Zero-Trust war einst so etwas wie die Speerspitze der Cybersicherheit und ebnete den Weg in eine perimeterlose Zukunft. Inzwischen scheint der Begriff aber zu einem reinen Branchenschlagwort geworden zu sein, von Marketingfachleuten derart überstrapaziert, dass er zum Klischee mutiert ist. Einigkeit scheint zumindest darüber zu herrschen, dass wir Zero-Trust brauchen – aber was genau ist damit eigentlich gemeint?
Der Zeitpunkt, zu dem Zero-Trust ein Schlagwort wurde, lässt sich leicht identifizieren. Im Laufe der Jahre wurden Sicherheitsperimeter obsolet. Stattdessen erlauben es mobile Endgeräte und Cloud-Anwendungen ihren Nutzern von überall aus zu arbeiten. Die Pandemie war ein Wendepunkt für remote Working und hat den Übergang zu einem „Work from Anywhere“-Modell weiter beschleunigt. Ein Szenario, in dem die Mitarbeiter ihre Geräte außerhalb des Netzwerkperimeters verwenden. Unternehmen waren und sind gezwungen, sich an diese Veränderungen anzupassen, wenn sie weiterhin Sicherheit gewährleisten wollten.
CEOs und COOs sind naturgemäß bestrebt, diese neuerlichen Anforderungen so schnell wie möglich umsetzen. Zero-Trust schien den meisten unter ihnen die geeignete Strategie zu sein. Der Bedarf rief zügig verschiedenste Anwender auf den Plan. Die erklärten wortreich wie ihre Lösung Zero-Trust erlaubt oder doch zumindest ein Konzept bereitstellt, das den Ansatz einigermaßen widerspiegelt. Dies hat nicht unwesentlich dazu beigetragen, die Bedeutung des Begriffs Zero-Trust zu verzerren. Die meisten Varianten stellten sich bei näherer Betrachtung als ein Sammelsurium von Produkten heraus, verbunden mit virtuellen privaten Netzwerken (VPN) und ausgestattet mit lediglich elementaren On-Off-Zugangskontrollen auf der Grundlage begrenzter Transparenz.
Der Begriff Zero-Trust wurde im Jahr 2014 geprägt. Seitdem hat sich einiges verändert. Daten und Apps sind in die Cloud gewandert und halten sich nicht an dateibasierte Zugriffsregelungen oder Domain-orientierte Kontrollen. Heutzutage sind Daten anders strukturiert, wenn sie überhaupt strukturiert sind, Kollaborations- und Kommunikationstechnologien haben sich weiterentwickelt, Endpunkte beschränken sich nicht mehr allein auf unternehmenseigene Geräte. Und nicht zuletzt haben sich die Bedrohungen, denen sie ausgesetzt sind, weiterentwickelt. So wie sich alles andere verändert hat, muss sich zwangsläufig auch das Zero-Trust-Konzept ändern und weiterentwickeln. Es braucht einen modernen Ansatz, um die am besten geeignete Lösung für die aktuelle Situation zu finden.
Nächste Schritte – bessere Telemetrie
Viele der heute verfügbaren Produkte, die den Zugriff regeln, leisten einfach nicht genug. Sie überprüfen zwar den Sicherheitsstatus von Benutzern und Endpunkten in dem Moment, in dem diese sich mit der Infrastruktur verbinden, aber das reicht nicht. Nur weil sich ein Benutzer sein Passwort merkt, 2FA (Zwei-Faktor-Authentifizierung) und ein verwaltetes Gerät mit Antivirus verwendet, macht ihn das nicht per se vertrauenswürdig. Um intelligente Zugangsentscheidungen zu treffen, die sensible Daten schützen und gleichzeitig die Produktivität fördern, braucht man umfassende Transparenz hinsichtlich aller Daten, Apps und Endpunkte.
Will man eine zeitgemäße Zero-Trust-Architektur implementieren, kommt man nicht umhin, jede Veränderung des Risikolevels auf allen Geräten und kontinuierlich nachzuhalten. Dies gilt auch für Android-, Chrome-OS- und iOS-basierte Geräte. Sie sind ein bevorzugtes Ziel für Angriffe, bei denen Anmeldeinformationen gestohlen und mittels Advanced-Persistent-Threats (APT) ausgekundschaftet werden. Mobilgeräte, selbst unternehmenseigene, sind nur selten mit dem Perimeter des Unternehmens verbunden, weil sie häufig mobiles oder öffentliches WLAN nutzen und zudem Software- und Anwendungsschwachstellen aufweisen.
Analyse des Benutzerverhaltens erforderlich
Auch Benutzer müssen kontinuierlich in die Risikobewertung einbezogen werden, denn sie verhalten sich ähnlich komplex. Wenn Sie verstehen, wie Benutzer sich verhalten, verbessern Sie die auf Anomalien basierende Erkennung. Zentral ist, dass Sie nicht nur Transparenz über alle im Unternehmen verwendeten Apps und Daten bekommen, sondern auch darüber, wie darauf zugegriffen wird. Denn das liefert detaillierte Informationen über die Benutzer und ihre typischen Aktivitäten. Ungewöhnliches Verhalten zu erkennen, hilft Ihnen festzustellen, ob eine Insider-Bedrohung vorliegt oder die Anmeldeinformationen eines Benutzers missbraucht wurden, und erlaubt es Ihnen, den Zugang zu kontrollieren und die Bedrohung bei Bedarf zu entschärfen. Eine kontinuierliche Risikobewertung von Nutzern und Endpunkten ist also unerlässlich. Gleichzeitig muss gewährleistet sein, dass die Nutzer produktiv arbeiten können und sensible Daten geschützt werden. Deshalb gilt es, Richtlinien durchzusetzen werden, die das Risiko mit dem Grad der Sensibilität der Daten ausbalancieren.
Die zeitgemäße Methode
Unternehmen brauchen einen modernen Zero Trust-Ansatz, der Sicherheit, Transparenz und Zugangskontrollen auf einer einzigen Plattform vereint. Mittels eines Continuous-Conditional-Access (CCA) kann ein Unternehmen beispielsweise Richtlinien und Konfigurationen festlegen, die alle typischen Indikatoren auf Endpunkten wie bösartige Apps oder kompromittierte Geräte berücksichtigen. Die integrierte Zugangsplattform ermöglicht es gleichzeitig, alle Anzeichen eines anomalen Verhaltens, etwa ungewöhnliche Muster oder Standorte, zu überwachen. Sobald diese Telemetriedaten zusammengetragen sind, kann man mit Bedrohungen angemessen umgehen. Also etwa den Zugriff auf sensible Daten einschränken, eine Authentifizierung verlangen und im Falle einer Datenschutzverletzung sogar den Zugang komplett sperren.
Zero-Trust steht ein neues Zeitalter bevor und entsprechend sollte die Architektur neu gestaltet werden. Durch die Implementierung einer integrierten Sicherheits- und Zugangsplattform erhalten Unternehmen umfassenden Einblick, was Endpunkte, Benutzer, Netzwerke, Apps und Daten anbelangt, und dies wiederum erlaubt eine vollständige Kontrolle vom Endpunkt bis in die Cloud. Das ist nicht nur die Voraussetzung, um Bedrohungen effektiv zu erkennen, sondern auch Compliance-Anforderungen zu erfüllen und letztlich Datenschutzverletzungen zu verhindern.
Von Sascha Spangenberg, Lookout
