Für ein bestmögliches Web-Erlebnis verwenden Sie IE11+, Chrome, Firefox oder Safari.

Das Zero-Trust-Sicherheitsmodell

Das Motto von Zero Trust lautet: Vertrauen ist gut, Kontrolle ist besser.

Zum vollständigen Schutz Ihres Unternehmens ist ein umfassendes Zero-Trust-Sicherheitsmodell heute unerlässlich. Dabei stehen Folgende Kernprinzipien im Fokus:

  • Kontinuierliche Verifizierung
  • Einschränkung des Wirkungsradius von potenziellen Sicherheitsverletzungen
  • Automatisierung von Bedrohungsanalysen und Gegenmaßnahmen

Zero-Trust-Sicherheit verifiziert kontinuierlich die Zugriffsberechtigungen von menschlichen und maschinellen Benutzern auf alle angeforderten Ressourcen – lokal, in der Cloud und in hybriden Umgebungen. Zudem werden Benutzeraktionen überwacht und mit grundlegenden Verhaltensanalysen verglichen, um potenzielle Anomalien zu entdecken, welche eine verstärkte Verifizierung und/oder sofortige Gegenmaßnahmen erfordern.

Erfahren Sie, wie One Identity Ihnen dabei hilft, Zero Trust in Ihr Unternehmen zu integrieren

Vorteile von Zero Trust

1. Optimaler Schutz für die wichtigsten Komponenten Ihres Unternehmens

Das Zero-Trust-Modell schützt, was für Ihr Unternehmen unerlässlich ist – Ihre Mitarbeiter, Anwendungen und Daten – auf eine Weise, die an die moderne, cloudgestützte Remote-Arbeit angepasst ist. Dieser Schutz geht dabei weit über die herkömmliche perimeterbasierte Sicherheit hinaus, bei der noch davon ausgegangen wurde, dass sich alle Ihre Ressourcen innerhalb Ihres geschützten Netzwerks befinden und dass alle Benutzer bei der Anmeldung umfassend überprüft werden. Die moderne Unternehmensinfrastruktur jedoch ist auf mehrere physische Standorte, unzählige virtuelle Maschinen, öffentliche und Private-Cloud-Systeme sowie zahlreiche Umgebungen und Betriebssysteme verteilt. Benutzer arbeiten heute von verschiedenen Standorten aus und greifen dabei über verschiedene Endgeräte auf Unternehmensdaten zu. Kurzum: Das herkömmliche Perimetermodell hat ausgedient.

2. Organisation und Absicherung Ihrer digitalen Transformation

Sorgen Sie für eine sichere Integration Ihrer Cloud- und SaaS-basierten Ressourcen und ermöglichen Sie es Ihren Benutzern, von fast überall aus zu arbeiten und sich mit mehreren Geräten mit Ihrem Netzwerk zu verbinden. Verbessern Sie mit einer Zero-Trust-Architektur die Netzwerksicherheit, Informationssicherheit und Cloud-Sicherheit gleichermaßen. Beseitigen Sie Schwachstellen in Ihrem System und senken Sie so entscheidend das Risiko für bösartige Malware- oder Phishing-Angriffe, unautorisierten Benutzerzugriff und die Kompromittierung von Identitäten.

3. Eingrenzung potenzieller Schäden infolge von Sicherheitsverletzungen

Jede Verbindung, jeder Benutzer und jede Ressource ist ein potenzieller Einstiegspunkt für Angreifer. Mit Zero Trust wird der Zugriff erst dann gewährt, wenn die Berechtigung und Identität des Benutzers verifiziert wurden. So können potenzielle Schäden durch Sicherheitsverletzungen eingegrenzt und leichter erkannt werden. Gewähren Sie jedem Benutzer genau den Zugriff, den er für seine Aufgaben benötigt – nicht mehr und nicht weniger.

4. Implementierung von Just-in-Time(JiT)-Provisionierung

Schützen Sie Ihre Assets durch strenge Kontrolle des Zugriffs auf alle Ressourcen. Workflows zum Schutz von Benutzern und Assets wie etwa JiT-Provisionierung ermöglichen es Ihnen, Zugriffsrechte flexibel anzupassen. So können Sie den Zugriff auf Unternehmensressourcen selbst bei Hochbetrieb auf sichere Weise und ganz nach Bedarf skalieren, wodurch gleichzeitig der IT-Helpdesk entlastet wird.
Wie wird Zero Trust definiert?

