nU038UeZ
Fernwartungs-Software mit SSL & TLS für mehr Sicherheit https://t.co/TcT8IP2OVA #NetSupport
#Fernwartung https://t.co/NAj203kh9V
Dortmunder Datenpanne – Personenbezogene Daten im Lost Place #Dortmund #LostPlace https://t.co/UNuaJhaNiy https://t.co/brjrrE564g
Nach drohender #Cyberattacke reagierte die Stadt #Potsdam mit dem Abschalten der Internetverbindungen. Nach umfangreichen Sicherheits-Checks geht es nun weiter. https://t.co/skdKzbND3N https://t.co/KNa6jgL6Kp
Hacker versuchen #Ionos Passwörter zu phishen https://t.co/lqTDa8v0Hf
Handelsblatt: „Kaum zu bewältigen“: Neue EU-Richtlinie für Cybersicherheit setzt Unternehmen unter Zeitdruck - https://t.co/GVPGf4jXsC
Attacken auf kritische Lücke in ManageEngine-Produkte von Zoho bald möglich | Security https://t.co/HqRLyjtDW3
@heisec: Industrie-Router von InHand: Angreifer könnten Geräte in der Cloud übernehmen https://t.co/DEy74bF6wh #InHand #InRouter
Cyber-Attacken auf kritische Lücke in Control Web Panel | Security https://t.co/XW83hKUc8F
Fahrradbauer #Prophete: Erste Details zum Cyber-Angriff | Die Insolvenz der Prophete-Gruppe wurde schlussendlich durch einen Cyber-Angriff ausgelöst. Security https://t.co/IrjyYFWjJu
So schützt die #OPSWAT MetaDefender-Plattform vor Cyberangriffen https://t.co/m1Yo1jA7WQ
Sicherheitsprüfung: 13.000 Passwörter der US-Regierung in 90 Minuten geknackt. Weil Mitarbeiter des US-Innenministeriums leicht zu erratene Kennwörter wie Password-1234 nutzen, könnten Angreifer leichtes Spiel haben. https://t.co/R9S2L77pnK https://t.co/QcqGLwTIO4

Der ProBlog Newsletter

Bleiben Sie auf dem Laufenden mit unseren interessanten News, Updates und Insights
zu modernen IT-Security & IT-Infrastruktur-Lösungen.

Members Only:
Alle Newsletter-Empfänger erhalten jetzt Zugriff auf exklusive Inhalte!

Bitte füllen Sie kurz das Formular aus.
Anschließend erhalten Sie eine E-Mail, mit der Sie Ihre Anmeldung bestätigen können.

 

 
Mit der Anmeldung akzeptiere ich die Datenschutzbestimmungen der ProSoft GmbH.

 

Share This