Cybersecurity

Schotten dicht

18. November 2022, 8:40 Uhr | Autor: Philipp Merth / Redaktion: Diana Künstler | Kommentar(e)
Stop
© Rancz Andrei - 123RF

Wie Zero Trust und Mikrosegmentierung Firmennetze schützen können.

Der Artikel beantwortet unter anderem folgende Fragen:

  • Was sind die wichtigsten Vorteile von Zero Trust?
  • Was ist Mikrosegmentierung?
  • Wie lässt sich eine Zero-Trust-Strategie umsetzen?
  • Was ist bei der Partnerwahl zu beachten?

Hybride Arbeitsmodelle und die vermehrte Nutzung von Cloud-Ressourcen erfordern neue Methoden der Netzwerksicherheit. Moderne Zugangskonzepte und Netzwerkarchitekturen helfen, das Risiko eines Cybereinbruchs zu minimieren. Das Firmennetz ist heute überall und nicht mehr an einen physischen Ort gebunden. Die traditionelle Einteilung in „unsicheren“ externen Datenverkehr und „sichere“ interne Verbindungen funktioniert daher nicht mehr. Das haben die meisten Unternehmen auch erkannt, wie eine aktuelle Umfrage des Marktforschungsunternehmens IDC zeigt1. Demnach nutzen bereits elf Prozent der Studienteilnehmer moderne Security-Ansätze wie ZTNA (Zero Trust Network Access), SASE (Secure Access Service Edge) oder SDP (Software-Defined Perimeter), 38 Prozent sind in der Umsetzung und weitere 26 Prozent planen die Einführung in den kommenden zwölf Monaten.

Beim Thema Netzwerksicherheit kommt vor allem dem Zugangsschutz eine entscheidende Bedeutung zu. In traditionellen Netzumgebungen können interne Anwender und Dienste nach einmaliger Authentifizierung meist ungehindert auf eine Vielzahl von Ressourcen zugreifen. Dieses prinzipielle Vertrauen ist in einer verteilten Welt gefährlich. Daher haben Sicherheitsexperten das Zero-Trust-Konzept entwickelt, das der veränderten Sicherheitslage Rechnung trägt. Nach dem Motto „Vertraue niemandem, überprüfe alles“ stuft es jeden Zugriff zunächst als gefährlich ein. Zudem gilt das „Least-Privilege“-Prinzip: Bei jedem Login werden nur die Rechte erteilt, die für die Ausführung der jeweiligen Aufgabe unbedingt notwendig sind. Art und Umfang der Authentifizierung können außerdem dynamisch angepasst werden. Greift beispielsweise ein Anwender aus dem internen Firmennetz zu den üblichen Bürozeiten auf seine Arbeitsdaten zu, muss er nur sein Passwort eingeben, aus dem Homeoffice oder von unterwegs ist dagegen eine Multi-Faktor-Authentifizierung (MFA) über biometrische Merkmale, Tokens oder Smart Cards erforderlich.

Anbieter zum Thema

zu Matchmaker+

Die wichtigsten Vorteile von Zero Trust

Für Unternehmen ergeben sich mit der Einführung von Zero Trust vor allem folgende Vorteile:

  • Erhöhtes Sicherheitsniveau: Zero Trust ist standortunabhängig und bietet eine gleichbleibende Sicherheit, egal wo sich das Endgerät, der Nutzer oder die Anwendung befindet. Selbst wenn Angreifer Nutzer-Accounts oder Cloud-Zugänge übernehmen können, bleibt der Schaden in der Regel begrenzt. Vor allem die Mikrosegmentierung des Netzes (siehe Kasten) schützt effizient vor einer Infiltrierung weiterer Systeme und Bereiche.
  • Mehr Nutzerkomfort: Da jeder Netzverkehr gleich behandelt wird, gibt es für Anwender – abgesehen von Latenz und Bandbreite – keinen Unterschied mehr, ob sie aus dem Büro oder aus dem Homeoffice auf ihre Daten und Applikationen zugreifen.
  • Weniger Komplexität: Statt eine Vielzahl von Zugangstechnologien und -systemen zu verwalten und abzusichern, müssen Sicherheitsverantwortliche nur noch ein einziges System aufbauen, warten und pflegen.
  • Sichere Cloud-Einbindung: Cloud-Accounts vergrößern die Angriffsfläche und stellen ein hohes Sicherheitsrisiko dar. In einer Zero-Trust-Architektur werden sie genauso abgesichert wie alle anderen Zugangspunkte.
  • Bessere Compliance: In traditionellen Netzwerken lassen sich Regelverstöße gegen Security-Policies, Datenschutzrichtlinien und andere Compliance-Vorgaben nur schwer überwachen und durchsetzen. In einer Zero-Trust-Umgebung sind dagegen alle Regeln konsistent in die Architektur integriert und werden bei allen Zugriffen automatisch angewendet.
Zusätzlicher Schutz durch Mikrosegmentierung

Selbst in einem Zero-Trust-Netzwerk kann es Angreifern gelingen, die Authentifizierungs- und Autorisierungshürden zu überwinden. Einmal eingedrungen, nistet sich Malware häufig auf den betroffenen Systemen ein und sucht nach Wegen, sich weitere Rechte zu verschaffen oder andere Systeme zu befallen. Diese als „Privilege Escalation“ und „Lateral Movement“ bekannten Strategien lassen sich durch eine Mikrosegmentierung des Netzes weitgehend unterbinden. Dabei wird die Infrastruktur in kleine logische Bereiche aufgeteilt, die gegeneinander abgeschottet sind. Ein Angreifer bleibt so in der Zone stecken, für die er die Rechte erhalten hat, und kann sich nicht über das gesamte Netz ausbreiten. Eine solche Zonierung ist am einfachsten in einem Software-basierten Netzwerk (Software-Defined Network, SDN) zu realisieren, in dem die Switching-Intelligenz von der Hardware-Ebene getrennt in Software abgebildet wird. Administratoren können so Zonen dynamisch definieren und flexibel an neue Anforderungen anpassen, ohne dass die physische Infrastruktur geändert werden muss.

Umsetzung von Zero Trust

Unternehmen brauchen vor allem Klarheit über ihr aktuelles Sicherheitsniveau, um an den richtigen Stellschrauben drehen und den größtmöglichen Nutzen aus Zero Trust ziehen zu können. Daher ist zunächst eine Business-Impact-Analyse durchzuführen, die folgende Fragen beantwortet: Welche Bedrohungen haben den größten Einfluss auf die Geschäftstätigkeit? Wo liegen die größten Schwachstellen? Welche Folgen können Einbrüche ins Netzwerk haben? Welche Maßnahmen wurden bereits ergriffen, um Risiken zu minimieren?

Die Business-Impact-Analyse zeigt unter anderem, wo schon kleine Veränderungen, beispielsweise die Einführung von MFA, deutliche Verbesserungen des Sicherheitsniveaus erzielen. Es empfiehlt sich ohnehin, das Zero-Trust-Projekt mit kleinen Schritten zu beginnen und iterativ vorzugehen, statt aufwendige Fünfjahrespläne aufzustellen. Oft ist es gar nicht notwendig, die IT-Sicherheitsarchitektur komplett zu erneuern. Gezielte Anpassungen an den richtigen Stellen führen bereits zu deutlichen Sicherheitsgewinnen.

Zero Trust ist nicht nur ein IT-Thema, sondern erfordert ein komplettes Umdenken. Schließlich wird die traditionelle Sichtweise in der Cybersicherheit geradezu auf den Kopf gestellt. Alles wird hinterfragt, die Beweislage umgekehrt, was nicht erlaubt ist, ist verboten. Diese Veränderung in der Denkweise muss mit einem entsprechenden Change-Management begleitet werden, wenn sie Früchte tragen soll. Da die Einführung von Zero Trust spürbare Auswirkungen auf die Arbeitsweise der Mitarbeitenden hat, müssen diese möglichst frühzeitig informiert und eingebunden werden. Führungskräfte sollten mit gutem Beispiel vorangehen, ihren Teams die Vorteile von Zero Trust deutlich machen, aber auch Ängste und Probleme in der Belegschaft ernst nehmen. Wie in jedem komplexen Prozess sind bei der Zero-Trust-Einführung Startschwierigkeiten zu erwarten. Auch das ist klar zu kommunizieren.

Den passenden Partner finden

Philipp Merth, Akamai
Philipp Merth ist Regional Vice President CER beim Sicherheitsspezialisten Akamai Technologies.
© Akamai Technologies

Die Umsetzung einer Zero-Trust-Strategie ist ein kontinuierlicher Prozess und kein Projekt, das sich in sechs oder zwölf Monaten abschließen lässt. Unternehmen sollten daher mit Technologie- und Implementierungspartnern zusammenarbeiten, die eine langfristige Perspektive bieten können, und deren Produkte und Services sich flexibel an veränderte Rahmenbedingungen adaptieren lassen. Dabei spielt neben Leistungsfähigkeit und Sicherheit vor allem die Benutzerfreundlichkeit eine große Rolle. Nur wenn Workflows einfach angepasst werden können und neue Anwendungen oder Nutzer in kurzer Zeit eingerichtet sind, wird das System auf Akzeptanz stoßen. Tools und Services sollten zudem möglichst effizient zusammenarbeiten und alle sicherheitsrelevanten Bereiche abdecken, ohne dass es zu Überlappungen kommt.

1 https://www.idc.com/getdoc.jsp?containerId=prEUR149540422


Das könnte Sie auch interessieren

Verwandte Artikel

Akamai Technologies GmbH

Matchmaker+