Was ist Zero-Trust-Sicherheit?

Zero-Trust-Sicherheit ist ein bewährtes Modell zur Implementierung zuverlässiger und gezielter Cybersicherheitsmaßnahmen. Durch differenzierte und situationsabhängige Berechtigungszuweisung auf Basis von Zero Trust werden kritische Berechtigungen wie auch unnötiger und unverhältnismäßiger Zugriff ausgeschlossen.

  • Mit Zero Trust müssen keine Administratorkennwörter mehr geteilt werden; stattdessen kommt eine individuelle und dynamische Authentifizierung für jeden administrativen Vorgang zum Einsatz.
  • Die Umsetzung des Least-Privilege-Prinzips beinhaltet, dass nur die Berechtigungen erteilt werden, die ein Admin für seine Arbeit wirklich benötigt – nicht mehr und nicht weniger.
  • Mithilfe einer effektiven Zero-Trust-Architektur haben Sie die Möglichkeit, den Sicherheitsstatus Ihres Unternehmens sowie die Compliance zu verbessern und gleichzeitig sensible Daten und Assets vor potenziellen Bedrohungen zu schützen.
Die sieben zentralen Grundsätze des Zero-Trust-Modells (NIST SP800-207)

Die sieben zentralen Grundsätze des Zero-Trust-Modells (NIST SP800-207)

  1. Alle Datenquellen und Datenverarbeitungsservices werden als Ressourcen erachtet.
  2. Sämtliche Kommunikation wird unabhängig von der Netzwerkadresse abgesichert.
  3. Der Zugriff auf individuelle Unternehmensressourcen wird auf Sitzungsbasis gewährt.
  4. Der Zugriff auf Ressourcen wird durch eine dynamische Richtlinie bestimmt – mit Angaben zum sichtbaren Status der Client-Identität, zu Anwendung/Service und zum anfordernden Asset – und es können weitere verhaltens- und umgebungsbezogene Attribute berücksichtigt werden.
  5. Das Unternehmen überwacht und analysiert die Integrität und Sicherheitsaufstellung aller eigenen und zugehörigen Assets.
  6. Die gesamte Ressourcenauthentifizierung und -autorisierung erfolgt dynamisch und wird streng erzwungen, bevor Zugriff gewährt wird.
  7. Das Unternehmen sammelt möglichst viele Informationen über den aktuellen Status von Assets, Netzwerkinfrastruktur und Kommunikation und nutzt diese, um seine Sicherheitsaufstellung zu verbessern.

Warum benötige ich Zero-Trust-Sicherheit?

Zwischen dem ersten und dem zweiten Quartal 2021 hat die Anzahl an Datensicherheitsverletzungen um 38 % zugenommen. 2021 lagen die durchschnittlichen Kosten einer Datensicherheitsverletzung bei 4,24 Millionen USD, 2020 waren das noch 3,86 Millionen USD. Außerdem sollen die durch Cyberkriminalität verursachten Schäden Prognosen zufolge bis 2025 10,5 Billionen USD überschreiten. Zum Bewältigen dieser Bedrohungen wurden die IT-Sicherheitsinvestitionen erhöht. Dennoch glauben 78 % aller IT-Führungskräfte im Sicherheitsbereich, dass ihre Unternehmen nicht ausreichend vor Cyberangriffen geschützt sind. Um diese Herausforderung zu meistern, implementieren viele Unternehmen Zero-Trust-Sicherheitsmodelle.

Beim klassischen Vertrauensmodell wird davon ausgegangen, dass innerhalb des Unternehmensnetzwerks allem vertraut werden kann. Zero Trust ist komplett anders. Hier wird „Vertrauen“ mit „Schwachstelle“ gleichgesetzt. Um Ihr Unternehmensnetzwerk vor Bedrohungsakteuren zu schützen, muss diese Schwachstelle komplett beseitigt werden. Aus diesem Grund benötigen Sie Zero-Trust-Sicherheit.

Widerlegung der 5 größten Mythen rund um Zero-Trust-Sicherheit

Wie können Sie Zero Trust integrieren?

Wie wird Zero Trust in der Praxis erreicht?

