„Vertraue niemals, überprüfe immer“: Zero Trust stellt den Ansatz hinter traditionellen Sicherheitsstrukturen auf den Kopf, denn jeder Benutzer wird genauestens überprüft, bevor er überhaupt Zugriff auf eine Ressource bekommt. Aber was sind die Best Practices bei der Implementierung von Zero Trust und wie hängt es mit dem Prinzip des geringsten Privilegs zusammen?
Moderne Unternehmen werden zunehmend mobil: Die Mitarbeitenden greifen über die unterschiedlichsten Geräte von außerhalb des Firmennetzwerks auf Anwendungen und Cloud-Services zu. Nach wie vor verfolgen die meisten Organisationen jedoch das Prinzip „Erst bestätigen, dann vertrauen“.
Das heißt, wenn jemand die richtigen Nutzeranmeldedaten hat, darf er auf die Website, die App oder das Gerät zugreifen. Dies führt allerdings zu erhöhten Sicherheitsrisiken durch Datendiebstahl, Malware- und Ransomware-Angriffe.
Heutzutage muss der Schutz innerhalb digitaler Infrastrukturen dort ansetzen, wo sich Anwendungen, Daten, Nutzer und Geräte befinden.
Hier kommt das Zero-Trust-Konzept ins Spiel. NTT Ltd. in Deutschland erklärt, was darunter zu verstehen ist und wie die neue Architektur am besten umgesetzt wird.
Was unterscheidet Zero Trust von herkömmlichen Sicherheitsarchitekturen?
Bei Zero Trust handelt es sich nicht um ein Produkt oder eine Dienstleistung von der Stange, sondern um einen Ansatz beim Entwerfen und Implementieren der folgenden Sicherheitsprinzipien: explizite Verifizierung, Beschränkung der Zugriffsrechte inklusive risikobasierter, adaptiver Richtlinien sowie Minimierung der Auswirkungen, wenn es dann doch zu einem Sicherheitsvorfall kommt.
Anstatt zu glauben, dass alles hinter der Firewall sicher ist, wird beim Zero-Trust-Modell standardmäßig von einer Sicherheitsverletzung ausgegangen und jede Anforderung so überprüft, als stamme sie von einem nicht kontrollierten Endgerät.
Bei der Implementierung eines entsprechenden Frameworks kommen Technologien wie risikobasierte Multi-Faktor-Authentifizierung, Identitätsschutz, Endgerätesicherheit der nächsten Generation sowie robuste Cloud-Workload-Technologie zum Einsatz, um die Benutzer- oder Systemidentität zu überprüfen, den Zugriff zum jeweiligen Zeitpunkt abzuwägen und so die Sicherheit aufrechtzuerhalten.
Darüber hinaus werden auch Überlegungen hinsichtlich der Verschlüsselung von Daten sowie der Kontrolle der IT-Hygiene von Assets und Endgeräten angestellt, bevor eine Verbindung zugelassen wird.
Worauf müssen Unternehmen bei der Umsetzung achten?
Die Implementierung einer Zero-Trust-Architektur lässt sich nicht an einem Tag realisieren. Zero Trust ist ein Framework, das viele Formen annehmen kann und dessen erfolgreiche Umsetzung etwas Zeit in Anspruch nimmt. Entscheidend ist eine gute Planung:
Bei der Entwicklung müssen Sicherheits- und IT-Teams strategisch denken: Was soll geschützt werden und vor wem soll es geschützt werden? Die konkrete Gestaltung der Architektur hängt von den Antworten auf diese beiden Fragen ab. Entsprechend hat sich der Ansatz am effektivsten erwiesen, die gewählte Zero-Trust-Strategie – und nicht etwa die Technologien und Prozesse – als Grundlage zu betrachten, auf der die Sicherheitsarchitektur aufbaut.
Sind die bisherigen Investitionen damit umsonst gewesen?
Unternehmen haben im Laufe der Jahre teils erhebliche Summen in IT-Sicherheit investiert. Für die Implementierung einer Zero-Trust-Architektur ist es keineswegs erforderlich, vorhandene Technologien vollständig zu ersetzen oder enorme Investitionen in neue Technologien vorzunehmen. Stattdessen sollten sie bei der Planung bereits vorhandene Sicherheitspraktiken und -tools einbeziehen.
Viele Organisationen verfügen bereits über die notwendige Basis für eine Zero-Trust-Architektur. Das umfasst unter anderem Identitäts- und Zugriffsmanagement, Autorisierung, automatisierte Richtlinienentscheidungen, Patching von Ressourcen, kontinuierliches Monitoring durch Protokollierung und Analyse von Transaktionen, weitestgehende Automatisierung von wiederholbaren, fehleranfälligen Aufgaben sowie Verhaltensanalysen und Threat Intelligence für einen besseren Schutz von Assets. Darauf aufbauend wird eine umfassende Zero-Trust-Architektur realisiert.
