Zero Trust, das Sicherheitsmodell der digitalen Transformation

Veröffentliche eine Notiz:

Die Entwicklung digitaler oder digital unterstützter Geschäftsmodelle schreitet in den Unternehmen mit zunehmender Geschwindigkeit voran. Die Adaption von Cloud Technologien ist weit verbreitet und Hybride Multi Cloud Architekturen gehören längst zum Standard. Verstärkt wurde diese Entwicklung in den vergangenen Monaten durch die explosionsartige Zunahme von Remote Arbeitsplätzen. Das führt dazu, dass Unternehmen ihre Sicherheitstools, Teams und Prozesse über alle Sicherheitsbereiche hinweg vereinheitlichen und integrieren sollten. Denn nur so lassen sich wichtige Kontrollen durchzusetzen, Abweichungen erkennen und erforderliche Maßnahmen ergreifen.

Die deutlich zunehmende Komplexität der hieraus resultierenden IT-Infrastrukturen hat den „Außenbereich“ der Unternehmen neu definiert. Der noch vor wenigen Jahren verbreitete Ansatz des implizierten Vertrauens für Ressourcen innerhalb fiktiven Unternehmensgrenzen, macht in dezentralen, verteilten und diversifizierten Umgebungen nur wenig Sinn.

Neben der Komplexität nimmt die Anzahl und vor allem auch die Qualität von Cyber-Angriffen stetig zu. Unternehmen werden so gezwungen, bestehende Sicherheitsinfrastrukturen zu hinterfragen und neue, verbesserte Möglichkeiten zu implementieren, um ihre Daten und Vermögenswerte zu schützen.

In dieser Folge hat sich ein neues Denkmodell für die Cybersicherheit etabliert, das als „Zero Trust“ bezeichnet wird.  Eine Zero-Trust-Strategie geht davon aus, dass es kein implizites Vertrauen in Anwender, Anwendungen und Systeme gibt. Das Zero-Trust-Modell, beschreibt einen Ansatz für das Design und die Implementierung einer Sicherheitsarchitektur, bei der ein Zugriff auf Daten und Ressourcen nur dann gewährt wird, wenn dieser für den definierten Zweck zwingend erforderlich ist.

Dabei ist Zero Trust als Paradigma nicht neu und wurde bereits vor vielen Jahren durch Forrester geprägt. Erst die in den vergangenen Jahren stattgefundene, zunehmende Adaption von mobilen und Cloud-Diensten half der Idee hinter „Zero Trust“ zu der heutigen Popularität. Diese Popularität hat dazu geführt, dass Zero Trust Modelle in den vergangenen Jahren Einzug in eine Reihe von Definitionen und Standardisierungen durch anerkannte Organisationen wie NCSC und NIST Einzug gehalten haben.

Das Paradigma hinter Zero Trust ist einfach und schnell erklärt, denn letzten Endes geht es lediglich darum, dem richtigen Benutzer, unter den richtigen Bedingungen, den für einen definierten Zweck notwendigen Zugang zu den erforderlichen Daten und Systemen zu ermöglichen. Die Umsetzung dieses Prinzips erfordert damit umfangreiche Maßnahmen zur sicheren und stetigen Authentifizierung sämtlicher Anwender, Anwendungen und Systeme.

Dabei stützt sich ein Zero Trust Modell auf drei wesentliche Säulen.

• Authentifizierung und Verifizierung des Zugriffs auf alle Ressourcen.
• Einführung eines Modells der geringsten Privilegien.
• Protokollierung, Überwachung und Analyse sämtlicher Aktivitäten und falls nötig das sofortige Ergreifen von Gegenmaßnahmen.

Eine Zero Trust Strategie umzusetzen bedeutet zunächst einmal, die Kommunikationsbeziehungen innerhalb des Unternehmens zu verstehen. Welche Anwender und Anwendungen benötigen den Zugriff auf welche Daten und Systeme. Datenbestände sind zu inventarisieren, Zugriffsrechte auf Daten müssen definiert werden und die Übertragung von Informationen ist zu verschlüsseln.

Für eine erfolgreiche Implementierung müssen Unternehmen ihre Sicherheitstools, Teams und Prozesse über alle Sicherheitsbereiche hinweg vereinheitlichen und integrieren. Denn nur über Tool übergreifende gemeinsame Erkenntnisse hinweg, lassen sich wichtige Kontrollen durchzusetzen, Abweichungen erkennen und erforderliche Maßnahmen orchestrieren.

Was Zero Trust für ein Unternehmen und seine einzelnen Funktionsbereiche bedeutet und wie sich dieses Prinzip umsetzen lässt, zeigt IBM Security auf seinem EMEA Security Summit, am 15. Juni ab 10:00 Uhr.

Erleben Sie Zero Trust aus der Sicht eines CISOs und seines Teams. Melden Sie sich noch heute an.

Sie haben Fragen? Sehr gerne! Schreiben Sie mir unter martin.runde@de.ibm.com und ich komme gern auf Sie zu.