Heutige Sicherheitskonzepte verfolgen das „Zero Trust“-Motto – nu so lässt sich der Stand der Technik sinnvoll abbilden. Im Interview mit Midrange.de (MM) verdeutlicht Michael Veit, Security-Experte bei Sophos, die Vorteile, die Zero Trust Network Access gegenüber traditionellen Remote Access Virtual Private Network bietet.
MM: Warum reichen Remote Access VPNs nicht mehr aus?
Veit: Das Remote Access Virtual Private Network, kurz RAS VPN, hat während der letzten beiden Jahre einen großen Boom erlebt. Das RAS VPN war für viele Unternehmen eine einfach handhabbare Technologie, die schnell mit dem Aufkommen der pandemiebedingten Homeoffice-Verordnung realisiert werden konnte. Dabei ist diese Art der Anbindung des Homeoffice an das Unternehmen eine äußerst kritische Sache. Denn das RAS VPN simuliert nichts anderes als ein Netzwerkkabel vom Homeoffice direkt in das Unternehmen – ohne die entsprechenden Schutzmaßnahmen, die man üblicherweise gegenüber Externem walten lassen würde.
MM: Wo liegt das Problem?
Quelle: Sophos/Hamann Media GbRVeit: Das Problem besteht darin, dass klassische Security-Konzepte alles, was außerhalb des Unternehmens stattfindet, prüfen und absichern. Alles was sich innerhalb des Unternehmens befindet, ist grundsätzlich gut und bedarf kaum einer gesonderten Prüfung. Der Homeoffice-Rechner, der über das RAS VPN mit dem Unternehmen verbunden ist, ist jedoch in Wirklichkeit extern und zwar mit allen Risiken, die man üblicherweise nicht ins Unternehmen lassen möchte. Das Unternehmen hat unter Umständen keine Kontrolle über den Security-Status des Rechners oder über die Homeoffice-Infrastruktur und Sicherheit. Hinzu kommt, dass Mitarbeiter nicht mal schnell eine Kollegin oder einen Kollegen fragen können, wenn eine seltsame Mail auftaucht, die man besser nicht öffnen sollte. Und dennoch wird das RAS VPN als interne IT-Ressource behandelt. Das bietet Cyberkriminellen erhebliche Chancen, sich direkt und ohne große Hürden in das Unternehmen einzuschleusen, um beispielsweise Daten zu stehlen oder zu verschlüsseln.
MM: Wie funktioniert das Zero Trust Network Access kurz ZTNA?
Veit: Das Zero-Trust-Modell bietet im Vergleich zu RAS VPN ein wesentlich höheres Sicherheitsniveau, weil grundsätzlich keinem Gerät und keinem Nutzer vertraut wird. Das Zero Trust-Prinzip bedeutet vereinfacht: Vertraue nichts und niemandem – schon gar nicht einem Netzwerk – und überprüfe alles. Infolgedessen gibt es kein automatisches Vertrauen oder Misstrauen innerhalb oder außerhalb des Perimeters. Es wird grundsätzlich verifiziert, wer zugreifen möchte und es wird geprüft, ob das zugreifende Gerät in Ordnung ist. Zudem wird Nutzern ausschließlich genau der Zugriff auf die Ressourcen und Anwendungen gewährt, die für ihre Aufgaben benötigt werden. Das wichtigste: das Homeoffice-Gerät wird keinesfalls ein vertrauenswürdiger Teil des Unternehmensnetzwerkes.
MM: Welche Vorteile bietet das Konzept des ZTNA für Anwender?
Veit: Das Schöne an ZTNA ist, dass sich für Anwender nichts ändert. Man kann nach wie vor mit seinen Ressourcen und Applikationen arbeiten und man hat das Gefühl, direkt mit dem Unternehmen verbunden zu sein. Konkret melden sich Anwender bei Windows an, am besten mit einer Zweifaktor-Authentifizierung. Diese Anmeldung wird im Hintergrund an das ZTNA-Gateway weitergereicht. Ist alles stimmig, werden die Anfragenden für den Zugriff für genau die Anwendungen und Ressourcen autorisiert, die sie tatsächlich benötigen. Sie arbeiten wie gewohnt und aus Security-Sicht transparent mit den Anwendungen. Mit einem Tablet oder bei Zugriffen auf Anwendungen über einen Browser erfolgt ebenfalls eine sichere Anmeldung und danach können Anwender mit ihren Anwendungen arbeiten.
MM: Welche Vereinfachung bringt ZTNA für die IT im Unternehmen?
Veit: Das Zero-Trust-Prinzip hat diverse Vorteile für das Unternehmen und die System-Administration. Grundsätzlich kann ein ZTNA-Gateway stufenweise, beispielsweise im ersten Schritt als sicherer Ersatz für das RSA VPN eingesetzt und dann schrittweise über weitere Bereiche ausgerollt werden. Ein wichtiger Vorteil von Zero Trust und einem leistungsfähigen Zero-Trust-Gateway liegt darin, dass das gesamte Unternehmen bei vielen Anwendungen und gegebenenfalls wechselnden internen und externen Anwender die Komplexität reduziert und die Agilität erhöht. Regeln beziehungsweise Authentifizierungen lassen sich wesentlich leichter und vor allem transparenter gestalten. Zudem ist die Skalierbarkeit um ein Vielfaches höher als bei klassischen Konzepten. Was vielleicht noch schwerer wiegt, ist die deutlich leichtere Erfüllung und Einhaltung der Compliance-Anforderungen in Bezug auf Transparenz und Nachvollziehbarkeit beziehungsweise wer worauf Zugriff hat. Denn schlussendlich kommt es auch bei der Compliance darauf an, dass Nutzer und Nutzerinnen nachvollziehbar nur darauf zugreifen, was sie für ihre Aufgaben benötigen.
Rainer Huttenloher
Weiter geht das Interview im folgenden Video-Clip:
