Sie sind hier: HomeMobile Solutions

Zero-Trust-Modell: Vertrauensbildende Maßnahmen

Mit der Dominanz von Smartphone und Tablet als Front-end auch in der Geschäftswelt und der Cloud als Back-end verschwimmen bisherige Grenzen zwischen innen und außen. Unternehmen benötigen deshalb einen flexibleren Sicherheitsansatz. Im Mittelpunkt dabei: der Grundsatz „Authentifizierung zuerst“.

IT-Sicherheit in Deutschland: Erster KRITIS-Branchenstandard wurde vom BSI zertifiziert. Bildquelle: © wutzkohphoto - Shutterstock

Moderne IT-Infrastrukturen machen es möglich: Der ortsgebundene Arbeitsplatz verschwindet und die Geschäftsprozesse verlagern sich immer mehr in die „mobile Allgegenwart“. Smartphone und Tablet bilden dabei das Front-end, als Back-end fungiert die Cloud. Mit dieser Konstellation löst sich aber der traditionelle Sicherheits-rahmen mit seinem genau definierten digitalen Grenzregime (Firewall, DMZ etc.) auf. In diesem Kontext konzentrierte sich die IT auf das zuverlässige Abschotten des Netzwerks gegen Übergriffe von außen. Schutzmechanismen waren Firewalls, Einbruchserkennungs- und Präventions-Systeme und ähnliches. In der Regel konnte man davon ausgehen, dass den Operationen, die innerhalb des Schutzwalls abliefen, absolut vertraut werden konnte. Böse Buben kamen einfach nicht hinein, so die (meistens auch durchaus) korrekte Einschätzung.

In Zeiten von Mobil-IT und (mobiler) Cloud ist eine solche Vertrauensbasis nicht mehr vorhanden. Denn die neue Freiheit, Daten immer verfügbar haben zu können, hat ihren Preis. Innen und außen gibt es in der alten Form nicht mehr, jeder ist verdächtig. Wozu sind der oder die in dieser Situation und an diesem Ort und mit diesem Endgerät berechtigt und wozu nicht, heißt die zentrale Frage. Niemand sollte sich einreden, dass er oder sie in einer sicheren Zone sei, beispielsweise in einem internen Unternehmensnetz, denn sichere Zonen gibt es per se nicht. Alle Akteure – ob in einem Unternehmen oder außerhalb eines Unternehmens – sind potenzielle Gefährder.

Sichere Zonen müssen in den heutigen IT-Infrastrukturen, die durch mobile Endgeräte und in der Cloud befindliche Unternehmensdaten geprägt sind, erst geschaffen werden. Man spricht in diesem Zusammenhang auch von einer software-definierten Umgebung (Software Defined Perimeter).

Wenn innen und außen nicht mehr statisch gegeben sind, sondern durch Software erst dynamisch erzeugt werden, steht im Übrigen auch eine traditionelle Sicherheitsmaßnahme wie ein Virtual Private Network (VPN) auf dem Prüfstand. Denn wenn Daten potenziell auch im innersten Kreis abgefangen werden können, tunnelt man unter solchen Umständen per VPN ja womöglich direkt superverschlüsselt Unternehmensinformationen in falsche Hände. Deswegen muss aber nicht gleich die ganze VPN-Technik auf die technische Müllhalde geworfen werden, aber doch im Lichte des „ausgefransten Perimeters“ überarbeitet werden.

Authentifizierung zuerst
Dreh- und Angelpunkt eines Zero-Trust-Ansatzes ist die Gestaltung der Zugangsmechanismen. Was dabei zu tun ist, lässt sich gut durch einen Vergleich mit der (bisherigen) Vorgehensweise bei der Netzwerkzugangskontrolle (Network Access Control, NAC) illustrieren: Bei NAC wird bisher zuerst eine Netzwerkverbindung zu einer bestimmten Ressource hergestellt und erst dann der Benutzer, der auf die Ressource zugreifen will, authentifiziert und autorisiert. Beim Konzept des software-definierten Perimeters, den man als technische Ausgestaltung der Zero-Trust-Idee ansehen kann, wird dagegen zuerst eine kontextbasierte Authentifizierung- und Autorisierungs-Routine angestoßen. Nur wenn sich dabei eine „weiße Weste“ herausstellt, wird die Netzwerkverbindung, beispielsweise ein VPN, geschaltet.

Bei der Authentifizierungs- und Autorisierungs-Routine werden unter anderem folgende Parameter abgeprüft:

  • Sind auf dem Endgerät die neuesten Patchprogramme aufgespielt?
  • Ist das Endgerät manipuliert (Jailbreak oder Rooting)?
  • Enthält das Endgerät technologisch fortschrittliche Schutzprogramme zur Abwehr von Cyberangriffen (beispielsweise Abwehrprogramme, die auf der Basis von maschinellem Lernen in Echtzeit Verhaltensanomalien erkennen)?
  • Aus welcher Region will sich das Endgerät einwählen?
  • Wird das Endgerät durch ein Enterprise-Mobility-Management-System verwaltet?
  • Kommen die Apps auf dem Endgerät aus einem verlässlichen AppStore und sind sie App-Risiko-Management-System geprüft?