Zero-Trust ist ein Framework, das davon ausgeht, dass jede Verbindung und jedes Endgerät eine Bedrohung darstellt, sowohl extern als auch intern innerhalb der Netzwerksicherheit eines Unternehmens. Sie ermöglicht es Unternehmen, eine umfassende IT-Strategie zu entwickeln, um den Sicherheitsanforderungen einer Hybrid-Cloud-Umgebung gerecht zu werden. Zero-Trust implementiert adaptiven und kontinuierlichen Schutz und bietet die Möglichkeit, Bedrohungen proaktiv zu verwalten.

Mit anderen Worten: Bei diesem Ansatz wird bei Transaktionen niemals auf die Vertrauenswürdigkeit von Benutzern, Geräten oder Verbindungen vertraut, sondern diese werden bei jeder einzelnen Transaktion überprüft. Dies ermöglicht es Unternehmen, Sicherheit und Transparenz in ihrem gesamten Unternehmen zu erlangen und einheitliche Sicherheitsrichtlinien durchzusetzen, was zu einer schnelleren Erkennung und Reaktion auf Bedrohungen führt.

Zero-Trust begann mit der Initiative „BeyondCorp“, die 2010 von Google entwickelt wurde. Ziel der Initiative war es, den Zugriff auf Ressourcen auf der Grundlage von Identität und Kontext zu sichern und sich vom traditionellen perimeterbasierten Sicherheitsmodell zu lösen. Diese Strategie ermöglichte es Google, Mitarbeitern von überall und mit jedem Gerät sicheren Zugriff auf Unternehmensanwendungen und -daten zu bieten, ohne dass ein VPN erforderlich war.

Im Jahr 2014 prägte der Analyst John Kindervag von Forrester Research den Begriff „Zero Trust“, um dieses neue Sicherheitsparadigma in einem Bericht mit dem Titel „The Zero Trust Model of Information Security“ (Das Zero-Trust-Modell der Informationssicherheit) zu beschreiben. Er schlug ein neues Sicherheitsmodell vor, das davon ausgeht, dass niemandem – weder innerhalb noch außerhalb des Unternehmensnetzwerks – ohne Überprüfung vertraut werden kann. Der Bericht skizzierte das Zero-Trust-Modell, das auf zwei Grundprinzipien basiert: „Niemals vertrauen, immer überprüfen.“

Alle Benutzer, Geräte und Anwendungen werden als nicht vertrauenswürdig eingestuft und müssen verifiziert werden, bevor ihnen Zugriff auf Ressourcen gewährt wird. Das Prinzip der minimalen Rechtevergabe bedeutet, dass jedem Benutzer oder Gerät nur das Mindestmaß an Zugriff gewährt wird, das für die Ausführung seiner Aufgabe erforderlich ist, und der Zugriff nur nach dem Need-to-know-Prinzip gewährt wird.

Seitdem hat das Konzept des Zero-Trust weiter an Dynamik gewonnen, und viele Organisationen haben seine Architekturen übernommen, um ihre Digital Assets besser vor Cyberbedrohungen zu schützen. Es umfasst verschiedene Sicherheitsgrundsätze und -technologien, die eingesetzt werden, um die Sicherheit zu stärken und das Risiko von Sicherheitsverletzungen zu verringern.

