Zero-Trust-Sicherheitsarchitektur
Kontrolle ist besser
Fortsetzung des Artikels von Teil 1
Unterstützung bei der Umsetzung
Da Zero Trust die Netzwerksicherheit erhöht und Risiken vermindert, findet das Konzept immer mehr Anhänger, wie IDGs Cybersecurity-Studie 2020 belegt. Demnach war schon vor zwei Jahren mehr als die Hälfte der befragten IT-Security-Entscheider mit der Einführung entsprechender Lösungen beschäftigt oder stand kurz davor. Knapp 38 Prozent hatten die Implementierung bereits abgeschlossen. Einer Aberdeen-Studie zufolge gehört Zero Trust für mehr als 90 Prozent aller befragten Unternehmen mit 20 bis 500 Mitarbeitern in diesem Jahr zu den Top fünf der finanzierten Cybersicherheitsinitiativen.
Allerdings ist die praktische Umsetzung des Zero-Trust-Modells mit großem Aufwand verbunden. Zunächst muss das Unternehmen erfassen, welche Anwendungen, Geräte und Nutzer es gibt und wie sie sich authentifizieren sollen. Dann gilt es, Verschlüsselungen anzulegen, Abläufe zu etablieren sowie die bestehenden Zugriffsrechte zu überprüfen und gegebenenfalls anzupassen. Weitere Voraussetzungen für die erfolgreiche Umsetzung sind ein kontinuierliches Monitoring des Netzwerkverkehrs sowie eine Bestandsaufnahme, welche Daten sich im Netzwerk befinden, wo sie gespeichert sind und wie sie sich nachverfolgen lassen. An den Netzwerkgrenzen wie auch innerhalb des Netzwerks müssen Systeme implementiert sein, die den Verkehr analysieren, jede Anfrage validieren, bevor sie den Zugriff erlauben, und die sämtliche Aktionen in Logdateien aufzeichnen. Zudem müssen Unternehmen die Rollen der Endanwender kennen und die Zugriffsrechte anpassen: Wer darf sich wo anmelden, was ist wem erlaubt?
Viele moderne Tools verfügen zwar bereits über Zero-Trust-Funktionen aus den Bereichen Identitäts-Management, Zugriffskontrolle, Zwei-Faktor-Authentifizierung, Netzwerksegmentierung und Richtlinien-Management. Entscheidend ist jedoch, alle Aspekte von Zero Trust in einer umfassenden, integrierten, skalierbaren und richtliniengesteuerten Weise umzusetzen. Ein guter Anbieter kann helfen, die Elemente zu identifizieren, die am einfachsten zu schützen sind, ohne die bestehende Infrastruktur des Unternehmens komplett zu überarbeiten. Bei der Auswahl einer Zero-Trust-Lösung sollten die Verantwortlichen zudem darauf achten, dass der sichere
Zugriff für Remote-Mitarbeiter und der Schutz sensibler Daten lokal wie auch in der Cloud gewährleistet sind.
Unternehmen sollten Zero Trust zudem so einfach und benutzerfreundlich wie möglich gestalten, um bei der Belegschaft Akzeptanz für das Modell zu schaffen. Moderne Zero-Trust-Lösungen kümmern sich hinter den Kulissen um die komplexen Sicherheitsstrukturen – für den Nutzer also unsichtbar. Im Idealfall ist die Zero-Trust-Architektur bereits in das Security-Tool integriert. Eine weitere Möglichkeit für höhere Akzeptanz besteht darin, die ungeliebten Benutzernamen und Passwörter abzuschaffen und stattdessen die Anmeldung über digitale Zertifikate und Multi-Faktor-Authentifizierung abzuwickeln.
Die wichtigsten Kriterien bei der Evaluierung von Zero-Trust-Lösungen sind Sicherheit und Zuverlässigkeit. Das gilt vor allem für KMU, die über begrenzte IT-Ressourcen verfügen und deren Beschäftige remote arbeiten. In diesem Fall können Kriminelle etwa Remote-Support-Tools nutzen, um Malware in die Endgeräte einzuschleusen – in der Annahme des Systems, dass der Nutzer vertrauenswürdig ist. Mit Zero Trust als zentralem Bestandteil eines Remote-Support-Tools ist dies nicht möglich.
| Worauf Unternehmen beim Aubau einer Zero-Trust-Architektur achten sollten |
|---|
|
Paddy Srinivasan ist Chief Product and Technology Officer von GoTo.
- Kontrolle ist besser
- Unterstützung bei der Umsetzung
Lesen Sie mehr zum Thema