Damit Unternehmen Zero Trust einsetzen können, benötigen sie einen integrierten Ansatz inklusive einer Unified Identity Security Platform. Die Erarbeitung gut durchdachter Praktiken zur Absicherung und Verwaltung von Identitäten kann eine sehr komplexe Aufgabe sein, aber die entscheidende Frage im Hinblick auf die Sicherheit ist, wie sie umgesetzt werden. Zero Trust ersetzt die klassische Verteidigung des Perimeters durch eine identitätsbasierte, konstante und dynamische Kontrolle. Die Verwaltung und Absicherung dieser Identitäten wird somit zum Mittelpunkt aller Zero-Trust(ZT)-Projekte; eine Unified Identity Security Platform kann dabei als Wegbereiter für Ihre neue Sicherheitsaufstellung etabliert werden.
Was sind die ersten Schritte auf dem Weg zu Zero Trust?

Was sind die ersten Schritte auf dem Weg zu Zero Trust?

Die meisten Unternehmen sind bereits eingehend mit der Implementierung von Zero Trust beschäftigt und fokussieren ihre gesamten Sicherheitsbemühungen darauf. Die Identität ist hierbei der Schlüssel zum Erfolg: Die Absicherung von Identitäten, die Implementierung korrekter und dauerhafter Prozesse zur Verwaltung von Identitäten sowie die vollständige Kontrolle und Überwachung von privilegierten Identitäten sind von äußerster Wichtigkeit. Aufbauend auf dieser Grundlage können Unternehmen zur Implementierung von Least-Privilege-Einstellungen und konstanten Authentifizierungen übergehen. Weiterführend kann in Technologien der nächsten Generation (z. B. ZTNA) investiert werden, die sich radikal von den derzeit verwendeten Legacy-Systemen unterscheiden.

Durch die Nutzung von Segmentierung gestalten sich die ersten Schritte auf Ihrer Journey zur Implementierung von Zero Trust (und vertrauten Netzwerken) ausgesprochen einfach: Sie bildet die Grundlage, um isolierte Zonen basierend auf bestimmten Sicherheitsrichtlinien zu erstellen. Beispielsweise kann ein Netzwerk über eine High-Trust-Zone für interne Benutzer und Geräte verfügen, eine Low-Trust-Zone für externe Benutzer und Geräte sowie eine No-Trust-Zone für nicht vertraute oder unbekannte Entitäten. Dabei kann jede Zone unterschiedliche Authentifizierungs- und Autorisierungsmechanismen, Verschlüsselungsstandards, Firewallregeln und Überwachungs-Tools nutzen. Auf diese Weise kann Segmentierung ein hilfreiches Tool sein, um die Angriffsfläche eines Unternehmens zu verkleinern, die laterale Bewegung von Angreifern einzuschränken und ein Least-Privilege-Prinzip durchzusetzen.

Welche Voraussetzungen müssen für die Einrichtung der Zero-Trust-Architektur erfüllt werden?

Der Erfolg von Zero Trust beginnt mit dem Ausbau einer großen Reichweite zur Bekämpfung von Identitätswildwuchs. Sie sollten sich also nicht nur auf Identitäten von Personen konzentrieren, sondern auch auf Maschinenidentitäten. Nicht zu vernachlässigen sind ebenfalls all jene zusätzlichen Konten, die durch die Erweiterung der historisch gewachsenen IT-Landschaft um hybride Infrastrukturen und durch Edge-Computing entstehen. Wenn Sie nicht alles im Blick behalten, könnte es sein, dass Hacker durch die Hintertür eindringen.

Eine weitere wichtige Voraussetzung besteht darin, Ihre Denkweise von dem herkömmlichen Ansatz loszulösen, dass die Optimierung der Perimetersicherheit den besten Schutz bietet. Stattdessen sollte angenommen werden, dass Kompromisse im Bereich Sicherheit unvermeidlich sind und Investitionen zur umfassenden Verifizierung entsprechend gefördert werden. Durch die Nutzung von Kontextsensitivität, Sitzungsüberwachung und Verhaltensanalysen können Unternehmen aufkommende Bedrohungen schneller und effizienter vorhersehen, erkennen und darauf mit Korrekturmaßnahmen reagieren.

Allerdings können mit der Implementierung von Zero Trust in eine bereits vorhandene Infrastruktur besondere Herausforderungen verbunden sein, da eine Anpassung an das vorhandene Netzwerk vorgenommen werden muss. So muss bei bestehenden Systemen, Anwendungen und Netzwerken zunächst durch IT-Manager bestimmt werden, wie Zero Trust in die existierende Umgebung integriert werden kann.

Was ist eine Zero-Trust-Architektur?

Dem National Institute of Standards and Technology (NIST) zufolge ist eine Zero-Trust-Architektur (ZTA) eine Cybersicherheitsarchitektur in Unternehmen, die auf Zero-Trust-Prinzipien beruht und auf das Verhindern von Datensicherheitsverletzungen und das Beschränken von internen lateralen Bewegungen abzielt.

Eine Zero-Trust-Architektur (ZTA) soll die Cybersicherheit eines Unternehmens stärken und dessen Assets vor Bedrohungen schützen. Sie erkennt an, dass Bedrohungen sowohl innerhalb als auch außerhalb des klassischen Netzwerkperimeters existieren, und geht davon aus, dass Sicherheitsverletzungen unvermeidbar sind. Vor allem aber gewährt sie Benutzern nur Zugriff auf das, was sie für ihre Aufgaben benötigen. Schließlich identifiziert sie anormale oder potenziell böswillige Aktivitäten, um zu verhindern, dass Cyberangriffe sich im Netzwerk ausbreiten.

Was sind die größten Herausforderungen für die Anwendung der Zero-Trust-Prinzipien?

Eine zentrale Herausforderung bei der Erfüllung des Zero-Trust-Versprechens ist der fragmentierte Ansatz, mit dem die meisten Unternehmen heute Zugriffsrechte verwalten. Ein durchschnittliches Großunternehmen verwendet 25 verschiedene Systeme zur Verwaltung von Zugriffsrechten (Quelle: The 3rd Annual Global Password Security Report). Dieser isolierte Ansatz schränkt jedoch die Transparenz ein und verursacht Sicherheitslücken, Inkonsistenzen und weitere Risiken. Die diesem Ansatz zugrunde liegende Komplexität zwingt Unternehmen auch dazu, stets verfügbare Zugriffsrechte zu gewähren.

Zahlreiche zukunftsorientierte Unternehmen, die Zero Trust implementieren möchten, gehen das Problem jetzt anders an. Sie betrachten die Situation aus einer ganzheitlichen Perspektive und verfolgen einen einheitlichen Ansatz zur Identitätssicherheit. Durch die Verknüpfung von Silos sowie die optimierte Korrelation und Sichtbarkeit aller Identitäten sind sie so in der Lage, Privilegien besser und schneller hinzuzufügen, zu entfernen und anzupassen – eine wichtige Grundlage für eine Zero-Trust-Strategie.

Eine zweite damit verbundene Herausforderung ist der Mangel an Automatisierung bei integrierten Workflows zwischen unterschiedlichen Anwendungen. Mit Hinblick auf den fragmentierten Zero-Trust-Ansatz, den viele Unternehmen verfolgen, ist dies keine Seltenheit. Selbst wenn Unternehmen Best-of-Breed-Lösungsansätze zur Kombination der verschiedenen Elemente von Zero Trust (z. B. Identität und Privilegien) verfolgen, kann aufgrund fehlender Integration der einzelnen Produkte keine reibungslose Implementierung gewährleistet werden. Zum Optimieren von Abläufen und Erreichen bestmöglicher Ergebnisse sollten Unternehmen eine automatisierte Orchestrierung anstreben.

Was führt am ehesten dazu, dass Zero-Trust-Projekte im Unternehmen scheitern?

Die meisten Ursachen für das Ausbleiben des Erfolgs von Zero-Trust-Projekten sind bereits oben aufgeführt – z. B. die fehlende Reichweite zur Inklusion aller Identitäten, das Versäumnis, sich auf eine kontinuierliche Verifizierung zu konzentrieren, und die fragmentierte Ausführung dieser Strategie.

Ein weiterer Schwachpunkt ist das Denken in kleinen Dimensionen und eine zu kurzfristige Planung. Schon in den frühen Phasen der Planung ist es wichtig, die Bedrohungslandschaft – ebenso wie die IT-Landschaft – als dynamische Umgebung zu verstehen. Es ist essenziell, eine flexible und dynamische Cybersicherheitsstrategie zu implementieren, die nicht an bestimmte Prozesse gebunden ist oder durch Ihre hybride Infrastruktur eingeschränkt wird. Durch verbesserte Anpassungsfähigkeit können Sie schnell auf Änderungen der Rollen und Verantwortlichkeiten von Benutzern, Entwicklungen der IT-Infrastruktur sowie neue und sich entwickelnde Bedrohungen reagieren.

Jetzt starten

Integrieren Sie Zero Trust in Ihr Unternehmen