Was ist Zero-Trust-Sicherheit?

Zero-Trust-Sicherheit ist ein Sicherheitsmodell, bei dem niemandem automatisch vertraut wird. Bei einem Zero-Trust-Modell wir jeder Netzwerkzugriff mehrfach geprüft, zum Beispiel durch Mechanismen wie die Multi-Faktor-Authentifizierung. Zero-Trust-Architekturen setzen solche Technologien ein, um den Zugriff strenger zu kontrollieren und das Netzwerk vor Datenlecks zu schützen.

Erfahren Sie mehr über Zero Trust:

Geschichte der Zero-Trust-Sicherheit

Die Ursprünge des Zero-Trust-Sicherheitsmodells gehen auf die frühen 00er-Jahre zurück, als Alternativkonzepte zur Perimetersicherheit entwickelt wurden. Der Begriff Zero-Trust-Sicherheit wurde vom Forrester-Analysten John Kindervag geprägt. Das Zero-Trust-Sicherheitsmodell wurde 2009 bekannt, als Google die Zero-Trust-Architektur BeyondCorp als Reaktion auf die Operation-Aurora-Cyberangriffe entwickelte, bei denen Advanced Persistent Threats herkömmliche Cybersicherheitsarchitekturen ausgehebelt hatten.

Überblick über Zero-Trust-Architekturen

Der Leitsatz einer Zero-Trust-Architektur ist „Vertraue niemanden, prüfe alles.“

In einer Welt voller Cybersicherheitsbedrohungen und mobiler Mitarbeiter, die unzählige Anwendungen und Geräte verwenden, versucht das Zero-Trust-Sicherheitsmodell, einen umfassenden Schutz zu bieten, indem Anfragen niemals automatisch als vertrauenswürdig eingestuft werden, selbst dann nicht, wenn sie von innerhalb der Unternehmens-Firewall stammen. Alle Elemente werden so behandelt, als kämen sie aus einem unsicheren, offenen Netzwerk und Vertrauen wird im Zero-Trust-Netzwerk grundsätzlich mit Skepsis betrachtet.

Zero-Trust-Sicherheit wird auch als perimeterlose Sicherheit bezeichnet. Sie unterscheidet sich fundamental von herkömmlichen Sicherheitsmodellen, die ein Konzept des Vertrauens und Prüfens verfolgen und bereits authentifizierte Nutzer und Endgeräte innerhalb der Unternehmensperimeter oder solche, die über ein Virtual Private Network (VPN) verbunden sind, grundsätzlich als sicher einstufen. Dieses automatische Vertrauen erhöht jedoch das Risiko für Datenlecks, ausgelöst von Bedrohungen durch Insider, die sich ungeprüft und uneingeschränkt durch das Netzwerk bewegen können.

Eine Zero-Trust-Architektur ist anders aufgebaut:

Explizite Verifizierung und wiederholte Validierung

Netzwerknutzer müssen in Echtzeit und wiederholt authentifiziert, autorisiert und validiert werden, um sicherzustellen, dass sie weiterhin über die nötigen Berechtigungen verfügen. Hierfür werden unterschiedliche Datenpunkte herangezogen, zum Beispiel der Standort und das Patch-Level. Eine einmalige Prüfung der Nutzeridentität ist nicht mehr ausreichend.

Least-Privilege-Zugriff

Beim Zero-Trust-Modell gilt das Principle of Least Privilege, bei dem Identitäten zunächst nur die niedrigste Zugriffsstufe gewährt wird. Zusammen mit anderen Cybersicherheitsmaßnahmen wie der Netzwerk-Mikrosegmentierung kann der Least-Privilege-Zugriff Netzwerkbewegungen im Rahmen eines Zero-Trust-Modells erheblich begrenzen.

Weniger Angriffsfläche

Bei der Implementierung der Zero-Trust-Prinzipien definieren Unternehmen schützenswerte Assets, zum Beispiel kritische Daten und Systeme, und schützen diese mit einer umfassenden Plattform. Dieser Ansatz ist effizienter als ein ein Sammelsurium aus Einzellösungen, wie VPNs, bei denen die Angriffsfläche um jeden einzelnen Nutzer geschützt wird.

Warum ist Zero-Trust-Sicherheit wichtig?

Zero-Trust-Datensicherheit ist wichtig, da sie das zuverlässigste Cybersicherheits-Framework zum Schutz gegen fortgeschrittene Angriffe bietet, die auf komplexe IT-Umgebungen mit dynamischen Workloads abzielen, bei denen es zu häufigen Standort- und Gerätewechseln kommt. Besonders sinnvoll sind Zero-Trust-Architekturen auch deshalb, weil Multi-Cloud- und Hybrid-Cloud-Deployments sich immer mehr durchsetzen und sich somit die Anzahl der in den Unternehmen verwendeten Anwendungen erhöht.

Da die Anzahl von Endgeräten in Unternehmen steigt und Mitarbeiter private Endgeräte verwenden, um auf Cloud-Anwendungen und Unternehmensdaten zuzugreifen, reichen herkömmliche Cybersicherheitsmodelle nicht mehr aus, um Datenlecks zu verhindern. Böswilligen Insidern, die sich bereits per VPN mit dem Unternehmensnetzwerk verbunden hätten, würde vertraut werden – auch dann, wenn sie sich verdächtig verhalten, indem sie zum Beispiel große Datenmengen herunterladen oder auf Anmeldungen zugreifen, die sie bisher ignoriert hatten.

Im Gegensatz hierzu wird bei einem Zero-Trust-Modell jede einzelne Identität im Netzwerk auf ihr Risiko überprüft, wobei Aktivitäten in Echtzeit bewertet und in den Kontext gesetzt werden. Zero-Trust-Frameworks nehmen niemals an, dass eine Identität vertrauenswürdig ist, und erfordern immer eine Bestätigung, bevor der Zugriff auf das Netzwerk gestattet wird. Zero-Trust-Sicherheit ist ein perimeterloses, softwaredefiniertes Modell, das ständig weiterentwickelt wird, um Anwendungen und Daten zu schützen – unabhängig vom Nutzer, Gerät oder Standort.

Was sind die Vorteile der Zero-Trust-Sicherheit?

Die Hauptvorteile des Zero-Trust-Modells sind:

Wie funktioniert eine Zero-Trust-Architektur?

Ein richtig implementiertes Zero-Trust-Sicherheitsmodell ist genau auf alle Verhaltensmuster und Datenpunkte abgestimmt, die mit den Anforderungen im Unternehmensnetzwerk zusammenhängen. Zero-Trust-Sicherheitslösungen gewähren oder verweigern Zugriffsrechte auf Grundlage unterschiedlicher Kriterien, wie zum Beispiel:

  • Standort
  • Uhrzeit
  • Betriebssystem oder Firmwareversion
  • Gerätezustand
  • Endgerätetyp

Effektive Zero-Trust-Sicherheit ist hochgradig automatisiert und die Schutzmaßnahmen können über die Cloud und/oder eine Implementierung im eigenen Rechenzentrum bereitgestellt werden.

Identitätsanbieter sind ein zentrales Element jedes Zero-Trust-Frameworks, da sie eine Reihe von Identitäts- und Zugriffskontrollfunktionen bieten, zum Beispiel:

  • Multi-Faktor-Authentifizierung: Zusätzlich zu einem richtigen Passwort können weitere Faktoren nötig sein, wie etwa Geräte oder Einmalcodes.
  • Single Sign-On: Ein gemeinsamer Satz von Zugangsdaten ermöglicht Zugriff auf mehrere Anwendungen, der gezielt verwaltet und jederzeit wieder zurückgezogen werden kann.
  • Lifecycle-Management: Workflows wie das Onboarding und Offboarding von Mitarbeitern können anhand der Beurteilung und Verknüpfung von Identitätsverzeichnissen optimiert werden.

Neben diesen und anderen grundlegenden Funktionen können spezielle Zero-Trust-Sicherheitstools noch weitere fortgeschrittene Schutzmaßnahmen bieten. Zum Beispiel:

Netzwerksegmentierung und Traffic-Isolierung

Cybersicherheitslösungen wie moderne Firewalls und sichere Browser isolieren Traffic vom Hauptunternehmensnetzwerk. Diese Segmentierung schränkt die Bewegung im Netzwerk ein und verringert das Risiko für Datenlecks.

Welche Rolle spielt die Segmentierung bei der Zero-Trust-Sicherheit?

Sollte es doch zu einem Datenschutzverstoß kommen, kann Segmentierung helfen, den Schaden zu begrenzen. Sie sorgt dafür, dass der Zugriff durch sich riskant verhaltende Nutzer auf ein kleines Subnetz beschränkt bleibt und dass sie sich ohne weitere Berechtigungen nicht weiter im Netzwerk bewegen können. Auch unter normalen Bedingungen kann Mikrosegmentierung helfen, den Zugriff je nach Nutzergruppe und Standort zu begrenzen.

Einheitliches Endgeräte-Management

Administratoren können über eine zentrale Oberfläche alle Unternehmensanwendungen und -ressourcen verwalten. Das einheitliche Endgeräte-Management sorgt dafür, dass Unternehmen mit den schnellen Anwendungs- und Betriebssystem-Neuerungen Schritt halten können, und vereinfacht komplexe Prozesse, die durch Fusionen und Übernahmen entstehen.

VPN-lose Proxys

Herkömmliche VPNs widersprechen den Zero-Trust-Prinzipien, da sich Nutzer mit nur einer erfolgreichen Anmeldung Zugriff auf das gesamte Netzwerk verschaffen können. Anstelle dieses „Castle and Moat“-Ansatzes bietet das Zero-Trust-Modell einen dedizierten VPN-losen Proxy, der sich zwischen den Nutzergeräten und allen für sie relevanten Anwendungen befindet – von Unternehmens-SaaS-Apps bis hin zu ungenehmigten Web-Anwendungen. Dieser Proxy kann zielgerichtete Maßnahmen für die Cybersicherheit durchsetzen. So kann zum Beispiel das Drucken, Kopieren und Einfügen auf einem Endgerät verhindert werden, wenn kontextbasierte Daten dafür sprechen.

Sicherheitsanalysen

Analysetools sammeln wertvolle Daten, anhand derer ungewöhnliche Netzwerkaktivitäten bestimmt werden können. Netzwerke können so intelligent und in Echtzeit bewerten, ob eine Anfrage Risiken birgt.

SD-WANs

Softwaredefinierte Wide Area Networks (SD-WANs) sorgen für Cloud-Sicherheit und bieten sicheren Direktzugriff auf SaaS und Traffic-Verschlüsselung, zusammen mit skalierbarer Bandbreite und intelligenter Traffic-Kontrolle für Anwendungen aller Art.

Wie wird ein Zero-Trust-Netzwerk geplant und eingerichtet?

Zero-Trust-Sicherheit ist kein einzelnes Produkt, sondern ein übergreifendes Framework für die wiederholte Bewertung von Risiken und die Zugriffskontrolle innerhalb von Umgebungen. Die oben genannten und weitere Lösungen können kombiniert werden, um das Zero-Trust-Modell zu unterstützen.

Der genaue Planungs- und Entwicklungsprozess für die Zero-Trust-Sicherheit hängt vom Unternehmen und der Zielsetzung ab. Häufig läuft der Vorgang aber wie folgt ab:

  1. Bewertung bestehender Cybersicherheitskontrollen und Ermittlung der wichtigsten Netzwerkdatenströme und Schwachstellen
  2. Festlegen schützenswerter Assets, die durch Zero-Trust-Sicherheitsmaßnahmen vor Angriffen geschützt werden sollen
  3. Implementierung spezifischer Technologien wie zum Beispiel Multi-Faktor-Authentifizierung, VPN-lose Proxys und sicher eingebettete Browser
  4. Wiederholte Überwachung des Netzwerks, um den Überblick über verdächtige Aktivitäten zu behalten und bestimmte Lösungen sowie den gesamten Sicherheitsansatz bei Bedarf anzupassen.

Wie unterstützt Citrix die Zero-Trust-Sicherheit?

Citrix stattet Unternehmen mit umfassenden Lösungen aus, um Zero-Trust-Architekturen umzusetzen und schützenswerte Assets zu sichern:

Lösungen wie Citrix Analytics for Security und Citrix Gateway unterstützen Unternehmen dabei, alle wichtigen Komponenten einer Zero-Trust-Architektur zu implementieren – über eine zentrale, sichere Lösung für digitale Arbeitsplätze: Citrix Workspace. Erfahren Sie mehr über erste Schritte mit Citrix Workspace.

Zusätzliche Ressourcen