Welche Bausteine sind bei Unternehmen nötig, um eine Zero-Trust-Architektur erfolgreich umzusetzen? Dieser Frage hat sich Lukas Höfer, Cloud Solutions Architect beim IT-Dienstleister Consol gestellt.
Eine Zero-Trust-Architektur zu implementieren, ist ein hervorragender Weg, um die Sicherheit im Unternehmen nachhaltig zu steigern. Wie immer, wenn es um die IT-Sicherheit geht, gibt es zwar kein Allheilmittel – zu diffizil und vielschichtig ist die Sicherheitslage. Das gilt insbesondere aktuell, da künstliche Intelligenz quasi eine Demokratisierung durchläuft und nun quasi jedem – also auch Cyberkriminellen – zur Verfügung steht.
Dennoch gehört Zero Trust mittlerweile zu den absoluten Basics und Best Practices in Sachen IT-Security. Die Methode ist objektiv betrachtet relativ simpel und ihre Grundlage steckt schon im Terminus „Zero Trust“: vertraue niemandem.
Dieses Paradigma ist die Antwort auf das Konzept „Assume Breach“. Gemeint ist, dass Unternehmen davon ausgehen müssen, früher oder später Ziel eines erfolgreichen Hacks zu werden, bei dem Cyberkriminelle die Gewalt über einen User Account erlangen. Daher ist es sinnvoll Nutzer nur mit exakt so vielen Rechten auszustatten, wie unbedingt nötig sind.
Mit Benutzerkonten hört es aber freilich nicht auf. Auch Cloud- und Container-basierte Anwendungen bieten eine große Angriffsfläche für Hacker, da deren Microservices auch Zugriffsrechte auf bestimmte Systeme und Informationen benötigen, um ihre Aufgaben zu erledigen. Es reicht also nicht, User Accounts einzuschränken – Zero Trust muss holistisch betrachtet werden.
Damit das gelingt und Unternehmen die Methode erfolgreich einführen können, ist es sinnvoll, dass sie zunächst ihre Schutzbereiche identifizieren. Neben den Accounts unterschiedlicher Stakeholder gehören zu einer solchen Evaluation auch die Datenspeicher – insbesondere jene, auf denen sensible Informationen lagern – sowie die gesamte Anwendungslandschaft.
Danach können Unternehmen segmentieren, also kleinere Perimeter definieren. Auch über die innerhalb der Systeme und nach außen laufenden Transaktionsflüsse müssen Unternehmen sich klar werden. Daher ist es unabdingbar, dass sie diesen oft regen Informationsaustausch zwischen Usern und Services genau aufzeichnen und überwachen.
Dieses Vorgehen dient auch dem Schutz der einwandfreien Funktionalität ihrer Anwendungen: Zero Trust bedeutet also auch, Bestandteile von Anwendungen in ihrer Kommunikation einzuschränken. Zu restriktive Herangehensweisen können allerdings dafür sorgen, dass Apps nicht mehr laufen oder weniger performant sind.
Quelle: ConsolLukas Höfer ist Cloud Solutions Architect beim IT-Dienstleister Consol.
Wenn Klarheit über die Funktionen und Rechte von Benutzergruppen, Anwendungsteilen und Transaktionsflüssen in allen IT-Umgebungen des Unternehmens besteht, kann die Zero-Trust-Architektur geplant und umgesetzt werden. Ein „Big Bang“-Ansatz, bei dem direkt alle Teile der IT-Infrastruktur und des Unternehmens sowie der Anwendungslandschaft umgestellt werden, ist allerdings nicht zu empfehlen – zu groß ist die Disruption für den laufenden Betrieb. Besser ist es, Stück für Stück Teilbereiche umzustellen.
Technisch sichern physische und virtuelle Firewalls die Grenzen zwischen softwaredefinierten Netzwerken, während Sicherheitsprotokolle den Datenverkehr schützen. Um einen reibungslosen Geschäftsalltag zu ermöglichen, müssen im Vorlauf auch Zero-Trust-Richtlinien formuliert werden. Zugangsrechte lassen sich am besten nach der Kipling-Methode vergeben, der die Fragen „Wer?“, „Was?“, „Wann?“, „Wo?“, „Warum?“ und „Wie?“ zugrunde liegen. Oder im Klartext: „Wer beziehungsweise was muss warum, wann, worauf und wie Zugriff haben?“
Mindestens genauso viel Aufmerksamkeit wie der Implementierung der Zero-Trust-Architektur sollten Unternehmen deren Betrieb widmen. Nur wenn IT-Experten die Datenflüsse ständig auf Anomalien untersuchen, die Systeme aktiv überwachen und die Schutzmechanismen bei Bedarf immer wieder neu justieren, können sich Unternehmen gut geschützt wähnen. Bei dieser aufwendigen Aufgabe helfen heutzutage Softwarelösungen mit KI-Unterstützung, die sogar einige Prozesse automatisiert durchführen können. Das alte Sprichwort „Vertrauen ist gut, Zero Trust ist besser“ behält in jedem Fall auf unbestimmte Zeit seine Aktualität: Wir leben in gefährlichen Zeiten, daher ist es wichtig, es Hackern so schwer wie möglich zu machen. Genau dabei hilft Zero Trust.
Lukas Höfer ist Cloud Solutions Architect beim IT-Dienstleister Consol.