„Eine hundertprozentige Sicherheitsstrategie gibt es nicht und Datenpannen werden sich nie vollkommen verhindern lassen. In der Praxis hat sich Zero Trust deshalb als eine der effektivsten verfügbaren Strategien bewährt“, erklärt Sebastian Ganschow, Director of Cybersecurity Solutions bei NTT Ltd. in Deutschland.
„Zwar ist der Aufbau einer Zero-Trust-Architektur sicherlich kein Projekt, das sich nebenher umsetzen lässt. Es lohnt sich aber. Bei korrekter Implementierung können Eindringlinge effizienter erkannt sowie abgewehrt werden. Im Kampf gegen aktuelle Bedrohungen, bei denen herkömmliche IT-Sicherheitskonzepte inzwischen massiv an ihre Grenzen stoßen, ist das ein entscheidender Pluspunkt.“
Themen:
LESEN SIE AUCH
Cyberattacken auf deutsche Wirtschaft mit Rekordschäden
Ransomware im Finanzsektor: DORA-Verordnung als Chance für Unternehmen
DORA definiert spezifische Anforderungen an das Risikomanagement von Finanzdienstleistern und enthält gesetzliche Regelungen zu zentralen Bereichen, wie der präzisen Meldung von IKT-Vorfällen und dem Risikomanagement durch Dritte.
Vier von fünf Unternehmen haben IT-Sicherheitslücken
Der Mittelstand überschätzt die Qualität seiner IT-Sicherheit und unterschätzt die Risiken eines Cyberangriffs. So halten rund 80 Prozent der Entscheider ihr Unternehmen für ausreichend geschützt. Insgesamt erfüllen aber lediglich 22 Prozent grundlegende technische Sicherheitsmaßnahmen komplett.
Ransomware-Vorfälle auf besorgniserregendem Niveau
Hacker nehmen zunehmend digitale Lieferketten ins Visier und starten massenhafte Cyberangriffe, um Geld von Unternehmen zu erpressen. Zwischen 2019 und 2022 stieg die Zahl der Cyber-Vorfälle, in denen Daten abfließen, auf fast 80 Prozent. Für 2023 ist ein weiterer signifikanter Anstieg absehbar.
Unsere Themen im Überblick
Themenwelt
Wirtschaft
Management
Recht
Finanzen
Assekuranz
Cyberangriffe: „Die Antwort auf hybride Kriegsführung muss hybride Sicherheit sein“
Das Bundeskabinett will die Geschäftsordnung für den neuen Nationalen Sicherheitsrat beschließen. Er soll den bisherigen Bundessicherheitsrat ablösen und künftig eine integrierte Sicherheitspolitik koordinieren, Strategien entwickeln und gemeinsame Lagebewertungen vornehmen. Besonders Cyberangriffe und digitale Sabotage rücken dabei ins Zentrum – mit erheblichen Auswirkungen auch für die Versicherungswirtschaft.
Cyberversicherung in der Schweiz: Markt wächst kräftig, Schutzlücken bei KMU bleiben
Der Schweizer Markt für Cyberversicherungen verzeichnet weiterhin starkes Wachstum: Das Prämienvolumen stieg 2024 um 22 Prozent auf 172 Millionen Franken. Damit ist die Cyberversicherung laut der aktuellen Erhebung des Schweizerischen Versicherungsverbandes (SVV) die am dynamischsten wachsende Versicherungssparte im Land. Aktuell verfügen rund 10,8 Prozent der in der Schweiz ansässigen Unternehmen über eine Cyberversicherung.
Cybersicherheit: Bund beschließt NIS2-Umsetzung – Bitkom mahnt Nachbesserungen an
Mit der NIS2-Richtlinie will die EU die Cybersicherheit in Europa stärken. Bei der Umsetzung räumt der Bund seinen Behörden allerdings erhebliche Ausnahmen ein, moniert der Digitalverband Bitkom - und das ist nicht der einzige Kritikpunkt.
Allianz-Tochter gehackt: Kundendaten bei US-Lebensversicherer abgeflossen
Die Allianz Lebensversicherung in den USA ist Opfer eines Hackerangriffs geworden. Bei dem Vorfall wurden unter anderem Sozialversicherungsnummern von Versicherten kompromittiert. Wie der Konzern reagiert – und welche Fragen offen bleiben.
Die neue Ausgabe kostenlos im Kiosk
Werfen Sie einen Blick in die aktuelle Ausgabe und überzeugen Sie sich selbst vom ExpertenReport. Spannende Titelstories, fundierte Analysen und hochwertige Gestaltung – unser Magazin gibt es auch digital im Kiosk.
"Unabhängigkeit hat viele Gesichter"
Was bedeutet Unabhängigkeit im Versicherungsvertrieb wirklich?