Cybersecurity: Keine Einfallstore mit Zero Trust.

«Trust but verify», so lautete das IT-Security-Motto in vielen Unternehmen über Jahre hinweg. Doch der Glaubenssatz vom Vertrauen, das mit Kontrolle abgesichert werden kann, ist im heutigen Cybersicherheitsumfeld nicht mehr gültig. Das aktuelle IT-Security-Schlagwort heisst «Zero Trust» – will heissen Null Vertrauen. Dabei geht es nicht um eine spezielle Technologie, sondern vielmehr um ein Konzept. Dieses bestimmt, dass Benutzern, Geräten oder Applikationen grundsätzlich kein Vertrauen mehr entgegengebracht wird – auch wenn wir sie kennen. Forrester definiert Zero Trust wie folgt: «Zero Trust ist ein Informationssicherheitsmodell, das den Zugriff auf Anwendungen und Daten standardmässig verweigert. Der Schutz vor Bedrohungen wird dadurch erreicht, dass der Zugang zu Netzwerken und Workloads nur auf der Grundlage von Richtlinien gewährt wird, die auf einer kontinuierlichen, kontextbezogenen und risikobasierten Überprüfung der Benutzer und der mit ihnen verbundenen Geräte basieren.»

Null Vertrauen - um Vertrauen zu schaffen

Natürlich wird «Zero Trust» oft missverstanden. Das überrascht nicht, geht es doch in letzter Konsequenz darum, alle Teilnehmer und Risiken im IT-System eines Unternehmens zu überprüfen und zu bewerten – und zwar nicht nur einmal, sondern kontinuierlich. Das heisst, dass Sie Ihr gesamtes Unternehmensnetz nicht mehr als implizite Vertrauenszone betrachten, und dass keine Ressource und kein Endgerät als vertrauenswürdig eingestuft werden. Doch Mitarbeiter, Partner und Kunden, die Sie aus diesem Grund authentifizieren, werden durch Zero Trust genauso geschützt wie die IT-Infrastruktur des Unternehmens. Da die digitale Welt immer gefährlicher wird, schaffen Zero-Trust-Massnahmen Vertrauen[i].

Die Zero-Trust-Philosophie tauchte vor ungefähr zehn Jahren erstmals auf. Die Corona-Pandemie und der massenhafte Umzug ins Homeoffice brachten erhebliche Sicherheitslücken ans Licht, vor allem als es um dezentralisierte Umgebungen, also die Nutzung von Endgeräten in Verbindung mit dem zunehmenden Einsatz von Cloud-Technologie ging. Hybride Cloud-Infrastrukturen führen dazu, dass IT-Ressourcen dezentralisiert werden; Überwachung ist oft nicht einfach. Die Folge: Traditionelle Perimeter-Sicherheit reicht nicht mehr aus, Zero-Trust-Modelle erhalten einen Schub. Das zeigt sich in den Marktstatistiken. Der globale Zero-Trust--Sicherheitsmarkt wurde im Jahr 2020 auf rund 20 Milliarden US-Dollar geschätzt. Heute, zwei Jahre später, sind es bereits 27.4 Milliarden, und bis 2027 soll der Markt auf 60,7 Milliarden US-Dollar ansteigen, mit einer jährlichen Wachstumsrate von 17,3 Prozent[ii].

Sicherheit ohne Netzwerkrand

In der Zero-Trust-Philosophie gibt es keinen Netzwerkrand. Netzwerke können überall sein, lokal oder in der Cloud oder an beiden Orten, genauso wie Teammitglieder mit ihren Ressourcen an jedem beliebigen Ort arbeiten können. Gemäss IBM sind aber immer noch mehr als die Hälfte aller Unternehmen nicht in der Lage, Daten zu sichern, die über mehrere Cloud- und lokale Umgebungen hinweg genutzt werden - was die Wertschöpfung erheblich behindern kann. Eine Mehrheit sei ausserdem nicht in der Lage, neue Cloud-native Funktionen sicher zu aktivieren und auf ihre internen und externen Partner auszuweiten. Auf der anderen Seite der Medaille finden sich jene Unternehmen, die ihren Mitbewerbern voraus sind, wenn es darum geht, Zero-Trust-Funktionen einzusetzen. Gemäss einer Studie des IBM Instituts für Unternehmenswert in Zusammenarbeit mit Oxford Economics geben diese einen ähnlichen Prozentsatz an IT-Budgets und Ressourcen für die Cybersicherheit aus, wie ihre Mitbewerber, ziehen aber mehr Vorteile daraus. Mit anderen Worten: Diese Unternehmen haben mit Zero Trust ihre Investitions- und Betriebsausgaben für die Sicherheit gesenkt und gleichzeitig die Effektivität ihrer Cybersicherheit erhöht.

Von der Philosophie über die Prinzipien zur Architektur

Zero Trust bietet den Rahmen für die Sicherung von modernen IT-Infrastrukturen. Es zeigt auf, wie Mitarbeiter an entfernten Standorten und hybride Cloud-Umgebungen gesichert werden können und wie vor spezifischen Bedrohungen geschützt werden kann. Es gibt verschiedene Definitionen von Zero Trust (siehe oben). Den Standard setzt aber das amerikanische National Institute of Standards and Technology (NIST) wie folgt: «Zero Trust ist eine Sammlung von Konzepten und Ideen, die darauf abzielen, die Unsicherheit beim Treffen von präzisen Zugriffsentscheidungen mit den geringsten Rechten pro Anfrage in Informationssystemen und -diensten zu minimieren. Die Zero-Trust-Architektur (ZTA) ist der Cybersicherheitsplan eines Unternehmens, der Zero-Trust-Konzepte verwendet und Komponentenbeziehungen, Workflow-Planung und Zugriffsrichtlinien umfasst.»

Die Zero-Trust-Architektur erwächst also aus der Zero-Trust-Philosophie. Dabei werden die Zero-Trust-Prinzipien befolgt. Gemäss NIST lauten diese wie folgt[iii]:

• Alle Datenquellen und Rechendienste werden als Ressourcen betrachtet.
• Die gesamte Kommunikation ist gesichert - unabhängig vom Standort des Netzes.
• Der Zugriff auf einzelne Unternehmensressourcen wird jeweils per Sitzung gewährt.
• Der Ressourcenzugriff wird durch dynamische Richtlinien bestimmt - einschliesslich des feststellbaren Zustands der Client-Identität, der Applikation oder Dienstleistung und des anfragenden Assets - und kann weitere Verhaltens- und Umgebungsattribute umfassen.
• Das Unternehmen überwacht und bewertet die Integrität und die Sicherheitslage aller eigenen und damit verbundenen Vermögenswerte.
• Alle Ressourcenauthentifizierungen und -autorisierungen sind dynamisch und werden strikt durchgesetzt bevor der Zugriff erlaubt wird.
• Das Unternehmen sammelt so viele Informationen wie möglich über den aktuellen Zustand seiner Vermögenswerte, Netzinfrastruktur und Kommunikation und nutzt sie zur Verbesserung seiner Sicherheitslage.

Eine Zero-Trust-Infrastruktur basiert auf modernster Technologie

Bei der Umsetzung der obenstehenden Prinzipien kommen unter anderem Applikationen für den Schutz von Cloud Workloads, Multi-Faktor-Authentifizierung und die Absicherung von Endgeräten zum Einsatz. Ausserdem müssen Daten verschlüsselt, E-Mails gesichert und Geräte überprüft werden, bevor sie in ein Zero-Trust-Network passen. Wir bei UMB können dafür sowohl die Technologie als auch das notwendige Know-how liefern und haben auch die notwendigen Partner. Zum Beispiel IBM, wo Zero Trust ebenfalls ein zentrales Thema ist[iv]. UMB ist erster und grösster IBM Platinum Business Partner der Schweiz. Bei UMB setzen wir das Zero-Trust-Konzept basierend auf verschiedenen Technologien und prozessualen Ansätzen ganzheitlich um. Wir betrachten Cybersicherheit als integrale Disziplin in der IT-Landschaft und verstehen die Herausforderungen einer sich schnell verändernden Welt. Cybersicherheit wird bei UMB nicht isoliert, sondern als Teil der IT-, Workplace- und Digitalisierungs-Konzepte betrachtet. Two Factor Authentication, Multi Factor Authentication, Conditional Access und Identity Protection: Wir unterstützen Sie in diesen und vielen weiteren Sicherheitsbereichen. Wir sorgen ausserdem für erstklassige Web-Security durch leading Edge Endpoint Protection sowie Storage and Data Encryption.
Wollen Sie mehr über das Zero-Trust-Konzept wissen? Kontaktieren Sie uns. 

[i] Cyberkriminalität 2021: Wenig Licht und viel Schatten

[ii] Zero Trust Security Market worth $60.7 billion by 2027

[iii] Zero Trust Architecture

[iv] IBM Zero Trust Field Guide