• Identitätsbasiertes Zero-Trust-Modell: Dieses Modell basiert auf dem Prinzip der strengen Identitätsprüfung, bei der jeder Benutzer und jedes Gerät vor dem Zugriff auf Ressourcen authentifiziert und autorisiert wird. Es basiert auf einer Multi-Faktor-Authentifizierung, Zugriffskontrollen und dem Prinzip der geringsten Privilegien.
• Netzwerkbasiertes Zero-Trust-Konzept: Hierbei liegt der Schwerpunkt auf der Sicherung des Netzwerkperimeters durch Segmentierung des Netzwerks in kleinere Segmente. Es zielt darauf ab, die Angriffsfläche zu verringern, indem der Zugriff auf bestimmte Ressourcen nur autorisierten Benutzern gewährt wird. Dieses Modell verwendet Technologien wie Firewalls, VPNs sowie Systeme zur Erkennung und Verhinderung von Eindringlingen.
• Datenbasiertes Zero-Trust: Dieses Modell zielt darauf ab, sensible Daten durch Verschlüsselung zu schützen und den Zugriff auf autorisierte Benutzer zu beschränken. Es verwendet Datenklassifizierung und -kennzeichnung, Technologien zur Verhinderung von Datenverlust und Verschlüsselung, um Daten im Ruhezustand, bei der Übertragung und bei der Nutzung zu sichern.
• Anwendungsbasiertes Zero-Trust: Hierbei liegt der Schwerpunkt auf der Sicherung von Anwendungen und den damit verbundenen Daten. Es wird davon ausgegangen, dass alle Anwendungen nicht vertrauenswürdig sind und vor dem Zugriff auf sensible Daten überprüft werden müssen. Es verwendet Kontrollen auf Anwendungsebene – wie Laufzeitschutz und Containerisierung – zum Schutz vor Angriffen wie Code-Injection und Malware.
• Gerätebasiertes Zero-Trust-Modell: Dieses Modell sichert die Geräte selbst (z. B. Smartphones, Laptops und IoT-Geräte). Es wird davon ausgegangen, dass Geräte kompromittiert werden können und vor dem Zugriff auf vertrauliche Daten überprüft werden müssen. Dabei kommen Sicherheitskontrollen auf Geräteebene zum Einsatz, wie z. B. Endgeräteschutz, Geräteverschlüsselung und Funktionen zum Fernlöschen.

Diese Modelle sind so konzipiert, dass sie zusammen eine umfassende Zero-Trust-Architektur bilden, die Unternehmen dabei helfen kann, ihre Angriffsfläche zu reduzieren, ihren Sicherheitsstatus zu verbessern und das Risiko von Sicherheitsverletzungen zu minimieren. Es ist jedoch wichtig zu beachten, dass die spezifischen Arten von Zero-Trust-Sicherheitsmodellen und ihre Umsetzung je nach Größe, Branche und spezifischen Sicherheitsanforderungen eines Unternehmens variieren können.

Zero-Trust ist zu einem beliebten Ansatz für moderne Cybersicherheit geworden. Viele Unternehmen setzen es ein, um der wachsenden Bedrohung durch Cyberangriffe und Datenschutzverletzungen in der komplexen und vernetzten Welt von heute zu begegnen. Daher haben viele Technologieanbieter Produkte und Services entwickelt, die speziell für die Unterstützung von Zero-Trust-Architekturen entwickelt wurden.

Es gibt auch viele Frameworks und Standards, die Unternehmen nutzen können, um unter Anleitung des National Institute of Standards and Technology (NIST) Zero-Trust-Sicherheitsprinzipien in ihre Cybersicherheitsstrategien zu implementieren.

Das NIST ist eine Regierungsbehörde ohne Regulierungsbefugnis im US-Handelsministerium, die Unternehmen dabei helfen soll, Cybersicherheitsrisiken besser zu verstehen, zu managen und zu reduzieren, um Netzwerke und Daten zu schützen. Die Behörde hat einige sehr empfehlenswerte umfassende Leitfäden zum Thema Zero-Trust veröffentlicht:

NIST SP 800-207, Zero Trust Architecture

NIST SP 800-207, Zero Trust Architecture (Link befindet sich außerhalb von ibm.com) war die erste Veröffentlichung, die die Grundlage für die Zero-Trust-Architektur bildete. Sie definiert Zero-Trust als eine Reihe von Leitprinzipien (anstelle spezifischer Technologien und Implementierungen) und enthält Beispiele für Zero-Trust-Architekturen.

NIST SP 800-207 betont die Bedeutung einer kontinuierlichen Überwachung und einer anpassungsfähigen, risikobasierten Entscheidungsfindung. Die Behörde empfiehlt die Implementierung einer Zero-Trust-Architektur mit den sieben Säulen von Zero-Trust (traditionell bekannt als die sieben Grundsätze von Zero-Trust)

Die sieben Säulen von Zero-Trust

1. Alle Datenquellen und Computing-Services gelten als Ressourcen.
2. Die gesamte Kommunikation ist gesichert, unabhängig vom Netzwerkstandort.
3. Der Zugriff auf einzelne Unternehmensressourcen wird auf Sitzungsbasis gewährt.
4. Der Zugriff auf Ressourcen wird durch dynamische Richtlinien bestimmt – einschließlich des beobachtbaren Zustands der Kundenidentität, der Anwendung/des Service und des anfordernden Assets – und kann weitere verhaltens- und umgebungsbezogene Attribute umfassen.
5. Das Unternehmen überwacht und misst die Integrität und den Sicherheitsstatus aller eigenen und zugehörigen Vermögenswerte.
6. Die gesamte Ressourcenauthentifizierung und -autorisierung ist dynamisch und wird strikt durchgesetzt, bevor der Zugriff gewährt wird.
7. Das Unternehmen sammelt so viele Informationen wie möglich über den aktuellen Zustand der Vermögenswerte, der Netzwerkinfrastruktur und der Kommunikation und nutzt sie, um seinen Sicherheitsstatus zu verbessern.

Insgesamt fördert NIST SP 800-207 einen umfassenden Zero-Trust-Ansatz, der auf den Prinzipien der minimalen Rechtevergabe, der Mikrosegmentierung und der kontinuierlichen Überwachung basiert und der Unternehmen dazu ermutigt, einen mehrschichtigen Sicherheitsansatz zu implementieren, der mehrere Technologien und Kontrollen zum Schutz vor Bedrohungen umfasst.

NIST SP 1800-35B, Implementing a Zero Trust Architecture (Implementierung einer Zero-Trust-Architektur)

NIST SP 1800-35B, Implementing a Zero Trust Architecture (Link führt außerhalb von ibm.com) ist die andere sehr empfehlenswerte Publikation von NIST und umfasst zwei Hauptthemen:

1. IT-Sicherheitsherausforderungen für den privaten und öffentlichen Sektor.
2. „How-to“-Anleitung zur Implementierung einer Zero-Trust-Architektur in Unternehmensumgebungen und Workflows mit standardbasierten Ansätzen unter Verwendung kommerziell verfügbarer Technologie.

Die Publikation setzt die Herausforderungen im Bereich der IT-Sicherheit (die für den privaten und öffentlichen Sektor gelten) mit den Grundsätzen und Komponenten einer Zero-Trust-Architektur in Beziehung, damit Unternehmen zunächst eine ordnungsgemäße Selbstdiagnose ihrer Bedürfnisse durchführen können. Anschließend können sie die Grundsätze und Komponenten einer Zero-Trust-Architektur übernehmen, um den Anforderungen ihres Unternehmens gerecht zu werden. Daher identifiziert NIST SP 1800-35B keine spezifischen Arten von Zero-Trust-Modellen.

NIST nutzt die iterative Entwicklung für die vier implementierten Zero-Trust-Architekturen, was ihnen eine einfache und flexible Durchführung schrittweiser Verbesserungen ermöglicht und die Kontinuität mit dem Zero-Trust-Framework gewährleistet, während es sich im Laufe der Zeit weiterentwickelt.

Die vier vom NIST implementierten Zero-Trust-Architekturen sind wie folgt:

1. Bereitstellung über Device Agents/Gateways.
2. Bereitstellung basierend auf Enklaven.
3. Bereitstellung über ein Ressourcenportal.
4. Sandboxing von Geräteanwendungen.

Das NIST unterhält strategische Partnerschaften mit vielen Technologieunternehmen (wie IBM), die zusammenarbeiten, um diesen Veränderungen sowie neu auftretenden Bedrohungen immer einen Schritt voraus zu sein.

Die Zusammenarbeit ermöglicht es IBM, die Entwicklung zu priorisieren, um sicherzustellen, dass die Technologielösungen mit den sieben Grundsätzen und Prinzipien des Zero-Trust-Ansatzes übereinstimmen und die Systeme und Daten der IBM-Kunden sichern und schützen.

Erfahren Sie mehr über die Bedeutung von Zero Trust im Cost of a Data Breach Report 2022 von IBM oder nehmen Sie direkt Kontakt mit einem der Zero-Trust-Experten von IBM auf.

• Implementieren Sie eine Zero-Trust-Strategie für Ihre Dateiübertragungen
• IBM Security Zero Trust Principles Training
• NIST SP 800-207, Zero Trust Architecture (Link befindet sich außerhalb von ibm.com)
• NIST Special Publication (SP) 1800-35B, Implementing a Zero Trust Architecture (Link befindet sich außerhalb von ibm.com)